Skip to Content
Last modified by Tobias Wintrich on 2024/08/29 16:45
From version 5.8
edited by tobias
on 2021/09/22 12:08
Change comment: Renamed from xwiki:Main.HowTos.Mit SCEP ein Computer-Benutzerzertifikat beziehen
To version 6.1
edited by rangee rangee
on 2021/09/27 10:42
Change comment: There is no comment for this version

Summary

Details

Page properties
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.tobias
1 +XWiki.rangee
Content
... ... @@ -13,7 +13,6 @@
13 13  Windows Server 2019 mit Active Directory Zertifikatsdiensten (mit der Rolle Registrierungsdienst für Netzwerkgeräte)
14 14  {{/info}}
15 15  
16 -\\
17 17  
18 18  Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen.
19 19  
... ... @@ -27,20 +27,19 @@
27 27  
28 28  Um SCEP zu nutzen, müssen hier diverse Einstellungen gesetzt werden.
29 29  
30 -* SCEP aktivieren: muss aktiviert sein
31 -* SCEP Server URL: nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
32 -* SCEP Server Kennwort: MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
33 -* SCEP Server Admin URL: [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
34 -* SCEP Server Admin Benutzername: Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
35 -* SCEP Server Admin Passwort: das Passwort für den SCEP Server Admin
36 -* Zertifikatstyp: ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
29 +* **SCEP aktivieren:** muss aktiviert sein
30 +* **SCEP Server URL:** nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]]
31 +* **SCEP Server Kennwort:** MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
32 +* **SCEP Server Admin URL:** [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]]
33 +* **SCEP Server Admin Benutzername:** Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt.
34 +* **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin
35 +* **Zertifikatstyp:** ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
37 37  * Wird bei einem Benutzerzertifikat kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
38 38  * Wird Computerzertifikat gewählt, kann der der Hostname des Clients eingetragen werden oder einfach DNS Namen automatisch bestimmen gewählt werden, um diesen automatisch eintragen zu lassen.
39 -* Automatisches Zertifikatsupdate: gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
40 -* Jetzt Update erzwingen: wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
41 -* TCMS-Einstellungen nicht übernehmen: gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
38 +* **Automatisches Zertifikatsupdate:** gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
39 +* **Jetzt Update erzwingen:** wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
40 +* **TCMS-Einstellungen nicht übernehmen:** gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
42 42  
43 -
44 44  Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
45 45  
46 46  [[image:attach:scep_abruf.PNG]]
... ... @@ -49,4 +49,4 @@
49 49  
50 50  Genutzt werden kann ein solches Zertifikat bei entsprechender Infrastruktur beispielsweise, um sich über WLAN zu authentifizieren. Hierzu kann entsprechend in den Rangee Netzwerk-Einstellungen bei LAN und WLAN „Nutze SCEP Zertifikat“ ausgewählt werden.
51 51  
52 -\\
50 +