Wiki-Quellcode von RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
Version 14.1 von Tobias Wintrich am 2025/07/10 08:55
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver über das SCEP (Simple Certificate Enrollment Protocol) anfordert. | ||
| 2 | |||
| 3 | {{info}} | ||
| 4 | ==== Zuletzt erfolgreich getestet mit: ==== | ||
| 5 | |||
| 6 | **Client Versionen:** | ||
| 7 | |||
| 8 | firmware x64 - 13.00 build 073 | ||
| 9 | |||
| 10 | **Server Versionen:** | ||
| 11 | |||
| 12 | Windows Server 2019 mit Active Directory Zertifikatsdiensten | ||
| 13 | {{/info}} | ||
| 14 | |||
| 15 | Über das SCEP ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem W-LAN Radius Server oder einem 802.1x Netzwerk verwendet werden. | ||
| 16 | |||
| 17 | Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen. | ||
| 18 | |||
| 19 | == Strong Certificate Binding == | ||
| 20 | |||
| 21 | Seit Februar 2025 müssen alle Computerzertifikate, welche sich gegenüber einem Windows Netzwerkrichtlinienserver authentifizieren die Anforderungen an das Strong Certificate Binding unterstützen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis zum September 2025 lässt sich das Erzwingen der Anforderung noch über Setzen dieses Registrierungsschlüssels aufschieben: | ||
| 22 | |||
| 23 | {{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc | ||
| 24 | Name: StrongCertificateBindingEnforcement | ||
| 25 | Type: DWORD | ||
| 26 | Value: 1}}} | ||
| 27 | |||
| 28 | Zusammengefasst müssen folgende Anforderungen erfüllt werden: | ||
| 29 | |||
| 30 | * Der Computer, zu dem das Zertifikat gehört muss Mitglied der Domäne sein | ||
| 31 | * Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin enthalten muss die ObjectSID des Computerkontos kodiert sein. | ||
| 32 | * Sie ObjectSID muss zum für das Zertifikat gewählten Hostnamen passen | ||
| 33 | |||
| 34 | Um die Anforderungen unter RangeeOS zu erfüllen können Sie Ihre Geräte über **Active Directory** -> **Anmeldung Arbeitsstation** mit in Ihre Domäne aufnehmen. Ist ein Client Mitglied einer Domäne wir in der **SCEP **Konfiguration die Option **Setze Computer SID als Subject Alternative Name** freigeschaltet. Ein Anschließend angefordertes Zertifikat enthält die neue Erweiterung. | ||
| 35 | |||
| 36 | {{info}} | ||
| 37 | Die Option **Setze Computer SID als Subject Alternative Name **ist erst ab Firmware x64 13.00 build 073 verfügbar. | ||
| 38 | {{/info}} | ||
| 39 | |||
| 40 | (% class="wikigeneratedid" %) | ||
| 41 | [[image:scep01.png||height="515" width="400"]] | ||
| 42 | |||
| 43 | == Konfiguration == | ||
| 44 | |||
| 45 | Die **SCEP** Konfiguration befindet sich in der Kommbox im RangeeOS unter **System** (früher **Werkzeuge**) -> **SCEP:** | ||
| 46 | |||
| 47 | * **SCEP aktivieren:** muss aktiviert sein | ||
| 48 | * **SCEP Server URL:** nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]] | ||
| 49 | * **SCEP Server Kennwort:** MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt. | ||
| 50 | * **SCEP Server Admin URL:** [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] | ||
| 51 | * **SCEP Server Admin Benutzername:** Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt. | ||
| 52 | * **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin | ||
| 53 | * **Zertifikatstyp:** ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer. | ||
| 54 | * **Benutzerzertifikat:** | ||
| 55 | ** Wird bei hier kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt. | ||
| 56 | * **Computerzertifikat:** | ||
| 57 | ** **DNS-Name für Zertifikat: **Hier kann ein Manueller Hostname für den Client gewählt werden | ||
| 58 | ** **Hostnamen Automatisch ermitteln:** Hier haben Sie die Option entweder den FQDN oder den Hostnamen des Clients für die Anforderung des Zertifikats zu nutzen | ||
| 59 | ** **Setze Computer SID als Subject Alternative Name**: Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist erforderlich um die ObjektSID des Computerkontos mit als Subject Alternative Name ins Zertifikat aufzunehmen. Siehe Abschnitt zu **Strong Certificat Binding** | ||
| 60 | * **Automatisches Zertifikatsupdate:** gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft. | ||
| 61 | * **Jetzt Update erzwingen:** wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde. | ||
| 62 | * **TCMS-Einstellungen nicht übernehmen:** gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert. | ||
| 63 | |||
| 64 | Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung: | ||
| 65 | |||
| 66 | [[image:1752130525822-903.png]] | ||
| 67 | |||
| 68 |