Jump to content
Sign in to follow this  
Mysterious

Zertifikatsverteilung über ADS GPO W2K

Recommended Posts

Hi,

ich bin derzeit dabei für meine Technikerarbeit eine self signed CA aufzusetzen um LAN User über 802.1X und 802.1Q mit Hilfe von freeradius und openldap zu Authentifizieren. Ich muss nun auf allen Workstations (300) das root Zertifikat und das zugehörige Client Zertifikat installieren.Die Zertifikate in den entsprechenden Formaten (root.der und zb client1.p12) sind vorhanden und funktionieren bei manueller Einrichtung.

 

Ist es möglich die Verteilung über die ADS vorzunehmen? Hab mal in der ADS gesucht aber nichts gefunden womit sich das realisieren lässt.

Deshalb die Frage an die Profes hier. Ist das möglich und wenn ja wo und wie? Das andere Problem ist das ich in dem SmartCard Tab in der Netzwerkverbindung dann eine Häkchen für die Vertrauenswürdige CA setzen muss damit die Authentifizierung funktioniert. Ist das ebenfalls über die ADS bzw GPO lösbar?

 

Vielen Dank schoneinmal für eure Hilfe

 

Gruß

 

Armin

Share this post


Link to post
Share on other sites

Das RootZertifikat kannst du per GPO verteilen, aber Clientzertifikate nicht (natürlich nicht, wir schieben ja keine privaten Schlüssel so einfach übers Netz).

 

Mit 2003 und XP wäre es möglich Clientzertifikate per GPO anfordern und automatisch registrieren zu lassen, aber nur in dieser Verbindung

 

 

grizzly999

Share this post


Link to post
Share on other sites

Hmmm...okay das mit dem Root-Zertifikat ist natürlich gut aber wenn i das Client Zertifikat eh von HAnd isntallieren muss... gibts da nich ne möglichkeit das über ein Script zu realisieren? HAb irgendwo mal was gelesen das es ab 2000 ein Kommandozeilentool gibt mit dem man das Root Zertifikat per Script installieren kann. Weiß jemand wie sich das nennt? Villeicht geht ja da die installation mit dem Client Zertifikat??? Wär halt praktisch.

 

Gruß Armin

Share this post


Link to post
Share on other sites
HAb irgendwo mal was gelesen das es ab 2000 ein Kommandozeilentool gibt mit dem man das Root Zertifikat per Script installieren kann.

Du verwirrst mich :confused:

Ich sage, das Root Zertifikatkann man per GPO verteilen, und du sagst das sei gut, und jetzt fragst du nach einem Skript dafür.

Schau dir mal den certutil-befehl an, der kann hier eine Menge machen (certutil -installcert)

 

 

 

grizzly999

Share this post


Link to post
Share on other sites

Okay, hab mich bissl ungeschickt ausgedrückt. Hatte nach ner Möglichkeit gesucht wie ich das Root Zertifikat drauf bekomm und fand den certutil Befehl. Jetzt wollte ich wissen ob es mit dem Tool auch möglich ist Clientzertifikate zu installieren. :-) So glaub jetzt isses verstädlicher *g*

Share this post


Link to post
Share on other sites

es ist moeglich das client zertifikat für 2k systeme per skript mit certutil einzurichten, habe ich in der praxis aber noch nicht gemacht! kann dir daher auch nicht sagen wie genau das skript dann auszusehen hat!

 

gruß

kai

Share this post


Link to post
Share on other sites
es ist moeglich das client zertifikat für 2k systeme per skript mit certutil einzurichten,

Hmmm, würde mich aber dann wenigstens in der Theorie interessieren, wenn du das hier schon verkündest. Ich sage, das geht nicht mit certutil :D

 

 

grizzly999

Share this post


Link to post
Share on other sites

Hi,

 

habe jetzt auf die schnelle nur das hier gefunden . . .

 

To install the CA certificate

Syntax

certutil-installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]

 

Parameters

-installcert Installs a CA certificate.

-f Overwrites existing files or keys.

-gmt Displays time as Greenwich mean time.

-seconds Displays time with seconds and milliseconds.

-v Specifies verbose output.

-configCAMachineName\CAName processes the operation by using the CA specified in the configuration string (that is, CAMachineName\CAName).

CACertFile Specifies the CA signature certificate that contains the public key that is used to verify digital signatures.

-? Displays a list of certutil commands.

 

Remarks

• You must specify the CAComputerName or CAName in -config CAComputerName\CAName. Otherwise, the Select Certificate Authority dialog box appears and displays a list of all CAs that are available.

 

• If you use -config - instead of -config CAComputerName\CAName, the operation is processed using the default CA.

 

• A PKCS #7 certification chain is the preferred content for CACertFile. However, an X.509 v3 certificate is accepted if all of the certificates that will be used to form the chain are already installed on the local computer.

 

• This command also completes subordinate CA certificate installation for a subordinate CA that generated a request, but has not yet received and installed its CA certificate.

 

• This command also allows installation of a requested renewal CA certificate.

 

 

Quelle: http://technet2.microsoft.com/WindowsServer/en/Library/5e0f52f2-f7c8-4c74-9497-be52366df52e1033.mspx

 

habe aber nochmal eine genauere beschreibung gefunden an die ich erst heute abend wieder dran komm.

 

ich kann aber wie oben geschrieben nicht definitiv sagen ob es funktioniert. vielleicht funktioniert das auch nur mit dem root zertifikat der CA. Ich schaue heute abend nochmal nach!

 

mfg

kai

Share this post


Link to post
Share on other sites

Da brauchst du nicht groß nachschauen, du musst nur deinen eigenen eigefügten Hilfetext lesen:

To install the CA certificate

 

Du weisst, was ein CA Certificate ist, und du kennt den Unterschied zu einem Client Certificate (incl. private Key)?

 

 

grizzly999

Share this post


Link to post
Share on other sites

@grizzly999

 

sorry, war mein fehler!

 

die möglichkeit die ich mit certutil gesehen hatte war nur für die veröffentlichung eines client zertifikats auf einer ca.

 

war nur am zweifeln dass es irgendwie eine möglichkeit geben müsste es auch auf 2k clients zu automatisieren.

 

mfg

kai

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...