RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen

1

Die folgende Anleitung beschreibt, wie ein Client mit RangeeOS so konfiguriert wird, dass er über das SCEP (Simple Certificate Enrollment Protocol) ein Zertifikat von einem Zertifikatsserver anfordert.

2

3

4

==== Zuletzt erfolgreich getestet mit: ====

5

6

**Client Versionen:**

7

8

firmware x64 - 13.00 build 073

9

10

**Server Versionen:**

11

12

Windows Server 2019 mit Active Directory Zertifikatsdiensten

13

14

15

Über das **SCEP **ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem WLAN-RADIUS-Server oder in einem 802.1X-Netzwerk verwendet werden.

16

17

Die folgende Anleitung beschreibt die Konfiguration des Clients. Die angegebenen Werte können je nach Zertifikatsinfrastruktur variieren.

18

19

== Strong Certificate Binding ==

20

21

Seit Februar 2025 müssen alle Computerzertifikate, die sich gegenüber einem Windows-Netzwerkrichtlinienserver authentifizieren, die Anforderungen an das Strong Certificate Binding erfüllen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis September 2025 kann die Durchsetzung dieser Anforderung noch durch das Setzen des folgenden Registrierungsschlüssels aufgeschoben werden:

22

23

{{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc

24

Name: StrongCertificateBindingEnforcement

Type: DWORD

Value: 1}}}

Zusammengefasst müssen folgende Anforderungen erfüllt sein:

29

30

* Der Computer, zu dem das Zertifikat gehört, muss Mitglied der Domäne sein.

31

* Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin muss die **ObjectSID **des Computerkontos kodiert sein.

32

* Die **ObjectSID **muss zum für das Zertifikat gewählten Hostnamen passen.

33

34

Um diese Anforderungen unter RangeeOS zu erfüllen, können Sie Ihre Geräte über **Active Directory → Anmeldung Arbeitsstation** in Ihre Domäne aufnehmen. Ist ein Client Mitglied der Domäne, wird in der **SCEP**-Konfiguration die Option **„Setze Computer SID als Subject Alternative Name“** freigeschaltet. Ein anschließend angefordertes Zertifikat enthält dann die neue Erweiterung.

35

36

37

Die Option **Setze Computer SID als Subject Alternative Name **ist erst ab Firmware x64 13.00 build 073 verfügbar.

38

39

40

(% class="wikigeneratedid" %)

41

[[image:scep01.png||height="515" width="400"]]

== Konfiguration ==

Die **SCEP**-Konfiguration befindet sich in der **Kommbox **von **RangeeOS **unter **System** (früher **Werkzeuge**) → **SCEP**:

46

47

* **SCEP aktivieren:** muss aktiviert sein

48

* **SCEP Server URL:** http:~/~/FQDN/certsrv/mscep/mscep.dll

49

* **SCEP Server Kennwort:** Über MSCEP kann das Kennwort über Angabe berechtigter Zugangsdaten automatisch ermittelt werden; bei manueller Konfiguration wird nach dem SCEP Server Kennwort gefragt.

50

* **SCEP Server Admin URL:** http:~/~/FQDN/certsrv/mscep_admin/

51

* **SCEP Server Admin Benutzername:** Domäne\Benutzer, der über die entsprechenden Berechtigungen verfügt, ein Zertifikat anzufordern. Dies kann man an der URL http:~/~/FQDN/certsrv/mscep_admin/ testen – hier wird nach Benutzername und Passwort gefragt.

52

* **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin

53

* **Zertifikatstyp:** Auswahl, ob das Zertifikat für einen Benutzer oder einen Computer ausgestellt wird.

54

* **Benutzerzertifikat:**

55

** Wird kein Benutzername und/oder keine Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und die Domäne verwendet.

56

* **Computerzertifikat:**

57

** **DNS-Name für Zertifikat:** Hier kann ein manueller Hostname für den Client eingetragen werden.

58

** **DNS-Name automatisch ermitteln:** Option zur Nutzung entweder des FQDN oder des Hostnamens des Clients für die Zertifikatsanforderung.

59

** **Setze Computer SID als Subject Alternative Name:** Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist notwendig, um die ObjectSID des Computerkontos als Subject Alternative Name in das Zertifikat aufzunehmen (siehe Abschnitt zum Strong Certificate Binding).

60

* **Automatisches Zertifikatsupdate:** Legt fest, wie oft das Zertifikat erneuert wird

61

* **Jetzt Update erzwingen:** Wenn aktiviert, wird beim Übernehmen sofort ein Zertifikat angefordert. So kann direkt im Log geprüft werden, ob die Anforderung erfolgreich war.

62

* **TCMS-Einstellungen nicht übernehmen:** Gibt an, ob die Einstellungen von der TCMS verteilt werden. Diese Option muss in der Gruppenkonfiguration aktiviert sein, damit sie funktioniert.

63

64

**Beispielkonfiguration** für einen Zertifikatsserver mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:

[[image:1752130525822-903.png]]

69

70

author	version	line-number	content
		1	Die folgende Anleitung beschreibt, wie ein Client mit RangeeOS so konfiguriert wird, dass er über das SCEP (Simple Certificate Enrollment Protocol) ein Zertifikat von einem Zertifikatsserver anfordert.
		2
		3	{{info}}
		4	==== Zuletzt erfolgreich getestet mit: ====
		5
		6	Client Versionen:
		7
		8	firmware x64 - 13.00 build 073
		9
		10	Server Versionen:
		11
		12	Windows Server 2019 mit Active Directory Zertifikatsdiensten
		13	{{/info}}
		14
		15	Über das SCEP ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem WLAN-RADIUS-Server oder in einem 802.1X-Netzwerk verwendet werden.
		16
		17	Die folgende Anleitung beschreibt die Konfiguration des Clients. Die angegebenen Werte können je nach Zertifikatsinfrastruktur variieren.
		18
		19	== Strong Certificate Binding ==
		20
		21	Seit Februar 2025 müssen alle Computerzertifikate, die sich gegenüber einem Windows-Netzwerkrichtlinienserver authentifizieren, die Anforderungen an das Strong Certificate Binding erfüllen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis September 2025 kann die Durchsetzung dieser Anforderung noch durch das Setzen des folgenden Registrierungsschlüssels aufgeschoben werden:
		22
		23	{{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
		24	Name: StrongCertificateBindingEnforcement
		25	Type: DWORD
		26	Value: 1}}}
		27
		28	Zusammengefasst müssen folgende Anforderungen erfüllt sein:
		29
		30	* Der Computer, zu dem das Zertifikat gehört, muss Mitglied der Domäne sein.
		31	* Das Zertifikat muss die Erweiterung 1.3.6.1.4.1.311.25.2 enthalten. Darin muss die ObjectSID des Computerkontos kodiert sein.
		32	* Die ObjectSID muss zum für das Zertifikat gewählten Hostnamen passen.
		33
		34	Um diese Anforderungen unter RangeeOS zu erfüllen, können Sie Ihre Geräte über Active Directory → Anmeldung Arbeitsstation in Ihre Domäne aufnehmen. Ist ein Client Mitglied der Domäne, wird in der SCEP-Konfiguration die Option „Setze Computer SID als Subject Alternative Name“ freigeschaltet. Ein anschließend angefordertes Zertifikat enthält dann die neue Erweiterung.
		35
		36	{{info}}
		37	Die Option Setze Computer SID als Subject Alternative Name ist erst ab Firmware x64 13.00 build 073 verfügbar.
		38	{{/info}}
		39
		40	(% class="wikigeneratedid" %)
		41	[[image:scep01.png\|\|height="515" width="400"]]
		42
		43	== Konfiguration ==
		44
		45	Die SCEP-Konfiguration befindet sich in der Kommbox von RangeeOS unter System (früher Werkzeuge) → SCEP:
		46
		47	* SCEP aktivieren: muss aktiviert sein
		48	* SCEP Server URL: http:~/~/FQDN/certsrv/mscep/mscep.dll
		49	* SCEP Server Kennwort: Über MSCEP kann das Kennwort über Angabe berechtigter Zugangsdaten automatisch ermittelt werden; bei manueller Konfiguration wird nach dem SCEP Server Kennwort gefragt.
		50	* SCEP Server Admin URL: http:~/~/FQDN/certsrv/mscep_admin/
		51	* SCEP Server Admin Benutzername: Domäne\Benutzer, der über die entsprechenden Berechtigungen verfügt, ein Zertifikat anzufordern. Dies kann man an der URL http:~/~/FQDN/certsrv/mscep_admin/ testen – hier wird nach Benutzername und Passwort gefragt.
		52	* SCEP Server Admin Passwort: das Passwort für den SCEP Server Admin
		53	* Zertifikatstyp: Auswahl, ob das Zertifikat für einen Benutzer oder einen Computer ausgestellt wird.
		54	* Benutzerzertifikat:
		55	** Wird kein Benutzername und/oder keine Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und die Domäne verwendet.
		56	* Computerzertifikat:
		57	DNS-Name für Zertifikat:** Hier kann ein manueller Hostname für den Client eingetragen werden.
		58	DNS-Name automatisch ermitteln:** Option zur Nutzung entweder des FQDN oder des Hostnamens des Clients für die Zertifikatsanforderung.
		59	Setze Computer SID als Subject Alternative Name:** Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist notwendig, um die ObjectSID des Computerkontos als Subject Alternative Name in das Zertifikat aufzunehmen (siehe Abschnitt zum Strong Certificate Binding).
		60	* Automatisches Zertifikatsupdate: Legt fest, wie oft das Zertifikat erneuert wird
		61	* Jetzt Update erzwingen: Wenn aktiviert, wird beim Übernehmen sofort ein Zertifikat angefordert. So kann direkt im Log geprüft werden, ob die Anforderung erfolgreich war.
		62	* TCMS-Einstellungen nicht übernehmen: Gibt an, ob die Einstellungen von der TCMS verteilt werden. Diese Option muss in der Gruppenkonfiguration aktiviert sein, damit sie funktioniert.
		63
		64	Beispielkonfiguration für einen Zertifikatsserver mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
		65
		66
		67
		68	[[image:1752130525822-903.png]]
		69
		70

Wiki-Quellcode von RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen