Changes for page RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -1,4 +1,4 @@
1		-Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver anfordert.
	1	+Die folgende Anleitung beschreibt, wie ein Client mit RangeeOS so konfiguriert wird, dass er über das SCEP (Simple Certificate Enrollment Protocol) ein Zertifikat von einem Zertifikatsserver anfordert.
2	2
3	3	{{info}}
4	4	==== Zuletzt erfolgreich getestet mit: ====
...	...	@@ -5,45 +5,66 @@
5	5
6	6	**Client Versionen:**
7	7
8		-firmware amd64 - 10.01 Build 087
9		-firmware x64 - 11.00 Build 069
10		-firmware x64 - 12.00 Build 182
	8	+firmware x64 - 13.00 build 073
11	11
12	12	**Server Versionen:**
13	13
14		-Windows Server 2019 mit Active Directory Zertifikatsdiensten (mit der Rolle Registrierungsdienst für Netzwerkgeräte)
	12	+Windows Server 2019 mit Active Directory Zertifikatsdiensten
15	15	{{/info}}
16	16
	15	+Über das **SCEP **ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem WLAN-RADIUS-Server oder in einem 802.1X-Netzwerk verwendet werden.
17	17
18		-Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen.
	17	+Die folgende Anleitung beschreibt die Konfiguration des Clients. Die angegebenen Werte können je nach Zertifikatsinfrastruktur variieren.
19	19
20		-Die Verwendung des SCEP-Dienstes des Rangee OS sollte nur in Anspruch genommen werden, wenn ausreichend Erfahrung in diesem Gebiet besteht – Rangee stellt hierzu nur die Möglichkeit der Nutzung bereit.
	19	+== Strong Certificate Binding ==
21	21
22		-== Konfiguration ==
	21	+Seit Februar 2025 müssen alle Computerzertifikate, die sich gegenüber einem Windows-Netzwerkrichtlinienserver authentifizieren, die Anforderungen an das Strong Certificate Binding erfüllen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis September 2025 kann die Durchsetzung dieser Anforderung noch durch das Setzen des folgenden Registrierungsschlüssels aufgeschoben werden:
23	23
24		-Die SCEP-Konfiguration befindet sich in der Kommbox im Rangee OS und ist unter Werkzeuge zu finden.
	23	+{{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
	24	+Name: StrongCertificateBindingEnforcement
	25	+Type: DWORD
	26	+Value: 1}}}
25	25
26		-{{lightbox image="01_scep.png" group="1" title="SCEP"/}}
	28	+Zusammengefasst müssen folgende Anforderungen erfüllt sein:
27	27
28		-Um SCEP zu nutzen, müssen hier diverse Einstellungen gesetzt werden.
	30	+* Der Computer, zu dem das Zertifikat gehört, muss Mitglied der Domäne sein.
	31	+* Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin muss die **ObjectSID **des Computerkontos kodiert sein.
	32	+* Die **ObjectSID **muss zum für das Zertifikat gewählten Hostnamen passen.
29	29
	34	+Um diese Anforderungen unter RangeeOS zu erfüllen, können Sie Ihre Geräte über **Active Directory → Anmeldung Arbeitsstation** in Ihre Domäne aufnehmen. Ist ein Client Mitglied der Domäne, wird in der **SCEP**-Konfiguration die Option **„Setze Computer SID als Subject Alternative Name“** freigeschaltet. Ein anschließend angefordertes Zertifikat enthält dann die neue Erweiterung.
	35	+
	36	+{{info}}
	37	+Die Option **Setze Computer SID als Subject Alternative Name **ist erst ab Firmware x64 13.00 build 073 verfügbar.
	38	+{{/info}}
	39	+
	40	+(% class="wikigeneratedid" %)
	41	+[[image:scep01.png||height="515" width="400"]]
	42	+
	43	+== Konfiguration ==
	44	+
	45	+Die **SCEP**-Konfiguration befindet sich in der **Kommbox **von **RangeeOS **unter **System** (früher **Werkzeuge**) → **SCEP**:
	46	+
30	30	* **SCEP aktivieren:** muss aktiviert sein
31		-* **SCEP Server URL:** nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
32		-* **SCEP Server Kennwort:** MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
33		-* **SCEP Server Admin URL:** [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
34		-* **SCEP Server Admin Benutzername:** Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
	48	+* **SCEP Server URL:** http:~/~/FQDN/certsrv/mscep/mscep.dll
	49	+* **SCEP Server Kennwort:** Über MSCEP kann das Kennwort über Angabe berechtigter Zugangsdaten automatisch ermittelt werden; bei manueller Konfiguration wird nach dem SCEP Server Kennwort gefragt.
	50	+* **SCEP Server Admin URL:** http:~/~/FQDN/certsrv/mscep_admin/
	51	+* **SCEP Server Admin Benutzername:** Domäne\Benutzer, der über die entsprechenden Berechtigungen verfügt, ein Zertifikat anzufordern. Dies kann man an der URL http:~/~/FQDN/certsrv/mscep_admin/ testen – hier wird nach Benutzername und Passwort gefragt.
35	35	* **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin
36		-* **Zertifikatstyp:** ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
37		-* Wird bei einem Benutzerzertifikat kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
38		-* Wird Computerzertifikat gewählt, kann der der Hostname des Clients eingetragen werden oder einfach DNS Namen automatisch bestimmen gewählt werden, um diesen automatisch eintragen zu lassen.
39		-* **Automatisches Zertifikatsupdate:** gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
40		-* **Jetzt Update erzwingen:** wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
41		-* **TCMS-Einstellungen nicht übernehmen:** gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
	53	+* **Zertifikatstyp:** Auswahl, ob das Zertifikat für einen Benutzer oder einen Computer ausgestellt wird.
	54	+* **Benutzerzertifikat:**
	55	+** Wird kein Benutzername und/oder keine Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und die Domäne verwendet.
	56	+* **Computerzertifikat:**
	57	+** **DNS-Name für Zertifikat:** Hier kann ein manueller Hostname für den Client eingetragen werden.
	58	+** **DNS-Name automatisch ermitteln:** Option zur Nutzung entweder des FQDN oder des Hostnamens des Clients für die Zertifikatsanforderung.
	59	+** **Setze Computer SID als Subject Alternative Name:** Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist notwendig, um die ObjectSID des Computerkontos als Subject Alternative Name in das Zertifikat aufzunehmen (siehe Abschnitt zum Strong Certificate Binding).
	60	+* **Automatisches Zertifikatsupdate:** Legt fest, wie oft das Zertifikat erneuert wird
	61	+* **Jetzt Update erzwingen:** Wenn aktiviert, wird beim Übernehmen sofort ein Zertifikat angefordert. So kann direkt im Log geprüft werden, ob die Anforderung erfolgreich war.
	62	+* **TCMS-Einstellungen nicht übernehmen:** Gibt an, ob die Einstellungen von der TCMS verteilt werden. Diese Option muss in der Gruppenkonfiguration aktiviert sein, damit sie funktioniert.
42	42
43		-Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
	64	+**Beispielkonfiguration** für einen Zertifikatsserver mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
44	44
45		-{{lightbox image="scep_abruf.PNG" group="1" title="SCEP Konfiguration"/}}
	66	+
46	46
47		-Die erhaltenen Zertifikate werden unter {{status title="Werkzeuge"/}} -> {{status title="Zertifikate"/}}-> {{status title="Zertifikate anzeigen"/}} angezeigt.
	68	+[[image:1752130525822-903.png]]
48	48
49		-Genutzt werden kann ein solches Zertifikat bei entsprechender Infrastruktur beispielsweise, um sich über WLAN zu authentifizieren. Hierzu kann entsprechend in den Rangee Netzwerk-Einstellungen bei LAN und WLAN „Nutze SCEP Zertifikat“ ausgewählt werden.
	70	+