Wiki-Quellcode von 2.C.F SCEP
Zuletzt geändert von Tobias Wintrich am 2025/11/05 15:41
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | In diesem Abschnitt werden die clientseitigen Konfigurationsoptionen des **Simple Certificate Enrollment Protocol (SCEP)** beschrieben. **SCEP** dient der automatisierten Ausstellung und Erneuerung digitaler Zertifikate durch eine Zertifizierungsstelle (CA). | ||
| 2 | |||
| 3 | (% class="box infomessage" %) | ||
| 4 | ((( | ||
| 5 | Ein konkretes Beispiel zum Beziehen von Computerzertifikaten per SCEP finden Sie in unserem HowTo mit [[SCEP ein Computer-Benutzerzertifikat beziehen>>doc:HowTos.RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen.WebHome]] | ||
| 6 | ))) | ||
| 7 | |||
| 8 | {{toc/}} | ||
| 9 | |||
| 10 | |||
| 11 | [[image:1760599698379-600.png||data-xwiki-image-label="Abbildung SCEP Konfiguration RangeeOS"]] | ||
| 12 | |||
| 13 | (% class="table-hover" style="margin-right:auto" %) | ||
| 14 | |=Parameter|=Bedeutung|=Standard | ||
| 15 | |SCEP aktivieren|Aktiviert die SCEP-Funktionalität.|deaktiviert | ||
| 16 | |(% colspan="3" %)((( | ||
| 17 | = Server = | ||
| 18 | ))) | ||
| 19 | |=Parameter|=Bedeutung|=Standard | ||
| 20 | |SCEP-Server-URL|HTTP-Pfad zum SCEP-Server in der Form: http:~/~/#IhrServer#/certsrv/mscep/mscep.dll| | ||
| 21 | |SCEP-Server-Kennwort|Hier können Sie festlegen, ob ein statisches Kennwort zur Zertifikatserzeugung verwendet werden soll oder das Kennwort dynamisch **von** einem **MSCEP-Server** bezogen wird.|Manuell | ||
| 22 | |SCEP-Server-Passwort|Nur im **SCEP-Server-Kennwort**-Modus **Manuell** verfügbar. Tragen Sie hier Ihr Kennwort zur Zertifikatserzeugung ein.| | ||
| 23 | |SCEP-Server-Administrator-URL|Nur im **SCEP-Server-Kennwort**-Modus **Von MSCEP beziehen** verfügbar. Tragen Sie hier die entsprechende **SCEP-Server-Administrator-URL** in der Form http(s):~/~/#IhrServer#/CertSrv/mscep_admin/ ein.| | ||
| 24 | |SCEP-Server-Administrator-Benutzername|Nur im **SCEP-Server-Kennwort**-Modus **Von MSCEP beziehen** verfügbar. Benutzername eines zum Zertifikatsabruf berechtigten Nutzers.| | ||
| 25 | |SCEP-Server-Administrator-Passwort|Nur im **SCEP-Server-Kennwort**-Modus **Von MSCEP beziehen** verfügbar. Passwort des unter **SCEP-Server-Administrator-Benutzername** eingetragenen Benutzers.| | ||
| 26 | |(% colspan="3" %)((( | ||
| 27 | = Zertifikat = | ||
| 28 | ))) | ||
| 29 | |=Parameter|=Bedeutung|=Standard | ||
| 30 | |Zertifikatstyp|Wählen Sie aus, ob ein **Benutzer-** oder ein **Computerzertifikat** ausgestellt werden soll.|Benutzer | ||
| 31 | |Benutzername für Zertifikat (optional)|Nur bei Zertifikatstyp **Benutzer**. Definieren Sie den Benutzernamen, für den ein Zertifikat ausgestellt werden soll. Bleibt das Feld leer, wird ein Zertifikat für den unter **SCEP-Server-Administrator-Benutzername** angegebenen Benutzer angefordert.| | ||
| 32 | |Domäne für Zertifikat (optional)|Nur bei Zertifikatstyp **Benutzer**. Definieren Sie die zugehörige Domäne des Benutzers.| | ||
| 33 | |DNS-Name für Zertifikat|Nur bei Zertifikatstyp **Computer**. Definieren Sie den DNS-Namen, für den das Zertifikat ausgestellt werden soll.| | ||
| 34 | |DNS-Namen automatisch bestimmen|Ermöglicht die automatische Generierung des DNS-Namens für das Zertifikat. Wählen Sie zwischen dem **Hostnamen** oder dem **FQDN** (Hostname.Domäne) des Clients.|Nein | ||
| 35 | |Computer-SID als Subject Alternative Name setzen|Aktiviert die Unterstützung für **Strong Certificate Mapping**. Der Thin Client **muss Mitglied einer Domäne sein**, um die passende SID ermitteln zu können.|aktiviert | ||
| 36 | |Benutzerdefinierte Optionen|Über dieses Feld können Sie der Zertifikatsanforderung zusätzliche Optionen hinzufügen.| | ||
| 37 | |Schlüssellänge (Bits)|Definiert die Schlüssellänge des anzufordernden Zertifikats.|2048 | ||
| 38 | |PKCS#7-Verschlüsselungsalgorithmus|Definiert den Verschlüsselungsalgorithmus des anzufordernden Zertifikats.|3DES | ||
| 39 | |PKCS#7-Signaturalgorithmus|Definiert den Signaturalgorithmus des anzufordernden Zertifikats.|SHA-512 | ||
| 40 | |PKCS#7-Fingerprint-Algorithmus|Definiert den Fingerprint-Algorithmus des anzufordernden Zertifikats.|SHA-512 | ||
| 41 | |Immer neuen Schlüssel erzeugen|Erstellt bei jeder Zertifikatsanforderung einen neuen privaten Schlüssel.|aktiviert | ||
| 42 | |(% colspan="3" %)((( | ||
| 43 | = Update = | ||
| 44 | ))) | ||
| 45 | |=Parameter|=Bedeutung|=Standard | ||
| 46 | |Automatisches Zertifikatsupdate|Definiert, zu welchen Zeitpunkten automatisch ein neues Zertifikat angefordert wird. Folgende Optionen stehen zur Verfügung:((( | ||
| 47 | * Niemals | ||
| 48 | * Bei jedem Systemstart | ||
| 49 | * Bei jedem Herunterfahren | ||
| 50 | * 1 Tag vor Ablauf des Zertifikats | ||
| 51 | * 7 Tage vor Ablauf des Zertifikats | ||
| 52 | )))|Niemals | ||
| 53 | |Update jetzt erzwingen|Wenn aktiviert, wird bei einem Klick auf **Übernehmen** sofort ein neues Zertifikat angefordert.|deaktiviert | ||
| 54 | |TCMS-Einstellungen nicht übernehmen|Wenn aktiviert, **ignoriert** der Client die vom **TCMS** übermittelten Einstellungen zur **SCEP-Konfiguration**.| | ||
| 55 | |(% colspan="3" %)((( | ||
| 56 | = Download = | ||
| 57 | ))) | ||
| 58 | |=Parameter|=Bedeutung|=Standard | ||
| 59 | |Zertifikat downloaden|Lädt das zuletzt ausgestellte Zertifikat inklusive des verwendeten Zertifikatstemplates und CA-Zertifikats vom Client als ZIP-Archiv herunter. | ||
| 60 | [[image:1760601514586-764.png||height="166" width="400"]]| | ||
| 61 | |(% colspan="3" %)((( | ||
| 62 | = Protokoll = | ||
| 63 | ))) | ||
| 64 | |=Parameter|=Bedeutung|=Standard | ||
| 65 | |Protokoll|Zeigt das Ergebnis der letzten Zertifikatsanforderung an.| |