jukydo

Azure Entra: self signed certs verteilen

Hallo zusammen,


ich wüßte gerne, ob es möglich ist über EntraID ein Zertifikat (selbst signiert) an dort registrierte Geräte zu verteilen, also im Zertifikatsspeicher als vertrauenswürdig abzulegen.

Hintergrund: Im lokalen Netzwerk habe ich (zunächst testweise) einen transparenten Proxy (OPNSense|Squid) implementiert, OPNSense hat Zertifikat erzeugt und die Clients sollen dem Server bzw. dem CA nun vertrauen.

Die betroffenen Clients sind alle mit Schul-/Geschäftskonto eingebunden und gehören dem Unternehmen.

Würde mich freuen, wenn es da eine "automatisierte" Lösung gäbe ....

Danke im voraus ...

Gruß
Juky
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673686

Url: https://administrator.de/forum/azure-entra-zertifikat-verteilen-673686.html

Ausgedruckt am: 04.07.2025 um 08:07 Uhr

tech-flare
tech-flare 03.07.2025 um 20:29:31 Uhr
Goto Top
Hallo,

Über Intune ja, über Entra wäre mir neu.

Gruß
mbehrens
mbehrens 03.07.2025 um 21:52:44 Uhr
Goto Top
Zitat von @JukyDo:

ich wüßte gerne, ob es möglich ist über EntraID ein Zertifikat (selbst signiert) an dort registrierte Geräte zu verteilen, also im Zertifikatsspeicher als vertrauenswürdig abzulegen.

Hintergrund: Im lokalen Netzwerk habe ich (zunächst testweise) einen transparenten Proxy (OPNSense|Squid) implementiert, OPNSense hat Zertifikat erzeugt und die Clients sollen dem Server bzw. dem CA nun vertrauen.

Mal ein anderer Ansatz: Der Firewall ein "offizielles" Zertifikat geben.
Dani
Dani 03.07.2025 um 21:56:38 Uhr
Goto Top
Moin,
Mal ein anderer Ansatz: Der Firewall ein "offizielles" Zertifikat geben.
meinem Verständnis nach macht er damit TLS Interception/Inspection. Da wirst du kein offizielles Zertifikat erhalten. Zumal du dafür eine cross-signed Intermediate CA bräuchtest.


Gruß,
Dani
mbehrens
mbehrens 03.07.2025 um 22:18:34 Uhr
Goto Top
Zitat von @Dani:

Mal ein anderer Ansatz: Der Firewall ein "offizielles" Zertifikat geben.
meinem Verständnis nach macht er damit TLS Interception/Inspection. Da wirst du kein offizielles Zertifikat erhalten. Zumal du dafür eine cross-signed Intermediate CA bräuchtest.

Stimmt natürlich. Für ein MiTM ist das notwendig.
JukyDo
JukyDo 04.07.2025 um 09:15:57 Uhr
Goto Top
Tächle,

vielen Dank für Eure Antworten!

@tech-flare: Kannst Du mir einen Hinweis geben wo/wie genau ich das in intune realisieren kann?

Gruß