Wiki source code of Mit SCEP ein Computer-Benutzerzertifikat beziehen
Version 5.2 by tobias on 2021/09/17 13:36
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | Die folgende Anleitung beschreibt, wie man einen Client mit dem Rangee OS so konfiguriert, dass er ein Zertifikat bei einem Zertifikatsserver anfordert. | ||
| 2 | |||
| 3 | {{info}} | ||
| 4 | ==== Zuletzt erfolgreich getestet mit: ==== | ||
| 5 | |||
| 6 | **Client Versionen:** | ||
| 7 | |||
| 8 | firmware amd64 - 10.01 Build 087 | ||
| 9 | firmware x64 - 11.00 Build 069 | ||
| 10 | |||
| 11 | **Server Versionen:** | ||
| 12 | |||
| 13 | Windows Server 2019 mit Active Directory Zertifikatsdiensten (mit der Rolle Registrierungsdienst für Netzwerkgeräte) | ||
| 14 | {{/info}} | ||
| 15 | |||
| 16 | \\ | ||
| 17 | |||
| 18 | Die nachfolgende Anleitung beschreibt die Konfiguration des Clients – die angegebenen Daten können je nach Zertifikatsinfrastruktur voneinander abweichen. | ||
| 19 | |||
| 20 | Die Verwendung des SCEP-Dienstes des Rangee OS sollte nur in Anspruch genommen werden, wenn ausreichend Erfahrung in diesem Gebiet besteht – Rangee stellt hierzu nur die Möglichkeit der Nutzung bereit. | ||
| 21 | |||
| 22 | == Konfiguration == | ||
| 23 | |||
| 24 | Die SCEP-Konfiguration befindet sich in der Kommbox im Rangee OS und ist unter Werkzeuge zu finden. | ||
| 25 | |||
| 26 | [[image:attach:01_scep.png]] | ||
| 27 | |||
| 28 | Um SCEP zu nutzen, müssen hier diverse Einstellungen gesetzt werden. | ||
| 29 | |||
| 30 | * SCEP aktivieren: muss aktiviert sein | ||
| 31 | * SCEP Server URL: nach Microsoft-Anleitung: [[http:~~/~~/FQDN/certsrv/mscep/mscep.dll>>url:http://FQDN/certsrv/mscep/mscep.dll||shape="rect"]] | ||
| 32 | * SCEP Server Kennwort: MSCEP ist der SCEP-Server von Microsoft, bei Manuell wird nur nach dem SCEP Server Kennwort gefragt. | ||
| 33 | * SCEP Server Admin URL: [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] | ||
| 34 | * SCEP Server Admin Benutzername: Domäne\Benutzer, welcher die entsprechenden Berechtigungen hat, ein Zertifikat anzufordern. Dies kann man an der oberen URL [[http:~~/~~/FQDN/certsrv/mscep_admin/>>url:http://FQDN/certsrv/mscep_admin/||shape="rect"]] erproben – hier wird nach einem Benutzer und Passwort gefragt. | ||
| 35 | * SCEP Server Admin Passwort: das Passwort für den SCEP Server Admin | ||
| 36 | * Zertifikatstyp: ob das Zertifikat auf einen Benutzer angelegt werden soll oder auf einen Computer. | ||
| 37 | * Wird bei einem Benutzerzertifikat kein Benutzername und/oder Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und Domäne genutzt. | ||
| 38 | * Wird Computerzertifikat gewählt, kann der der Hostname des Clients eingetragen werden oder einfach DNS Namen automatisch bestimmen gewählt werden, um diesen automatisch eintragen zu lassen. | ||
| 39 | * Automatisches Zertifikatsupdate: gibt an, wie oft das beantragte Zertifikat erneuert werden soll, damit das Zertifikat nicht abläuft. | ||
| 40 | * Jetzt Update erzwingen: wenn dies gewählt wird, wird beim Übernehmen direkt das Zertifikat angefordert – hierdurch kann man direkt in dem Log nachsehen, ob erfolgreich ein Zertifikat angefordert wurde. | ||
| 41 | * TCMS-Einstellungen nicht übernehmen: gibt wie immer an, ob die Einstellungen von der TCMS verteilt werden. Muss in der Gruppenkonfiguration angehakt sein, damit es funktioniert. | ||
| 42 | |||
| 43 | |||
| 44 | Beispielkonfiguration anhand eines Zertifikatsservers mit dem Hostnamen dc2019.windows.local in unserer Testumgebung: | ||
| 45 | |||
| 46 | [[image:attach:scep_abruf.PNG]] | ||
| 47 | |||
| 48 | Die erhaltenen Zertifikate werden unter Werkzeuge->Zertifikate->Zertifikate anzeigen angezeigt. | ||
| 49 | |||
| 50 | Genutzt werden kann ein solches Zertifikat bei entsprechender Infrastruktur beispielsweise, um sich über WLAN zu authentifizieren. Hierzu kann entsprechend in den Rangee Netzwerk-Einstellungen bei LAN und WLAN „Nutze SCEP Zertifikat“ ausgewählt werden. | ||
| 51 | |||
| 52 | \\ |