Wiki-Quellcode von RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
Zuletzt geändert von Tobias Wintrich am 2025/07/10 09:05
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
15.1 | 1 | Die folgende Anleitung beschreibt, wie ein Client mit RangeeOS so konfiguriert wird, dass er über das SCEP (Simple Certificate Enrollment Protocol) ein Zertifikat von einem Zertifikatsserver anfordert. |
| |
5.2 | 2 | |
| 3 | {{info}} | ||
| 4 | ==== Zuletzt erfolgreich getestet mit: ==== | ||
| 5 | |||
| 6 | **Client Versionen:** | ||
| 7 | |||
| |
14.1 | 8 | firmware x64 - 13.00 build 073 |
| |
5.2 | 9 | |
| 10 | **Server Versionen:** | ||
| 11 | |||
| |
14.1 | 12 | Windows Server 2019 mit Active Directory Zertifikatsdiensten |
| |
5.2 | 13 | {{/info}} |
| 14 | |||
| |
15.1 | 15 | Über das **SCEP **ausgestellte Zertifikate können beispielsweise zur Authentifizierung gegenüber einem WLAN-RADIUS-Server oder in einem 802.1X-Netzwerk verwendet werden. |
| |
5.2 | 16 | |
| |
15.1 | 17 | Die folgende Anleitung beschreibt die Konfiguration des Clients. Die angegebenen Werte können je nach Zertifikatsinfrastruktur variieren. |
| |
5.2 | 18 | |
| |
14.1 | 19 | == Strong Certificate Binding == |
| |
5.2 | 20 | |
| |
15.1 | 21 | Seit Februar 2025 müssen alle Computerzertifikate, die sich gegenüber einem Windows-Netzwerkrichtlinienserver authentifizieren, die Anforderungen an das Strong Certificate Binding erfüllen (Quelle: [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Bis September 2025 kann die Durchsetzung dieser Anforderung noch durch das Setzen des folgenden Registrierungsschlüssels aufgeschoben werden: |
| |
5.2 | 22 | |
| |
14.1 | 23 | {{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc |
| 24 | Name: StrongCertificateBindingEnforcement | ||
| 25 | Type: DWORD | ||
| 26 | Value: 1}}} | ||
| |
5.2 | 27 | |
| |
15.1 | 28 | Zusammengefasst müssen folgende Anforderungen erfüllt sein: |
| |
5.2 | 29 | |
| |
15.1 | 30 | * Der Computer, zu dem das Zertifikat gehört, muss Mitglied der Domäne sein. |
| 31 | * Das Zertifikat muss die Erweiterung **1.3.6.1.4.1.311.25.2** enthalten. Darin muss die **ObjectSID **des Computerkontos kodiert sein. | ||
| 32 | * Die **ObjectSID **muss zum für das Zertifikat gewählten Hostnamen passen. | ||
| |
5.2 | 33 | |
| |
15.1 | 34 | Um diese Anforderungen unter RangeeOS zu erfüllen, können Sie Ihre Geräte über **Active Directory → Anmeldung Arbeitsstation** in Ihre Domäne aufnehmen. Ist ein Client Mitglied der Domäne, wird in der **SCEP**-Konfiguration die Option **„Setze Computer SID als Subject Alternative Name“** freigeschaltet. Ein anschließend angefordertes Zertifikat enthält dann die neue Erweiterung. |
| |
14.1 | 35 | |
| 36 | {{info}} | ||
| 37 | Die Option **Setze Computer SID als Subject Alternative Name **ist erst ab Firmware x64 13.00 build 073 verfügbar. | ||
| 38 | {{/info}} | ||
| 39 | |||
| 40 | (% class="wikigeneratedid" %) | ||
| 41 | [[image:scep01.png||height="515" width="400"]] | ||
| 42 | |||
| 43 | == Konfiguration == | ||
| 44 | |||
| |
15.1 | 45 | Die **SCEP**-Konfiguration befindet sich in der **Kommbox **von **RangeeOS **unter **System** (früher **Werkzeuge**) → **SCEP**: |
| |
14.1 | 46 | |
| |
6.1 | 47 | * **SCEP aktivieren:** muss aktiviert sein |
| |
15.1 | 48 | * **SCEP Server URL:** http:~/~/FQDN/certsrv/mscep/mscep.dll |
| 49 | * **SCEP Server Kennwort:** Über MSCEP kann das Kennwort über Angabe berechtigter Zugangsdaten automatisch ermittelt werden; bei manueller Konfiguration wird nach dem SCEP Server Kennwort gefragt. | ||
| 50 | * **SCEP Server Admin URL:** http:~/~/FQDN/certsrv/mscep_admin/ | ||
| 51 | * **SCEP Server Admin Benutzername:** Domäne\Benutzer, der über die entsprechenden Berechtigungen verfügt, ein Zertifikat anzufordern. Dies kann man an der URL http:~/~/FQDN/certsrv/mscep_admin/ testen – hier wird nach Benutzername und Passwort gefragt. | ||
| |
6.1 | 52 | * **SCEP Server Admin Passwort:** das Passwort für den SCEP Server Admin |
| |
15.1 | 53 | * **Zertifikatstyp:** Auswahl, ob das Zertifikat für einen Benutzer oder einen Computer ausgestellt wird. |
| |
14.1 | 54 | * **Benutzerzertifikat:** |
| |
15.1 | 55 | ** Wird kein Benutzername und/oder keine Domäne für das Zertifikat angegeben, wird der SCEP Server Admin Benutzername und die Domäne verwendet. |
| |
14.1 | 56 | * **Computerzertifikat:** |
| |
15.1 | 57 | ** **DNS-Name für Zertifikat:** Hier kann ein manueller Hostname für den Client eingetragen werden. |
| 58 | ** **DNS-Name automatisch ermitteln:** Option zur Nutzung entweder des FQDN oder des Hostnamens des Clients für die Zertifikatsanforderung. | ||
| 59 | ** **Setze Computer SID als Subject Alternative Name:** Erfordert Domänenmitgliedschaft des RangeeOS. Diese Option ist notwendig, um die ObjectSID des Computerkontos als Subject Alternative Name in das Zertifikat aufzunehmen (siehe Abschnitt zum Strong Certificate Binding). | ||
| 60 | * **Automatisches Zertifikatsupdate:** Legt fest, wie oft das Zertifikat erneuert wird | ||
| 61 | * **Jetzt Update erzwingen:** Wenn aktiviert, wird beim Übernehmen sofort ein Zertifikat angefordert. So kann direkt im Log geprüft werden, ob die Anforderung erfolgreich war. | ||
| 62 | * **TCMS-Einstellungen nicht übernehmen:** Gibt an, ob die Einstellungen von der TCMS verteilt werden. Diese Option muss in der Gruppenkonfiguration aktiviert sein, damit sie funktioniert. | ||
| |
5.2 | 63 | |
| |
15.1 | 64 | **Beispielkonfiguration** für einen Zertifikatsserver mit dem Hostnamen dc2019.windows.local in unserer Testumgebung: |
| |
5.2 | 65 | |
| |
15.1 | 66 | |
| 67 | |||
| |
14.1 | 68 | [[image:1752130525822-903.png]] |
| |
5.2 | 69 | |
| |
14.1 | 70 |