Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Installationsanleitung LANCrypt

Mitglied: thanke

Hallo,

ich bin neu hier im Forum und habe eine Frage.
Kann mir jemand eine Installationsanleitung für LANCrypt von Utimaco zukommen lassen?

Anhand der Installationsanleitung komme ich leider nicht weiter.

Danke im Voraus für jeden hilfreichen Tipp.

Gruß Thorsten

Hallo,

ich bin neu hier im Forum und habe eine Frage.
Kann mir jemand eine Installationsanleitung für LANCrypt von Utimaco zukommen lassen?

Anhand der Installationsanleitung komme ich leider nicht weiter.

Danke im Voraus für jeden hilfreichen Tipp.

Gruß Thorsten

Content-Key: 101445

Url: https://administrator.de/contentid/101445

Ausgedruckt am: 05.08.2021 um 20:08 Uhr

Mitglied: 51705
51705 12.11.2008 um 22:45:18 Uhr
Goto Top
Hallo,

was willst du mit der Installationsanleitung wenn du mit der Installationsanleitung nicht weiter kommst?

Grüße, Steffen

Zitat von @thanke:
Hallo,

ich bin neu hier im Forum und habe eine Frage.
Kann mir jemand eine Installationsanleitung für LANCrypt von
Utimaco zukommen lassen?

Anhand der Installationsanleitung komme ich leider nicht weiter.

Danke im Voraus für jeden hilfreichen Tipp.

Gruß Thorsten

Mitglied: thanke
thanke 13.11.2008 um 08:18:08 Uhr
Goto Top
Hallo,

das Problem ist das ich anhand der gelieferten Dokumente nicht klar komme.
über eine Anleitung von jemandem der die Software schon produktiv hat wäre ich daher sehr dankbar.
Gruß
Mitglied: soldier-mp69
soldier-mp69 16.02.2009 um 16:54:00 Uhr
Goto Top
Bist du immer noch auf der Suche nach einer Anleitung? Wo genau hakt es denn? Kommst Du schon beim SQL-Server-Aufsetzen nicht weiter?

Viele Grüße

Tobias
Mitglied: thanke
thanke 16.02.2009 um 16:56:30 Uhr
Goto Top
Hallo,

ja ich bin immer noch auf der Suche.
Das Problem ist das bei uns keiner eine Ahnung hat wie die Software installiert werden soll oder muss.
Was zu beachten ist usw.

Die Handbücher bei den CD sind ja eher mager gehalten.
Ich bin auf jeden Fall für jeden Tipp dankbar.

Gruß
Mitglied: soldier-mp69
soldier-mp69 16.02.2009 um 17:12:42 Uhr
Goto Top
Ablauf der Installation:

1. SQL-Server von der Admin-CD (\MSDE2000A) auf einem Server in der Domäne mit u.g. Einstellungen installieren oder vorhandenen SQL-Server verwenden.
Für die Installation eines neuen Servers eine install.ini (Bsp) schreiben. Dort muss folgendes drinstehen:

[Options]
DISABLENETWORKPROTOCOLS=0
SECURITYMODE=SQL
DATADIR="d:\SGLCDB\"
INSTANCENAME="SGLC"


Die Datei speichern und in den Install-Pfad kopieren. Die Datei Setup.exe dann wie folgt aufrufen:

setup /settings "install.ini" SAPWD="password" <ENTER>

Im AD legst Du dann zwei Gruppen an: LanCrypt-Admins und LanCrypt-Benutzer.

Per DFS gibst Du im Domänenstamm folgende Struktur frei:

\\Domäne\SGLC\Certificates (Admins dürfen schreiben, Nutzer dürfen lesen)
\\Domäne\SGLC\Certificates\Admin (Admins dürfen schreiben, Nutzer dürfen nix)
\\Domäne\SGLC\Certificates\User (Admins dürfen schreiben, Nutzer dürfen lesen)
\\Domäne\SGLC\Policy (Admins dürfen schreiben, Nutzer dürfen lesen)

Wenn Du das alles fertig hast, dann können wir an die LanCrypt-Admin-Console gehen. Habe heute leider keine Zeit mehr, schreibe morgen weiter.

Viel Spaß

Tobias
Mitglied: thanke
thanke 16.02.2009 um 20:10:54 Uhr
Goto Top
Hallo Tobias,

danke für die ausführliche Erklärung werde ich morgen gleich mal testen.
Sobald ich das alles durch habe melde ich mich.

Danke Danke Danke
Mitglied: thanke
thanke 17.02.2009 um 08:40:03 Uhr
Goto Top
Hallo Tobias,

also die MSDE ist wie angegeben Installiert und die Gruppen sind auch angelegt.
Wird das mit dem DFS benötigt?

Wenn ja wie richte ich das am besten ein?

Danke und Gruß
Thorsten
Mitglied: soldier-mp69
soldier-mp69 17.02.2009 um 09:09:57 Uhr
Goto Top
Hallo Thorsten,

du benötigst nicht zwingend DFS-Freigaben. Es tun auch normale Freigaben. Diese müssen für den Nutzer, wenn er sich anmeldet zur Verfüfung stehen.
Wenn der SQL-Server läuft, dann hast du jetzt rechts unten in der Taskleiste ein Datenbanksymbol mit einem kleinen Play-Symbol (grünes Dreieck). Dort müsste, wenn du daraufklickst eine SQL-Instanz mit dem Namen SGLC angezeigt werden.

Jetzt benötige ich von Dir die Info, ob du von einem normalen Rechner oder von dem Server, wo die SQL-Datenbank läuft, aus administrieren möchtest.

Bis gleich.

Tobias
Mitglied: thanke
thanke 17.02.2009 um 09:12:29 Uhr
Goto Top
Hallo Tobias,

Datenbank läuft, was die Administration angeht so soll diese im Echt-Betrieb von einem Arbeitsplatz aus oder von mehreren erfolgen.

Danke für deine ausführliche Hilfe.
Mitglied: soldier-mp69
soldier-mp69 17.02.2009 um 09:22:25 Uhr
Goto Top
Dann brauchst du jetzt den Servernamen und begibst dich an den Rechner, von dem aus du das Ganze administrieren willst. Nimm die Admin-Cd mit.

Am Rechner legst du einen neue ODBC-Datenquelle an.

Verwaltung --> ODBC-Datenquellen --> Registrierkarte "System-DSN" --> Hinzufügen

SQL-Server auswählen --> Fertigstellen

Name: SGLCSQLServer (sollte genauso benannt werden, sonst wird der Aufwand nachher größer)
Beschreibung: hier darfst du kreativ sein
Server: Servername, den du dir gemerkt hast\SGLC (z.B. FIRMENSERVER\SGLC) unbedingt ohne Doppelbackslash!

Weiter klicken

SQL-Server Authentifizierung auswählen

Benutzername: SA
Kennwort: Dein Paswort aus der Zeile setup /settings "install.ini" SAPWD="password" <ENTER>

3 x Weiter und einmal //Datenquelle testen..." drücken.

Hier sollte jetzt "TEST erfolgreich abgeschlossen" stehen.

Jetzt haben wir das Wichtigste geschafft.

Rest folgt nach Deiner Erfolgsmeldung. Habe gerade noch ein Problemchen zu lösen.

Bis gleich.

Tobias
Mitglied: thanke
thanke 17.02.2009 um 09:37:47 Uhr
Goto Top
Hallo,

also ODBC erfolgreich eingerichtet.
Meld dich einfach wenn du wieder die Zeit hast.

Thorsten
Mitglied: soldier-mp69
soldier-mp69 17.02.2009 um 16:26:01 Uhr
Goto Top
Jetzt kann es weiter gehen.

Jetzt installierst Du von der Admin-Cd die sglc-admin.msi (oder so ähnlich).

Nach der Installation startest Du über das Startmeü die SGLC-Administration.

Jetzt musst du dich an der Datenbank mit SA als USER und deinen PASSWORT anmelden. Danach wirst du aufgefordert, einen MasterSecurityOfficer (MSO) anzulegen. Spätestens hier solltest Du jetzt überprüfen, ob deine Ordnerberechtigungen passen. Versuche über die Eingabe \\Domäne\SGLC\Certificates\User im Explorer dort eine Datei anzulegen. Wenn Du dort Erfolg hast, können wir im Programm weiter machen.

Du wirst im nächsten Dialog aufgefordert, die Speicherorte für die Zertifikate und Schlüsseldateien (*.p12) und die SO-Zertifikate (*.cer) anzugeben. Hier siehst du jetzt die Wichtigkeit der Berechtigungen. Die Nutzer können ihre Zertifikate und Policy-Dateien nur Nutzer, wenn sie drankommen und wenn sie ihre Zertifikate freischalten können. Dafür brauchen sie aber deinen öffentlichen Teil des MSO-Zertifikates oder des damit beauftragten SO. (Mit dem öffentlichen Teil des MSO-Zertifikates ist ab jetzt auch die SQL-Datenbank gesichert. Also nicht verlieren und lieber einmal mehr wegsichern.)
Zum Schluss noch einen Pfad für die Protokolldatei benannt und weiter geht es.

Jetzt musst du noch ein paar Einstellungen zur Zertifikatsgültigkeit und zum Ort deiner Firma vornehmen. Das bekommst du aber ohne Erklärung hin.

Dann kann es losgehen und du kannst dich an der Datenbank anmelden. Du wirst aufgefordert einen Wiederherstellungsschlüssel anzulegen. Den kannst du ala James Bond in mehrere Teile aufteilen und an verschiedene Admins verteilen. Kannst es aber auch lassen.

Jetzt kannst du dich das erste mal an der Admin-Console anmelden.

Die genau Konfiguration machen wir morgen. Du kannst aber als Vorarbeit schonmal die User alle in ihre Gruppen im AD packen. Am einfachsten bei der Konfiguration ist es, wenn du alle User einer Abteilung, welche gemeinsam einen Schlüssel und einen Speicherort nutzen, in eine Extra-OU sortierst. Diese können wir dann später aus dem LDAP importieren und einer LanCrypt-Gruppe zuweisen.

Soviel zu den Hausaufgaben. ;-) face-wink

Kann man hier eigentlich Bilder posten? Das würde echt helfen. Dann könnten wir das hier als HowTo für LanCrypt aufbohren.

Bis morgen.

Tobias
Mitglied: thanke
thanke 17.02.2009 um 16:31:05 Uhr
Goto Top
Hallo Tobias,

was verstehst du unter \\Domäne\SGLC\Certificates\User?
Wenn ich meinen Domänenname eingebe tut sich nichts.
Mitglied: soldier-mp69
soldier-mp69 17.02.2009 um 16:33:20 Uhr
Goto Top
Ich bin hier auf die DFS-Veröffentlichung im Domänenstamm eigegangen. Wenn du das als "normale" Freigabe hast, dann muss dort natürlich der Server stehen, auf dem die Verzeichnisse freigegeben sind.

\\SERVER\SGLC\Certificates\User

Sorry.
Mitglied: thanke
thanke 17.02.2009 um 16:34:21 Uhr
Goto Top
OK danke.

Bereite alles soweit vor.

Danke nochmals für deine Unterstützung
Bis Morgen
Mitglied: thanke
thanke 18.02.2009 um 12:50:25 Uhr
Goto Top
Hallo Tobias,

so ich bin mit allem soweit durch. Falls du irgendwann einmal die Zeit findest können wir weitermachen.
Gruß
Thorsten
Mitglied: soldier-mp69
soldier-mp69 05.03.2009 um 11:18:03 Uhr
Goto Top
Sorry für die lange Pause, aber nun geht es weiter:

In der geöffneten Admin-Konsole gehst du jetzt im linken Bereich auf Verzeichnis-Objekte. Im rechten Bereich taucht daraufhin ein Fenster auf, wo du die Importquelle wählen kannst. Dort wählst du deinen Domänencontroller aus. Daraufhin siehst du deinen Domänenstruktur und kannst die zwei angelegten OU's importieren. Wenn du doppelt daraufklickst, geht eine Box auf, in der du auf "Mitglieder auch rekursiv übernehmen" oder so ähnlich klickst (ist die untere Auswahl). Dann werden die Relationen im unteren Fenster dargestellt. Danach klickst du auf das Icon "in Datenbank einfügen" (gelb mit grünem Pfeil). Danach siehst du eine Übersicht über Nutzer, welche importiert wurden.

Im linken Bereich des Fensters taucht jetzt unter Gruppen deinen Domäne mit den dazugehörigen OU's auf.

Jetzt müssen wir aber erst noch LanCrypt-Gruppen anlegen. Mit einem Rechtsklick auf den Knoten "Gruppen" kannst Du eine neue Gruppe hinzufügen. Nachdem du diese angelegt hast, können wir dieser Gruppe Mitglieder, Verschlüsselungsregeln und einen Schlüssel zuweisen.
Mitglied: soldier-mp69
soldier-mp69 05.03.2009 um 11:30:35 Uhr
Goto Top
Wenn du den Knoten deiner neu angelegten Gruppe öffnest, siehst du drei Punkte: Gruppenschlüssel, Verschlüsselungsregeln und Mitglieder.
Unter Gruppenschlüssel kannst Du mit einem Rechtklick einen neuen Schlüssel zuweisen. Diesem Schlüssel gibts du eine passende Beschreibung und weist ihm einen zufälligen Wert zu (ist am sichersten).
Dann legst du unter Verschlüsselungsregeln den Ort/die Orte fest, wo mit diesem Schlüssel gesichert wird. Wichtig ist hier, dass du die Orte aus Nutzersicht angibst. Auf keinen Fall den Ort über den Explorer suchen und dort reinkopieren. Unterverzeichnisse solltest du einschließen. Dann noch fix den passenden Schlüssel ausgewählt und mit OK bestätigen.
Jetzt weisen wir noch eine Gruppe zu: Du suchst jetzt unter Gruppe/DeineDomäne die OU, die du dieser Gruppe zuweisen willst. Diese ziehst du in die angelegte LanCrypt-Gruppe. Meldung bestätigen und fertig bist Du. Jetzt erzeugst du die Zertifikate für die Nutzer. Die Nutzer werden ausgewählt und dann klickst du im Menu unter Aktion auf "Zertifikate erzeugen" Damit werden für die Nutzer Zertifikate angelegt. Dass das geklappt hat, kannst Du an den jetzt grünen (vorher grauen) Icons vor den Nutzer sehen.


Jetzt weist Du jedem Nutzer noch eine Policy zu, indem du unter Verschlüsselungsregeln mit Rechtsklick "Verschlüsselungsregeln rekursiv bereitstellen" klickst. Dies kann je nach Größe deiner OU beliebig lange dauern.

Die zugehörigen Passwörter werden jetzt in der csv-Datei gespeichert, welche Du vorher angelegt hast.

Wenn Du bis hierher durchbist, können wir an die LanCrypt-Clients gehen und diese per Gruppenrichtlinie konfigurieren.

Viel Spaß

Tobias
Mitglied: thanke
thanke 05.03.2009 um 11:37:51 Uhr
Goto Top
Hallo Tobis kein Thema.

Danke für die nächsten Schritte ich werde dies einrichten und mich dann melden.

Gruß
Mitglied: bofh67
bofh67 05.03.2009 um 15:24:03 Uhr
Goto Top
Hallo

wenn ich mich mal an dem Thema beteiligen darf. Habe auch gerade lancrypt 3.51 installiert.

.pol; .cer ;.p12 dateien auf server über shares erreichbar. Der Client ist mal zum Test local installiert worden.

Nun meine Frage: Wie bekomme ich die Einstellungen per GPO verteilt. Ich finde wenn ich in meiner GPMC eine Richtlinie erstellen will den Lankrypt Knoten (Blaue Raute) nicht. Als ich mein SGAS (ASAR und PNP) installiert habe hat das Proggi beim ersten Aufruf eine SGAS Template GPO erzeugt.

Vielen Dank schon mal.
Mitglied: thanke
thanke 10.03.2009 um 16:42:12 Uhr
Goto Top
Hallo Tobias,

so jetzt hat es bei mir länger gedauert.
Ich habe ein Problem beim "Zertifikat erzeugen". ich habe den Testuser zugewiesen, aber bei der Aktion sagt er immer es wurden 0 Zertifikate rerzeugt.

Mach ich da was falsch?

Gruß
Thorsten
Mitglied: thanke
thanke 10.03.2009 um 17:00:22 Uhr
Goto Top
Hallo Tobias,

so die User konnte ich nun zuweisen. Was ich aber nicht verstehe ist, wo soll den die csv liegen?
FInde da leider nichts obwohl ich alles nach Anleitung gemacht habe.

Wenn du mir vielleicht was mit ScreenShot senden willst kann ich dir auch meine Mail-Adresse mal geben falls das erlaubt ist.

Gruß
Thorsten
Mitglied: bofh67
bofh67 13.03.2009 um 07:26:19 Uhr
Goto Top
Hallo thanke

die csv sollte unter \\Domäne\SGLC\Certificates\Admin liegen.
Dort hast nur Du Zugriff und kannst die PIN auslesen.

Ich hoffe ich konnte da ein wenig helfen.
Mitglied: bofh67
bofh67 13.03.2009 um 07:29:16 Uhr
Goto Top
Hallo Tobias

auch ich habe ein kleines prob. Alles läuft soweit nur finde ich keine Möglichkeit einer Einstellung mit GPO's. Ich habe mir jetzt vorläufig ein ADM gebaut und verteile das mit GPO.

Ich denke aber ich sollte so ein Snap in haben wie für mein SafeGuard PNP oder ASAR ?


CU
Mitglied: soldier-mp69
soldier-mp69 17.03.2009 um 06:59:26 Uhr
Goto Top
Hallo bofh67,

das mit der ADM ist ok. Das Snap-In macht auch nichts anderes als eine GPO zu konfigurieren. Die Verteilung findet bei uns auch mit der ADM statt, da wir nicht auf allen Admin-Kisten dieses Snap-In installieren wollen.

Du kannst natürlich trotzdem einfach auf einem Rechner das LanCrypt-Admin-Tool und das Snap-In installieren. Dann kannst du die GPO komfortabel zusammenklicken.

Viele Grüße

Tobias
Mitglied: bofh67
bofh67 17.03.2009 um 07:31:55 Uhr
Goto Top
Hallo Tobias,
leider verstehe ich dich nicht ganz.

Ich hätte gerne dieses Snapin Domänenweit. Soll heißen:

Ich öffne meine GPMC und erzeuge eine neue Richtlinie und sehe in Ihr automatisch die Snap-In's an denen ich dann die Einstellungen durchführe.

Zur Zeit habe ich es so gelöst, dass ich die Einstellungen an einer lokalen Maschine mache und mir mit nem ADM Maker die einzelnen Keys aus der Regestry herauslöse und in ein ADM baue. Ist aber nicht so toll, da ich dann einiges Tatooisiere.

Ist außerdem nicht so flexibel.

Hast Du irgendeine Idee ???

Ps: Wenn ich noch nerven darf. Einen Fehler habe ich noch. Ich habe LC 3.51 zusammen mit Symantec Anti Vir Coorperate Edition 10 laufen. Zusätzlich noch SafeGuard Easy lokal. Alles läuft prima mit Außnahme, wenn ich auf mein unverschlüsseltes Notes Netzlaufwerk klicke. Dann habe ich sofort einen Black screen und neustart. Hast Du davon schon mal gehört?

Vielen Dank schon mal für Deine prompte Antwort.

CU
BOFH
Mitglied: soldier-mp69
soldier-mp69 17.03.2009 um 13:04:34 Uhr
Goto Top
Leg mal für das Notes-Laufwerk eine Verschlüsselungsregel an. Du wählst aber als Option "Von Verschlüsselung auschließen" an. Damit ist dann für das Betriebssystem klar, dass hier unverschlüsselte Daten liegen.

Hast Du einen Blue- oder einen Blackscreen?
Mitglied: bofh67
bofh67 18.03.2009 um 06:39:33 Uhr
Goto Top
Moin,

Ich habe immer eine Blackscreen. Ich habe heute mal ne andere Art der Installation gewählt. Und zwar habe ich die Explorerextensions weggelassen unsd siehe da alles OK.......... außer das jetzt der Rechner irgendwann mal neu startet.
Muss mal schauen woran das nu liegt.

Die Idee mit der Regel hatte ich schon. Hat nicht geklappt. Nachdem ich dann den Ordner seperat geshared hatte und das komplette LW ausgeschlossen hatte war es auch ok.

Nun die große Frage..... alle Ordner neu sharen und ausschließen oder auf Explorerextensionen verzichten... oder es gibt noch eine Lösung, die ich nicht kenne.

Einstellungen mit snapin funzen auch noch nicht :-( face-sad

CU

BOFH
Mitglied: CoxusLongus
CoxusLongus 17.06.2009 um 14:22:32 Uhr
Goto Top
Hallo BOFH,

bist Du mit der LANCrypt Installation inzwischen weiter gekommen? Ich selbst tue mich auch außerordentlich schwer mit der Installation.Leider konnte mir der Ultimaco-/Infinigate-Support auch noch nicht weiterhelfen.
Ich habe Admin-Software, Verschlüsselungsregeln und den Client bereits installiert.
Ich habe drei Testuser, mit den ich abwechselnd versuche die Verschlüsselung zu testen. Der erste User funktioniert, aber user2 findet sein Benutzer-Zertifikat nicht. Damit war es das auch schon. Den dritten User habe ich dann nochmal neu angelegt und der findet auch kein Benutzerzertifikat.
Ich habe die Zertifkate bereist manuell erfolgreich importiert, aber beim Systemstart findet mein User das Zertifikat nicht.
Hat jemand einen Tipp, wo ich ansetzen muss?

Viele Grüße
Mitglied: Kummerkasten
Kummerkasten 23.06.2011 um 14:45:46 Uhr
Goto Top
Das Thema ist schon alt aber ggfs. noch offen vielleicht kann ich helfen wenn noch Bedarf besteht.
Mitglied: CoxusLongus
CoxusLongus 27.06.2011 um 09:46:19 Uhr
Goto Top
Bei der Problem-Beseitigung konnte mir damals der Sophos-Support helfen. Inzwischen läuft alles wie gewünscht.
Allerdings graust mir schon vor den nächsten anstehenden Aufgaben: Zwei neue SOs müssen eingerichtet werden, und die ersten Zertifikate laufen ab.

Vielen Dank für die Nachfrage

Viele Grüße
CoxusLongus
Mitglied: Kummerkasten
Kummerkasten 27.06.2011 um 23:45:43 Uhr
Goto Top
Hey CoxusLongus,

nah ja das einrichten der neuen SO's und deren Berechtigungen ist nicht schwer.

Ablauf der Zertifikate. ich vermute mal Du meinst die User oder!? Hier muss Du einfach ein neues erstellen. Dann dieses Zertifikate mit dem User PW an den User übergeben und das ganze installieren. Solltest Du für diesen User einen anderen SO verwendet haben (wie heut zutage) dann muss der User natürlich auch das SO Zertificate haben.......

Bei Fragen frag einfach wenn etwas nicht passen sollte......

PS: Wie groß ist den die Umgebung und wieviel SO's hast Du im Einsatz?

LG
Kummerkasten
Mitglied: CoxusLongus
CoxusLongus 28.06.2011 um 11:20:02 Uhr
Goto Top
Hallo Kummerkasten,

wir haben unsere Firmenverwaltung inkl. Personalabteilung und Finanzen mit LANCrypt ausgestattet.
Die betroffenen arbeiten auf einem Verwaltungsserver und verfügen alle über den gleichen Schlüssel. Einziger Sinn und Zweck ist es, die Admins auszuschließen, aber die Daten noch administrierbar zu halten.
Wir haben einen MSO, der ausscheidet. Keine weiteren SOs bisher. Ich möchte allerdings zwei Verwaltungsmitarbeiter als Administratoren für LANCrypt einsetzen. Das können dann ruhig beide MSOs sein. Oder spricht aus Deiner Sicht etwas dagegen?

Nächsten Monat muss ich mich spätestens drum kümmern. Dann melde ich mich nochmal.

Viele Grüße
CoxusLongus
Mitglied: Kummerkasten
Kummerkasten 28.06.2011 um 12:43:55 Uhr
Goto Top
Hallo CoxusLongus,

Wie viele SGLC User hast Du in Deiner Umgebung? Die Admins werden ja eh ausgeschlossen, solange Sie kein SGLC User werden, das ist ja der Vorteil von SGLC.
Nun zum MSO würde ich persönlich nicht zu viele erstellen. Das würde ich von der Umgebungsgröße und den Standorten abhängig machen. Wenn Du nur eine kleine Umgebung und auch nur einen Standort hast, dann verwende nur einen MSO, somit hast Du die Sicherheit in der Hand. Für den Verwaltungsserver würde ich einfach 2 SO's anlegen, welche dann mit gewissen Recht arbeiten dürfen. Du solltest Dir die Frage stellen, was sollen die beiden Verwaltungsmitarbeiter alles innerhalb von SGLC dürfen?
Du kannst ja auch SO's mit MSO Rechten ausstatten, wenn es nötig sein sollte.

Zudem würde ich für den alten MSO ein neues Kennwort vergeben und auch ggfs. ein neues Zertifikate generieren, damit bist Du auf der sicheren Seite. So kann dann mit dem alten MSO kein Unsinn getrieben werden. Dazu solltest du immer ein Recovery-Key erstellen. (Info's dazu findest Du im Handbuch unter Wiederherstellungsschlüssel)

Wenn Du nun ggfs. ein neues Zertifikate für den MSO anlegst, dann denke daran, dass die User Profile mit dem alten MSO Zertificate signiert wurden. Das heißt, Du muss dann die User Profile einmal Re-building, damit das neue MSO Zertifikate wieder im Userprofil steht, sonst bekommt der End-User eine Fehlermeldung auf der Workstation. Zudem muss dann das neue MSO Zertifikate auf dem Client im Cer-Store vorhanden sein, aber das kennst Du ja... ;-) face-wink

Nun ja die Entscheidung wie Du es machen willst liegt bei Dir.... Wenn Du Fragen hast dann frag... Viel Spaß weiterhin.

LG
Kummerkasten
Mitglied: CoxusLongus
CoxusLongus 13.09.2011 um 15:00:02 Uhr
Goto Top
Hallo Kummerkasten,
ist doch später geworden. Wie immer. Aber nun muss ich mich kümmern.

Hier noch die fehlenden Infos:
20 LANCrypt-User
z.Zt. ein MSO. Gewünscht sind zwei wegen Ausfallsicherheit.

Wegen der ersten auslaufenden Zertifikate habe ich nun mit dem alten MSO die Zertifikate für die ablaufenden Benutzer neu erstellt. Laut SGLC-Administartion sind die Zertifikate zugeordnet. Ist nochetwas zu tun?
Ich rechne damit, dass die Benutzer morgen nach einer PIN gefragt werden, da im Zertifikatsordner neue name1.p12 Zertifakte liegen, und dazugehörig in der Passwort-Datei auch neue Passwörter liegen.
Aber wissen tue ich es nicht, da die Doku darüber nichts aussagt, und ich es noch nicht gemacht habe.

Die Geschichte mit dem Re-buiding habe ich nicht verstanden. Bitte noch mal gaaanz langsam. Das kenn ich glaub ich nicht :-( face-sad

Viele Grüße
CoxusLongus
Mitglied: Kummerkasten
Kummerkasten 14.09.2011 um 00:04:52 Uhr
Goto Top
Zitat von @CoxusLongus:
Hallo Kummerkasten,
ist doch später geworden. Wie immer. Aber nun muss ich mich kümmern.

Hier noch die fehlenden Infos:
20 LANCrypt-User
z.Zt. ein MSO. Gewünscht sind zwei wegen Ausfallsicherheit.

Meine Antwort:
2 MSO's sind ok bei 20 SGLC Usern....... Das ist natürlich indivduell zu betrachten. Aber wenn Du mit MSO 1 ein User Zertificate erstellt hast dann ist das user zertificate mit MSO 1 signiert das heißt das Public Zertificate von MSO 1 muss auf dem Client vorhanden sein......... Wenn dann MSO 2 das User Profil wieder neu erstellt dann muss MSO 2 Zertificate auf dem Client vorliegen .............. So long so good ;-) face-wink Also verliere nie die MSO's und deren Zertificate..... Jedes user profil wird mit dem MSO / SO signiert der auch das User Profil erstellt oder ein neues Zertifcate erstellt hat.......


Wegen der ersten auslaufenden Zertifikate habe ich nun mit dem alten MSO die Zertifikate für die ablaufenden Benutzer neu
erstellt. Laut SGLC-Administartion sind die Zertifikate zugeordnet. Ist nochetwas zu tun?

Meine Antwort:

Du musst die Profile einmal neu generieren weil Du die Zertificate erneuert hast. Als einfach auf Profile neu erstellen und dann wird die *pol Datei neu geschrieben und der User muss ggfs. beim einem neuen Zertificate das PW aus der PW Datei verwenden welches Du im geben musst.



Ich rechne damit, dass die Benutzer morgen nach einer PIN gefragt werden, da im Zertifikatsordner neue name1.p12 Zertifakte
liegen, und dazugehörig in der Passwort-Datei auch neue Passwörter liegen.

Meine Antwort:

Wenn Du das User Zer und oder das MSO Zer neu gemacht hast dann ja. Also bei dem user zer muss du dem User das PW mitteilen und beim MSO holst du es dir als der Datei wie gehabt.....


Die Geschichte mit dem Re-buiding habe ich nicht verstanden. Bitte noch mal gaaanz langsam. Das kenn ich glaub ich nicht :-( face-sad

Meine Antwort:

Rebuiding bezieht sich auf den User wenn Du dem User ein neues Zertificate erstellt dann muss Du das Profil einmal neu erstellen, damit dann alle Information gesync. sind. Das heißt das User Zertificate wird mit dem MSO Zertificate neu signiert dadurch ändert sich die User Zertificates Serial etc..... einfach ein Rebuild vom Profil machen und dann wird es passen dann wird die p12 neugeschrieben und der Client bekommt diese Info....

Zur Not kann ich dir mal Teamviewer anbieten damit ich mir das mal anschauen kann ist dann einfacher ;-) face-wink
Mitglied: CoxusLongus
CoxusLongus 19.09.2011 um 10:54:29 Uhr
Goto Top
Hallo Kummerkasten,

was ich getan habe, und was im Admin-Tool sichtbar ist:
Für MSO1 neues Zertifikat erstellt, das neue Gültigkeitsdatum wird in LANCrypt-Administration angezeigt.
Für ablaufenden Benutzer ein neues Zertifikat erstellt. Doppeltes Zertifikatssymbol wird in der Übersicht des Admins angezeigt.In den Eigenschaften sehe ich altes und neues Zertifikat.

Am Client:
Benutzer erhält die Meldung, dass die Aktualisierung fehlschlägt. "LAN Crypt Security Officer Zertifikat nicht gefunden". Es wird das alte Zertifikat verwendet. Schlüsselsymbol ist grün.

Zu Deinen Antworten hätte ich dann noch folgende Fragen:
Was ist zu tun, damit das öffentliche Zertifikat des MSO1 auf dem Client vorhanden ist?

Profil neu genereien heisst, Profil neu bereitstellen? Einen Menüpunkt "Profil neu erstellen" habe ich nicht.

Wie gesagt: Im Ordner der Zertifikate finde ich für den Benutzer eine neue *.p12-Datei.
Ein neues Passwort ist auch hinterlegt, aber bei der Anmeldung bekommt der Benutzer keine Abfrage zur neuen PIN angezeigt.

Zu Teamviewer: Danke fürs Angebot, würde ich aber in der Tat erst im Notfall drauf zurückgreifen wollen.

Viele Grüße
CoxusLongus
Mitglied: Kummerkasten
Kummerkasten 25.01.2012 um 22:45:21 Uhr
Goto Top
Sind Deine Frage noch aktuelle ich war leider nicht viel hier
Mitglied: CoxusLongus
CoxusLongus 09.02.2012 um 13:01:59 Uhr
Goto Top
Meine Fragen sind immer aktuell, weil sich mir dieses Programme im Handling nicht wirklich erschließen will.
LANCrypt und ich werden keine Freunde mehr.

Im Tagesgeschäft kommen wir beide klar, aber...........jetzt sind wieder zwei Zertifkate abgelaufen.......ich wage mich mal ran......

Viele Grüße
CoxusLongus
Mitglied: Kummerkasten
Kummerkasten 12.07.2012 um 23:23:51 Uhr
Goto Top
Lang ist es her hatte es funktioniert?
Mitglied: CoxusLongus
CoxusLongus 16.07.2012 um 09:01:21 Uhr
Goto Top
Hallo,
mit den abgelaufenen Zertifikaten komme ich inzwischen klar.
Danke der Nachfrage

Viele Grüße
CoxusLongus
Heiß diskutierte Beiträge
general
Einprügeln auf Fax als AblenkungsmanöveritebobVor 1 TagAllgemeinOff Topic24 Kommentare

Moin, Im Interview mit dem Unionsfraktionschef Ralph Brinkhaus im Deutschlandfunk heute 07:15 hat der Journalist nebenbei erwähnt, dass über die Hochwasserkatastrophe per Fax gewarnt wurde. ...

question
Angebot annehmen? Gehalt OK?xsheynVor 1 TagFrageOff Topic13 Kommentare

Hallo zusammen, ich bin nun seit knapp einem Jahr im Bewerbungsprozess und versuche in die "richtige" IT zu kommen. Momentan bin ich nur Knöpfchendrücker, also ...

question
Subnetting FrageAuDavidVor 1 TagFrageNetzwerke21 Kommentare

Hallo, ich hätte mal eine Frage zu dem Subnetting, ich sitze schon länger an dieser Aufgabe und bin mir mit der Lösung sehr unsicher. Ich ...

info
CDU verklagt Sicherheitsforscherin nach Meldung einer Sicherheitslücke einer CDU AppevoplusVor 1 TagInformationSicherheit14 Kommentare

Ohne Worte, fassungslos, koppschüttel CDU zeigt offenbar Hackerin nach Melden von Lücken an Und sowas regiert unser "Hochtechnologieland" EDIT: inzwischen ist man nach einem Schitstorm ...

question
Vodafone - Kabel gelöst VisuciusVor 1 TagFrageInternet13 Kommentare

Hallo in die Runde, Gestern wurde mir ein Vodafone-Kabel-Internet-Anschluss geschaltet und die "Vodafone Station installiert". Positiv: Ging "ratzfatz" innerhalb von einigen Tagen, höhere Bandbreite, parallel ...

info
DSGVO: 65.500 Euro Strafe wegen unsicheren und veralteten WebshopFrankVor 1 TagInformationRechtliche Fragen

Ein Unternehmen aus Niedersachsen hat unangenehme Bekanntschaft mit der DSGVO gemacht: Das Unternehmen muss 65.500 Euro Bußgeld für einen veralteten Webshop zahlen. Dieser speicherte die ...

question
Umschulung über Fernkurs - Chancen auf ArbeitsmarktAppletVor 23 StundenFrageWeiterbildung13 Kommentare

Hallo zusammen, kurz zur Einleitung eine Kurzfassung wie ich in meine jetzige Situation kam - Ich bin vor einigen Jahren psychisch erkrankt und musste mein ...

question
Heimnetzwerk + Telefon einrichten gelöst xXEnniXxVor 1 TagFrageNetzwerke8 Kommentare

Hallo, ich habe gerade ein neues Haus gebaut und möchte mir mein Heimnetzwerk (Router, Telefon etc.) selber einrichten. Bin IT-Administrator und habe schon gute Kenntnisse ...