RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver über das SCEP (Simple Certificate Enrollment Protocol) anfordert.
Über das SCEP ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem W-LAN Radius Server oder einem 802.1x Netzwerk verwendet werden.
Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen.
Strong Certificate Binding
Seit Februar 2025 müssen alle Computerzertifikate, welche sich gegenüber einem Windows Netzwerkrichtlinienserver authentifizieren die Anforderungen an das Strong Certificate Binding unterstützen (Quelle: Microsoft). Bis zum September 2025 lässt sich das Erzwingen der Anforderung noch über Setzen dieses Registrierungsschlüssels aufschieben:
Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc Name: StrongCertificateBindingEnforcement Type: DWORD Value: 1
Zusammengefasst müssen folgende Anforderungen erfüllt werden:
- Der Computer, zu dem das Zertifikat gehört muss Mitglied der Domäne sein
- Das Zertifikat muss die Erweiterung 1.3.6.1.4.1.311.25.2 enthalten. Darin enthalten muss die ObjectSID des Computerkontos kodiert sein.
- Sie ObjectSID muss zum für das Zertifikat gewählten Hostnamen passen
Um die Anforderungen unter RangeeOS zu erfüllen können Sie Ihre Geräte über Active Directory -> Anmeldung Arbeitsstation mit in Ihre Domäne aufnehmen. Ist ein Client Mitglied einer Domäne wir in der SCEP Konfiguration die Option Setze Computer SID als Subject Alternative Name freigeschaltet. Ein Anschließend angefordertes Zertifikat enthält die neue Erweiterung.
Konfiguration
Die SCEP Konfiguration befindet sich in der Kommbox im RangeeOS unter System (früher Werkzeuge) -> SCEP:
- SCEP aktivieren: muss aktiviert sein
- SCEP Server URL: nach Microsoft-Anleitung: http://FQDN/certsrv/mscep/mscep.dll
- SCEP Server Kennwort: MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt.
- SCEP Server Admin URL: http://FQDN/certsrv/mscep_admin/
- SCEP Server Admin Benutzername: Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL http://FQDN/certsrv/mscep_admin/ erproben – hier wird nach einem Benutzer und Passwort gefragt.
- SCEP Server Admin Passwort: das Passwort für den SCEP Server Admin
- Zertifikatstyp: ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer.
- Benutzerzertifikat:
- Wird bei hier kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt.
- Computerzertifikat:
- DNS-Name für Zertifikat: Hier kann ein Manueller Hostname für den Client gewählt werden
- Hostnamen Automatisch ermitteln: Hier haben Sie die Option entweder den FQDN oder den Hostnamen des Clients für die Anforderung des Zertifikats zu nutzen
- Setze Computer SID als Subject Alternative Name: Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist erforderlich um die ObjektSID des Computerkontos mit als Subject Alternative Name ins Zertifikat aufzunehmen. Siehe Abschnitt zu Strong Certificat Binding
- Automatisches Zertifikatsupdate: gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft.
- Jetzt Update erzwingen: wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde.
- TCMS-Einstellungen nicht übernehmen: gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert.
Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung:
