Zum Inhalt springen
Zuletzt geändert von Tobias Wintrich am 2025/07/10 09:05
Von Version 14.1
bearbeitet von Tobias Wintrich
am 2025/07/10 08:55
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 15.1
bearbeitet von Tobias Wintrich
am 2025/07/10 09:05
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,4 +1,4 @@
1 -Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver über das SCEP (Simple Certificate Enrollment Protocol) anfordert.
1 +Die folgende Anleitung beschreibt, wie ein Client mit RangeeOS so konfiguriert wird, dass er über das SCEP (Simple Certificate Enrollment Protocol) ein Zertifikat von einem Zertifikatsserver anfordert.
2 2  
3 3  {{info}}
4 4  ==== Zuletzt erfolgreich getestet mit: ====
... ... @@ -12,13 +12,13 @@
12 12  Windows Server 2019 mit Active Directory Zertifikatsdiensten
13 13  {{/info}}
14 14  
15 -Über das SCEP ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem W-LAN Radius Server oder einem 802.1x Netzwerk verwendet werden.
15 +Über das **SCEP **ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem WLAN-RADIUS-Server oder in einem 802.1X-Netzwerk verwendet werden.
16 16  
17 -Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen.
17 +Die folgende Anleitung beschreibt die Konfiguration des Clients. Die angegebenen Werte können je nach Zertifikatsinfrastruktur variieren.
18 18  
19 19  == Strong Certificate Binding ==
20 20  
21 -Seit Februar 2025 müssen alle Computerzertifikate, welche sich gegenüber einem Windows Netzwerkrichtlinienserver authentifizieren die Anforderungen an das Strong Certificate Binding unterstützen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis zum September 2025 lässt sich das Erzwingen der Anforderung noch über Setzen dieses Registrierungsschlüssels aufschieben:
21 +Seit Februar 2025 müssen alle Computerzertifikate, die sich gegenüber einem Windows-Netzwerkrichtlinienserver authentifizieren, die Anforderungen an das Strong Certificate Binding erfüllen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis September 2025 kann die Durchsetzung dieser Anforderung noch durch das Setzen des folgenden Registrierungsschlüssels aufgeschoben werden:
22 22  
23 23  {{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
24 24  Name: StrongCertificateBindingEnforcement
... ... @@ -25,13 +25,13 @@
25 25  Type: DWORD
26 26  Value: 1}}}
27 27  
28 -Zusammengefasst müssen folgende Anforderungen erfüllt werden:
28 +Zusammengefasst müssen folgende Anforderungen erfüllt sein:
29 29  
30 -* Der Computer, zu dem das Zertifikat gehört muss Mitglied der Domäne sein
31 -* Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin enthalten muss die ObjectSID des Computerkontos kodiert sein.
32 -* Sie ObjectSID muss zum für das Zertifikat gewählten Hostnamen passen
30 +* Der Computer, zu dem das Zertifikat gehört, muss Mitglied der Domäne sein.
31 +* Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin muss die **ObjectSID **des Computerkontos kodiert sein.
32 +* Die **ObjectSID **muss zum für das Zertifikat gewählten Hostnamen passen.
33 33  
34 -Um die Anforderungen unter RangeeOS zu erfüllen können Sie Ihre Geräte über **Active Directory** -> **Anmeldung Arbeitsstation** mit in Ihre Domäne aufnehmen. Ist ein Client Mitglied einer Domäne wir in der **SCEP **Konfiguration die Option **Setze Computer SID als Subject Alternative Name** freigeschaltet. Ein Anschließend angefordertes Zertifikat enthält die neue Erweiterung.
34 +Um diese Anforderungen unter RangeeOS zu erfüllen, können Sie Ihre Geräte über **Active Directory Anmeldung Arbeitsstation** in Ihre Domäne aufnehmen. Ist ein Client Mitglied der Domäne, wird in der **SCEP**-Konfiguration die Option **Setze Computer SID als Subject Alternative Name** freigeschaltet. Ein anschließend angefordertes Zertifikat enthält dann die neue Erweiterung.
35 35  
36 36  {{info}}
37 37  Die Option **Setze Computer SID als Subject Alternative Name **ist erst ab Firmware x64 13.00 build 073 verfügbar.
... ... @@ -42,27 +42,29 @@
42 42  
43 43  == Konfiguration ==
44 44  
45 -Die **SCEP** Konfiguration befindet sich in der Kommbox im RangeeOS unter **System** (früher **Werkzeuge**) -> **SCEP:**
45 +Die **SCEP**-Konfiguration befindet sich in der **Kommbox **von **RangeeOS **unter **System** (früher **Werkzeuge**) **SCEP**:
46 46  
47 47  * **SCEP aktivieren:** muss aktiviert sein
48 -* **SCEP Server URL:** nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
49 -* **SCEP Server Kennwort:** MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
50 -* **SCEP Server Admin URL:** [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
51 -* **SCEP Server Admin Benutzername:** Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
48 +* **SCEP Server URL:** http:~/~/FQDN/certsrv/mscep/mscep.dll
49 +* **SCEP Server Kennwort:** Über MSCEP kann das Kennwort über Angabe berechtigter Zugangsdaten automatisch ermittelt werden; bei manueller Konfiguration wird nach dem SCEP Server Kennwort gefragt.
50 +* **SCEP Server Admin URL:** http:~/~/FQDN/certsrv/mscep_admin/
51 +* **SCEP Server Admin Benutzername:** Domäne\Benutzer, der über die entsprechenden Berechtigungen verfügt, ein Zertifikat anzufordern. Dies kann man an der URL http:~/~/FQDN/certsrv/mscep_admin/ testen – hier wird nach Benutzername und Passwort gefragt.
52 52  * **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin
53 -* **Zertifikatstyp:** ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
53 +* **Zertifikatstyp:** Auswahl, ob das Zertifikat für einen Benutzer oder einen Computer ausgestellt wird.
54 54  * **Benutzerzertifikat:**
55 -** Wird bei hier kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
55 +** Wird kein Benutzername und/oder keine Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und die Domäne verwendet.
56 56  * **Computerzertifikat:**
57 -** **DNS-Name für Zertifikat: **Hier kann ein Manueller Hostname für den Client gewählt werden
58 -** **Hostnamen Automatisch ermitteln:** Hier haben Sie die Option entweder den FQDN oder den Hostnamen des Clients für die Anforderung des Zertifikats zu nutzen
59 -** **Setze Computer SID als Subject Alternative Name**: Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist erforderlich um die ObjektSID des Computerkontos mit als Subject Alternative Name ins Zertifikat aufzunehmen. Siehe Abschnitt zu **Strong Certificat Binding**
60 -* **Automatisches Zertifikatsupdate:** gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
61 -* **Jetzt Update erzwingen:** wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
62 -* **TCMS-Einstellungen nicht übernehmen:** gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
57 +** **DNS-Name für Zertifikat:** Hier kann ein manueller Hostname für den Client eingetragen werden.
58 +** **DNS-Name automatisch ermitteln:** Option zur Nutzung entweder des FQDN oder des Hostnamens des Clients für die Zertifikatsanforderung.
59 +** **Setze Computer SID als Subject Alternative Name:** Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist notwendig, um die ObjectSID des Computerkontos als Subject Alternative Name in das Zertifikat aufzunehmen (siehe Abschnitt zum Strong Certificate Binding).
60 +* **Automatisches Zertifikatsupdate:** Legt fest, wie oft das Zertifikat erneuert wird
61 +* **Jetzt Update erzwingen:** Wenn aktiviert, wird beim Übernehmen sofort ein Zertifikat angefordert. So kann direkt im Log geprüft werden, ob die Anforderung erfolgreich war.
62 +* **TCMS-Einstellungen nicht übernehmen:** Gibt an, ob die Einstellungen von der TCMS verteilt werden. Diese Option muss in der Gruppenkonfiguration aktiviert sein, damit sie funktioniert.
63 63  
64 -Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
64 +**Beispielkonfiguration** für einen Zertifikatsserver mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
65 65  
66 +
67 +
66 66  [[image:1752130525822-903.png]]
67 67  
68 68