Jump to content

Zertifikatsverteilung über ADS GPO W2K


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

ich bin derzeit dabei für meine Technikerarbeit eine self signed CA aufzusetzen um LAN User über 802.1X und 802.1Q mit Hilfe von freeradius und openldap zu Authentifizieren. Ich muss nun auf allen Workstations (300) das root Zertifikat und das zugehörige Client Zertifikat installieren.Die Zertifikate in den entsprechenden Formaten (root.der und zb client1.p12) sind vorhanden und funktionieren bei manueller Einrichtung.

 

Ist es möglich die Verteilung über die ADS vorzunehmen? Hab mal in der ADS gesucht aber nichts gefunden womit sich das realisieren lässt.

Deshalb die Frage an die Profes hier. Ist das möglich und wenn ja wo und wie? Das andere Problem ist das ich in dem SmartCard Tab in der Netzwerkverbindung dann eine Häkchen für die Vertrauenswürdige CA setzen muss damit die Authentifizierung funktioniert. Ist das ebenfalls über die ADS bzw GPO lösbar?

 

Vielen Dank schoneinmal für eure Hilfe

 

Gruß

 

Armin

Link zu diesem Kommentar

Hmmm...okay das mit dem Root-Zertifikat ist natürlich gut aber wenn i das Client Zertifikat eh von HAnd isntallieren muss... gibts da nich ne möglichkeit das über ein Script zu realisieren? HAb irgendwo mal was gelesen das es ab 2000 ein Kommandozeilentool gibt mit dem man das Root Zertifikat per Script installieren kann. Weiß jemand wie sich das nennt? Villeicht geht ja da die installation mit dem Client Zertifikat??? Wär halt praktisch.

 

Gruß Armin

Link zu diesem Kommentar
HAb irgendwo mal was gelesen das es ab 2000 ein Kommandozeilentool gibt mit dem man das Root Zertifikat per Script installieren kann.

Du verwirrst mich :confused:

Ich sage, das Root Zertifikatkann man per GPO verteilen, und du sagst das sei gut, und jetzt fragst du nach einem Skript dafür.

Schau dir mal den certutil-befehl an, der kann hier eine Menge machen (certutil -installcert)

 

 

 

grizzly999

Link zu diesem Kommentar

Hi,

 

habe jetzt auf die schnelle nur das hier gefunden . . .

 

To install the CA certificate

Syntax

certutil-installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]

 

Parameters

-installcert Installs a CA certificate.

-f Overwrites existing files or keys.

-gmt Displays time as Greenwich mean time.

-seconds Displays time with seconds and milliseconds.

-v Specifies verbose output.

-configCAMachineName\CAName processes the operation by using the CA specified in the configuration string (that is, CAMachineName\CAName).

CACertFile Specifies the CA signature certificate that contains the public key that is used to verify digital signatures.

-? Displays a list of certutil commands.

 

Remarks

• You must specify the CAComputerName or CAName in -config CAComputerName\CAName. Otherwise, the Select Certificate Authority dialog box appears and displays a list of all CAs that are available.

 

• If you use -config - instead of -config CAComputerName\CAName, the operation is processed using the default CA.

 

• A PKCS #7 certification chain is the preferred content for CACertFile. However, an X.509 v3 certificate is accepted if all of the certificates that will be used to form the chain are already installed on the local computer.

 

• This command also completes subordinate CA certificate installation for a subordinate CA that generated a request, but has not yet received and installed its CA certificate.

 

• This command also allows installation of a requested renewal CA certificate.

 

 

Quelle: http://technet2.microsoft.com/WindowsServer/en/Library/5e0f52f2-f7c8-4c74-9497-be52366df52e1033.mspx

 

habe aber nochmal eine genauere beschreibung gefunden an die ich erst heute abend wieder dran komm.

 

ich kann aber wie oben geschrieben nicht definitiv sagen ob es funktioniert. vielleicht funktioniert das auch nur mit dem root zertifikat der CA. Ich schaue heute abend nochmal nach!

 

mfg

kai

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...