RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
Die folgende Anleitung beschreibt, wie ein Client mit RangeeOS so konfiguriert wird, dass er über das SCEP (Simple Certificate Enrollment Protocol) ein Zertifikat von einem Zertifikatsserver anfordert.
Über das SCEP ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem WLAN-RADIUS-Server oder in einem 802.1X-Netzwerk verwendet werden.
Die folgende Anleitung beschreibt die Konfiguration des Clients. Die angegebenen Werte können je nach Zertifikatsinfrastruktur variieren.
Strong Certificate Binding
Seit Februar 2025 müssen alle Computerzertifikate, die sich gegenüber einem Windows-Netzwerkrichtlinienserver authentifizieren, die Anforderungen an das Strong Certificate Binding erfüllen (Quelle: Microsoft). Bis September 2025 kann die Durchsetzung dieser Anforderung noch durch das Setzen des folgenden Registrierungsschlüssels aufgeschoben werden:
Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc Name: StrongCertificateBindingEnforcement Type: DWORD Value: 1
Zusammengefasst müssen folgende Anforderungen erfüllt sein:
- Der Computer, zu dem das Zertifikat gehört, muss Mitglied der Domäne sein.
- Das Zertifikat muss die Erweiterung 1.3.6.1.4.1.311.25.2 enthalten. Darin muss die ObjectSID des Computerkontos kodiert sein.
- Die ObjectSID muss zum für das Zertifikat gewählten Hostnamen passen.
Um diese Anforderungen unter RangeeOS zu erfüllen, können Sie Ihre Geräte über Active Directory → Anmeldung Arbeitsstation in Ihre Domäne aufnehmen. Ist ein Client Mitglied der Domäne, wird in der SCEP-Konfiguration die Option „Setze Computer SID als Subject Alternative Name“ freigeschaltet. Ein anschließend angefordertes Zertifikat enthält dann die neue Erweiterung.
Konfiguration
Die SCEP-Konfiguration befindet sich in der Kommbox von RangeeOS unter System (früher Werkzeuge) → SCEP:
- SCEP aktivieren: muss aktiviert sein
- SCEP Server URL: http://FQDN/certsrv/mscep/mscep.dll
- SCEP Server Kennwort: Über MSCEP kann das Kennwort über Angabe berechtigter Zugangsdaten automatisch ermittelt werden; bei manueller Konfiguration wird nach dem SCEP Server Kennwort gefragt.
- SCEP Server Admin URL: http://FQDN/certsrv/mscep_admin/
- SCEP Server Admin Benutzername: Domäne\Benutzer, der über die entsprechenden Berechtigungen verfügt, ein Zertifikat anzufordern. Dies kann man an der URL http://FQDN/certsrv/mscep_admin/ testen – hier wird nach Benutzername und Passwort gefragt.
- SCEP Server Admin Passwort: das Passwort für den SCEP Server Admin
- Zertifikatstyp: Auswahl, ob das Zertifikat für einen Benutzer oder einen Computer ausgestellt wird.
- Benutzerzertifikat:
- Wird kein Benutzername und/oder keine Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und die Domäne verwendet.
- Computerzertifikat:
- DNS-Name für Zertifikat: Hier kann ein manueller Hostname für den Client eingetragen werden.
- DNS-Name automatisch ermitteln: Option zur Nutzung entweder des FQDN oder des Hostnamens des Clients für die Zertifikatsanforderung.
- Setze Computer SID als Subject Alternative Name: Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist notwendig, um die ObjectSID des Computerkontos als Subject Alternative Name in das Zertifikat aufzunehmen (siehe Abschnitt zum Strong Certificate Binding).
- Automatisches Zertifikatsupdate: Legt fest, wie oft das Zertifikat erneuert wird
- Jetzt Update erzwingen: Wenn aktiviert, wird beim Übernehmen sofort ein Zertifikat angefordert. So kann direkt im Log geprüft werden, ob die Anforderung erfolgreich war.
- TCMS-Einstellungen nicht übernehmen: Gibt an, ob die Einstellungen von der TCMS verteilt werden. Diese Option muss in der Gruppenkonfiguration aktiviert sein, damit sie funktioniert.
Beispielkonfiguration für einen Zertifikatsserver mit dem Hostnamen dc2019.windows.local in unserer Testumgebung: