Jump to content
Lemgo

Zertifikate mit Group Policy verteilen

Recommended Posts

Hallo,

 

i bin neu hier im Forum.ūüėä Hoffentlich mach ich das jetzt richtig.

ich m√∂chte mit Group Policy Zertifikate f√ľr den Internet Explorer -¬†Userbezogen -¬†verteilen. Leider finde ich keine passende Einstellung. K√∂nnt ihr mir da helfen?

Share this post


Link to post
Share on other sites

Moin,

 

du m√ľsstest bitte n√§her beschreiben, was du erreichen willst.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hallo!


Ich habe ein Zertifikat (Usercert)¬†und m√∂chte das bei bei mehreren Useren importieren. Das Zertifikat wird im Internet Explorer f√ľr den Zugriff auf eine bestimmte Seite verwendet. Ich dachte, dass es vielleicht mit GPO besser zu verwalten ist als zu jedem User zu gehen um dort das Zertifikat zu importieren.¬†
 

Gr√ľ√üe¬†

Share this post


Link to post
Share on other sites

Habe grad' mal bei uns geschaut: die Zertifikatsbereitstellungsoptionen per GPO auf Computerebene sind tatsächlich breiter aufgestellt, als auf Benutzerebene. 

\ Computerkonfiguration (<=>Benutzerkonfiguration) \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien f√ľr √∂ffentliche Schl√ľssel

 

In diesem(n) Bereich(en) kannst Du ein RollOut von Zertifikatsdateien konfigurieren.

 

Viel Erfolg!

Share this post


Link to post
Share on other sites

Ja aber nur f√ľr √∂ffentliche Schl√ľssel und die Anforderung klingt nach private keys, was aber per goo nicht funktioniert.

  • Like 1

Share this post


Link to post
Share on other sites

Ja es handelt sich um einen privaten Schl√ľssel. ¬†
ūüĒĎ Hab scho √ľberlegt, dass mit am Script zu machen... bin aber net sicher ob i dann mit GPO sowas ausrollen kann.¬†

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb NorbertFe:

Ja aber nur f√ľr √∂ffentliche Schl√ľssel und die Anforderung klingt nach private keys, was aber per goo nicht funktioniert.

√Ąh mit einer eigenen rootCA bzw. PKI sollte das doch problemlos m√∂glich sein. Oder versteh ich was falsch?

UserCert Auto-Enrollment.

Funktioniert bei uns so das bei jeder ersten Useranmeldung am Device das UserCert mit ausgerollt wird.

Kann man so konfigurieren das kein Usereingriff notwendig ist. In der Standardkonfig wird der User ständig benachrichtigt. Nervt. Bloss nicht den Haken unten setzen.

 

Capture.PNG

Capture.PNG

Share this post


Link to post
Share on other sites

Er will EIN Zertifikat an viele Nutzer verteilen. Und zwar garantiert ein externes. Da hilft dir die eigene ca gar nix. Und Skripten w√ľrde ich sowas auch nicht, denn das widerspricht irgendwie dem Sicherheitsgedanken wenn man private keys irgendwie ‚Äěverteilt‚Äú.

Share this post


Link to post
Share on other sites

Moin,

 

ich halte dieses Anliegen f√ľr nicht supportf√§hig. Ein Userzertifikat soll die Identit√§t eines (eines!) Users best√§tigen. Und ein privater Schl√ľssel hat per definitionem geheim zu¬†bleiben.

 

Ein bestimmtes Userzertifikat mit privatem Schl√ľssel bei mehreren Usern einzusetzen, widerspricht daher fundamental den Grunds√§tzen zertifikatsbasierter Authentifizierung bzw. Verschl√ľsselung.¬†

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Es gibt schon F√§lle, bei denen ein ‚ÄěUser‚Äú-Zertifikat von mehreren Benutzern genutzt werden soll. Beim Schweizer Zoll muss man ein Zertifikat beantragen, wenn man Warendeklarationen elektronisch einliefern will. Pro Firma bekommt man ein Zertifikat. Dieses installiert man dann bei allen Benutzern, die sich beim Zoll einloggen m√ľssen.

 

Technisch ist das √ľber ein Script l√∂sbar:¬†https://www.jasonpearce.com/2012/02/02/import-pfx-certificate-via-group-policy-preferences/

  • Thanks 1
  • Sad 1

Share this post


Link to post
Share on other sites

Toll ein Import mit batch und Klartextpassword. Ich denke es wird klar, warum Nils und ich unsere Aussagen getroffen haben.

Share this post


Link to post
Share on other sites

Moin,

 

und, ist  dem Schweizer Zoll schon mal jemand aufs Dach gestiegen? Wenn das tatsächlich so vorgesehen ist und nicht nur eine Bequemlichkeits- oder Kostensparlösung, dann ist das ein Skandal ersten Ranges.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Musste das nur mal einrichten. Es ist mir nicht bekannt, ob es da mal Diskussionen gab. Eher nicht, weil ist ja bequem...

 

Wobei man sich soweit ich weiss trotz Zertifikat mit Username und Passwort anmelden muss. Der User könnte dann persönlich sein. Das Zertifikat diente dann nur dazu, dass sich Mitarbeiter nicht von zuhause anmelden können oder so.

Share this post


Link to post
Share on other sites

Moin,

 

wenn sie Zugriff auf den Private Key haben, hindert sie nichts daran, diesen zu exportieren.

 

Ich verstehe ja, dass Zertifikate und das ganze Drumrum nicht einfach zu kapieren sind. Aber m√ľssen auch Profis (also Leute, die Geld daf√ľr bekommen) deshalb immer wieder¬† so grundlegende Fehler machen? Kann man dann nicht lieber auf Zertifikate verzichten, damit man sich wenigstens nicht in Sicherheit wiegt?

 

Gruß, Nils

 

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...