Skip to Content
Last modified by Tobias Wintrich on 2025/07/10 09:05
From version 14.1
edited by Tobias Wintrich
on 2025/07/10 08:55
Change comment: There is no comment for this version
To version 5.7
edited by tobias
on 2021/09/22 12:08
Change comment: Renamed from xwiki:Main.RangeeOS.Mit SCEP ein Computer-Benutzerzertifikat beziehen

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,1 @@
1 -RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
1 +Mit SCEP ein Computer-Benutzerzertifikat beziehen
Parent
... ... @@ -1,1 +1,1 @@
1 -HowTos.WebHome
1 +WebHome
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.twintrich
1 +XWiki.tobias
Tags
... ... @@ -1,1 +1,0 @@
1 -RangeeOS|Thin Client|Sicherheit|Zertifikate
Content
... ... @@ -1,4 +1,4 @@
1 -Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver über das SCEP (Simple Certificate Enrollment Protocol) anfordert.
1 +Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver anfordert.
2 2  
3 3  {{info}}
4 4  ==== Zuletzt erfolgreich getestet mit: ====
... ... @@ -5,64 +5,48 @@
5 5  
6 6  **Client Versionen:**
7 7  
8 -firmware x64 - 13.00 build 073
8 +firmware amd64 - 10.01 Build 087
9 +firmware x64 - 11.00 Build 069
9 9  
10 10  **Server Versionen:**
11 11  
12 -Windows Server 2019 mit Active Directory Zertifikatsdiensten
13 +Windows Server 2019 mit Active Directory Zertifikatsdiensten (mit der Rolle Registrierungsdienst für Netzwerkgeräte)
13 13  {{/info}}
14 14  
15 -Über das SCEP ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem W-LAN Radius Server oder einem 802.1x Netzwerk verwendet werden.
16 +\\
16 16  
17 17  Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen.
18 18  
19 -== Strong Certificate Binding ==
20 +Die Verwendung des SCEP-Dienstes des Rangee OS sollte nur in Anspruch genommen werden, wenn ausreichend Erfahrung in diesem Gebiet besteht – Rangee stellt hierzu nur die Möglichkeit der Nutzung bereit.
20 20  
21 -Seit Februar 2025 müssen alle Computerzertifikate, welche sich gegenüber einem Windows Netzwerkrichtlinienserver authentifizieren die Anforderungen an das Strong Certificate Binding unterstützen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis zum September 2025 lässt sich das Erzwingen der Anforderung noch über Setzen dieses Registrierungsschlüssels aufschieben:
22 +== Konfiguration ==
22 22  
23 -{{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
24 -Name: StrongCertificateBindingEnforcement
25 -Type: DWORD
26 -Value: 1}}}
24 +Die SCEP-Konfiguration befindet sich in der Kommbox im Rangee OS und ist unter Werkzeuge zu finden.
27 27  
28 -Zusammengefasstssen folgende Anforderungen erfüllt werden:
26 +[[image:attach:01_scep.png]]
29 29  
30 -* Der Computer, zu dem das Zertifikat gehört muss Mitglied der Domäne sein
31 -* Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin enthalten muss die ObjectSID des Computerkontos kodiert sein.
32 -* Sie ObjectSID muss zum für das Zertifikat gewählten Hostnamen passen
28 +Um SCEP zu nutzen, müssen hier diverse Einstellungen gesetzt werden.
33 33  
34 -Um die Anforderungen unter RangeeOS zu erfüllen können Sie Ihre Geräte über **Active Directory** -> **Anmeldung Arbeitsstation** mit in Ihre Domäne aufnehmen. Ist ein Client Mitglied einer Domäne wir in der **SCEP **Konfiguration die Option **Setze Computer SID als Subject Alternative Name** freigeschaltet. Ein Anschließend angefordertes Zertifikat enthält die neue Erweiterung.
30 +* SCEP aktivieren: muss aktiviert sein
31 +* SCEP Server URL: nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
32 +* SCEP Server Kennwort: MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
33 +* SCEP Server Admin URL: [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
34 +* SCEP Server Admin Benutzername: Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
35 +* SCEP Server Admin Passwort: das Passwort für den SCEP Server Admin
36 +* Zertifikatstyp: ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
37 +* Wird bei einem Benutzerzertifikat kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
38 +* Wird Computerzertifikat gewählt, kann der der Hostname des Clients eingetragen werden oder einfach DNS Namen automatisch bestimmen gewählt werden, um diesen automatisch eintragen zu lassen.
39 +* Automatisches Zertifikatsupdate: gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
40 +* Jetzt Update erzwingen: wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
41 +* TCMS-Einstellungen nicht übernehmen: gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
35 35  
36 -{{info}}
37 -Die Option **Setze Computer SID als Subject Alternative Name **ist erst ab Firmware x64 13.00 build 073 verfügbar.
38 -{{/info}}
39 39  
40 -(% class="wikigeneratedid" %)
41 -[[image:scep01.png||height="515" width="400"]]
44 +Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
42 42  
43 -== Konfiguration ==
46 +[[image:attach:scep_abruf.PNG]]
44 44  
45 -Die **SCEP** Konfiguration befindet sich in der Kommbox im RangeeOS unter **System** (früher **Werkzeuge**) -> **SCEP:**
48 +Die erhaltenen Zertifikate werden unter Werkzeuge->Zertifikate->Zertifikate anzeigen angezeigt.
46 46  
47 -* **SCEP aktivieren:** muss aktiviert sein
48 -* **SCEP Server URL:** nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
49 -* **SCEP Server Kennwort:** MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
50 -* **SCEP Server Admin URL:** [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
51 -* **SCEP Server Admin Benutzername:** Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
52 -* **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin
53 -* **Zertifikatstyp:** ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
54 -* **Benutzerzertifikat:**
55 -** Wird bei hier kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
56 -* **Computerzertifikat:**
57 -** **DNS-Name für Zertifikat: **Hier kann ein Manueller Hostname für den Client gewählt werden
58 -** **Hostnamen Automatisch ermitteln:** Hier haben Sie die Option entweder den FQDN oder den Hostnamen des Clients für die Anforderung des Zertifikats zu nutzen
59 -** **Setze Computer SID als Subject Alternative Name**: Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist erforderlich um die ObjektSID des Computerkontos mit als Subject Alternative Name ins Zertifikat aufzunehmen. Siehe Abschnitt zu **Strong Certificat Binding**
60 -* **Automatisches Zertifikatsupdate:** gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
61 -* **Jetzt Update erzwingen:** wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
62 -* **TCMS-Einstellungen nicht übernehmen:** gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
50 +Genutzt werden kann ein solches Zertifikat bei entsprechender Infrastruktur beispielsweise, um sich über WLAN zu authentifizieren. Hierzu kann entsprechend in den Rangee Netzwerk-Einstellungen bei LAN und WLAN „Nutze SCEP Zertifikat“ ausgewählt werden.
63 63  
64 -Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
65 -
66 -[[image:1752130525822-903.png]]
67 -
68 -
52 +\\
1752130488625-447.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.twintrich
Size
... ... @@ -1,1 +1,0 @@
1 -182.9 KB
Content
1752130525822-903.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.twintrich
Size
... ... @@ -1,1 +1,0 @@
1 -118.7 KB
Content
scep01.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.twintrich
Size
... ... @@ -1,1 +1,0 @@
1 -40.1 KB
Content