Zum Inhalt springen
Zuletzt geändert von Tobias Wintrich am 2025/07/10 09:05
Von Version 5.2
bearbeitet von tobias
am 2021/09/17 13:36
Änderungskommentar: Update document after refactoring.
Auf Version 14.1
bearbeitet von Tobias Wintrich
am 2025/07/10 08:55
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -Mit SCEP ein Computer-Benutzerzertifikat beziehen
1 +RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
Übergeordnete Seite
... ... @@ -1,1 +1,1 @@
1 -WebHome
1 +HowTos.WebHome
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.tobias
1 +XWiki.twintrich
Tags
... ... @@ -1,0 +1,1 @@
1 +RangeeOS|Thin Client|Sicherheit|Zertifikate
Inhalt
... ... @@ -1,4 +1,4 @@
1 -Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver anfordert.
1 +Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver über das SCEP (Simple Certificate Enrollment Protocol) anfordert.
2 2  
3 3  {{info}}
4 4  ==== Zuletzt erfolgreich getestet mit: ====
... ... @@ -5,48 +5,64 @@
5 5  
6 6  **Client Versionen:**
7 7  
8 -firmware amd64 - 10.01 Build 087
9 -firmware x64 - 11.00 Build 069
8 +firmware x64 - 13.00 build 073
10 10  
11 11  **Server Versionen:**
12 12  
13 -Windows Server 2019 mit Active Directory Zertifikatsdiensten (mit der Rolle Registrierungsdienst für Netzwerkgeräte)
12 +Windows Server 2019 mit Active Directory Zertifikatsdiensten
14 14  {{/info}}
15 15  
16 -\\
15 +Über das SCEP ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem W-LAN Radius Server oder einem 802.1x Netzwerk verwendet werden.
17 17  
18 18  Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen.
19 19  
20 -Die Verwendung des SCEP-Dienstes des Rangee OS sollte nur in Anspruch genommen werden, wenn ausreichend Erfahrung in diesem Gebiet besteht – Rangee stellt hierzu nur die Möglichkeit der Nutzung bereit.
19 +== Strong Certificate Binding ==
21 21  
22 -== Konfiguration ==
21 +Seit Februar 2025 müssen alle Computerzertifikate, welche sich gegenüber einem Windows Netzwerkrichtlinienserver authentifizieren die Anforderungen an das Strong Certificate Binding unterstützen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis zum September 2025 lässt sich das Erzwingen der Anforderung noch über Setzen dieses Registrierungsschlüssels aufschieben:
23 23  
24 -Die SCEP-Konfiguration befindet sich in der Kommbox im Rangee OS und ist unter Werkzeuge zu finden.
23 +{{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
24 +Name: StrongCertificateBindingEnforcement
25 +Type: DWORD
26 +Value: 1}}}
25 25  
26 -[[image:attach:01_scep.png]]
28 +Zusammengefasstssen folgende Anforderungen erfüllt werden:
27 27  
28 -Um SCEP zu nutzen, müssen hier diverse Einstellungen gesetzt werden.
30 +* Der Computer, zu dem das Zertifikat gehört muss Mitglied der Domäne sein
31 +* Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin enthalten muss die ObjectSID des Computerkontos kodiert sein.
32 +* Sie ObjectSID muss zum für das Zertifikat gewählten Hostnamen passen
29 29  
30 -* SCEP aktivieren: muss aktiviert sein
31 -* SCEP Server URL: nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
32 -* SCEP Server Kennwort: MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
33 -* SCEP Server Admin URL: [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
34 -* SCEP Server Admin Benutzername: Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
35 -* SCEP Server Admin Passwort: das Passwort für den SCEP Server Admin
36 -* Zertifikatstyp: ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
37 -* Wird bei einem Benutzerzertifikat kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
38 -* Wird Computerzertifikat gewählt, kann der der Hostname des Clients eingetragen werden oder einfach DNS Namen automatisch bestimmen gewählt werden, um diesen automatisch eintragen zu lassen.
39 -* Automatisches Zertifikatsupdate: gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
40 -* Jetzt Update erzwingen: wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
41 -* TCMS-Einstellungen nicht übernehmen: gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
34 +Um die Anforderungen unter RangeeOS zu erfüllen können Sie Ihre Geräte über **Active Directory** -> **Anmeldung Arbeitsstation** mit in Ihre Domäne aufnehmen. Ist ein Client Mitglied einer Domäne wir in der **SCEP **Konfiguration die Option **Setze Computer SID als Subject Alternative Name** freigeschaltet. Ein Anschließend angefordertes Zertifikat enthält die neue Erweiterung.
42 42  
36 +{{info}}
37 +Die Option **Setze Computer SID als Subject Alternative Name **ist erst ab Firmware x64 13.00 build 073 verfügbar.
38 +{{/info}}
43 43  
44 -Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
40 +(% class="wikigeneratedid" %)
41 +[[image:scep01.png||height="515" width="400"]]
45 45  
46 -[[image:attach:scep_abruf.PNG]]
43 +== Konfiguration ==
47 47  
48 -Die erhaltenen Zertifikate werden unter Werkzeuge->Zertifikate->Zertifikate anzeigen angezeigt.
45 +Die **SCEP** Konfiguration befindet sich in der Kommbox im RangeeOS unter **System** (früher **Werkzeuge**) -> **SCEP:**
49 49  
50 -Genutzt werden kann ein solches Zertifikat bei entsprechender Infrastruktur beispielsweise, um sich über WLAN zu authentifizieren. Hierzu kann entsprechend in den Rangee Netzwerk-Einstellungen bei LAN und WLAN „Nutze SCEP Zertifikat“ ausgewählt werden.
47 +* **SCEP aktivieren:** muss aktiviert sein
48 +* **SCEP Server URL:** nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
49 +* **SCEP Server Kennwort:** MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
50 +* **SCEP Server Admin URL:** [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
51 +* **SCEP Server Admin Benutzername:** Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
52 +* **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin
53 +* **Zertifikatstyp:** ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
54 +* **Benutzerzertifikat:**
55 +** Wird bei hier kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
56 +* **Computerzertifikat:**
57 +** **DNS-Name für Zertifikat: **Hier kann ein Manueller Hostname für den Client gewählt werden
58 +** **Hostnamen Automatisch ermitteln:** Hier haben Sie die Option entweder den FQDN oder den Hostnamen des Clients für die Anforderung des Zertifikats zu nutzen
59 +** **Setze Computer SID als Subject Alternative Name**: Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist erforderlich um die ObjektSID des Computerkontos mit als Subject Alternative Name ins Zertifikat aufzunehmen. Siehe Abschnitt zu **Strong Certificat Binding**
60 +* **Automatisches Zertifikatsupdate:** gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
61 +* **Jetzt Update erzwingen:** wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
62 +* **TCMS-Einstellungen nicht übernehmen:** gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
51 51  
52 -\\
64 +Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
65 +
66 +[[image:1752130525822-903.png]]
67 +
68 +
1752130488625-447.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.twintrich
Größe
... ... @@ -1,0 +1,1 @@
1 +182.9 KB
Inhalt
1752130525822-903.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.twintrich
Größe
... ... @@ -1,0 +1,1 @@
1 +118.7 KB
Inhalt
scep01.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.twintrich
Größe
... ... @@ -1,0 +1,1 @@
1 +40.1 KB
Inhalt