hkrischeu
Goto Top

Selbstsigniertes Zertifikat für iOS iPAD über Intunes

Hi,
ich habe hier wieder mal ein Zertifikatsproblem.

Ich habe einen Debian 12 mit GLPI (Inventar und Ticketsystem).
Das dort erstellte Selbstsignierte Zertifikat (interner Server) funktioniert nun in den Browsern von Windows prima, nachdem das über die Gruppenrichtlinie verteilt wird. Karin11 hat mir da top weitergeholfen.

Jetzt habe ich mir mal die iPADs angeschaut. Die werden über Intunes verwaltet. Die Anforderung von Appel an die Zertifikate sind dann doch anders ...

Wie muß denn ein Zertifikatsrequest für das Appleding genau aussehen?

Für das Selbstsignierte SAN Zertifikat unter Windows habe ich folgendes gemacht (Funktioniert über die lokale Domäne, wenn man das in den Zertifikatsspeicher macht und über GPO verteilt):

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -sha256 -days 365 -subj "/C=DE/CN=glpi.technologie.local" -addext "subjectAltName = DNS:glpi.technologie.local" -addext "extendedKeyUsage = serverAuth,clientAuth" -addext "keyUsage = critical,keyEncipherment,dataEncipherment"


--> Für Apple muß das auf rsa:4096 stehen. Was muß denn eventuell da noch rein?

Grüße
Heinz

Content-ID: 3285478085

Url: https://administrator.de/forum/selbstsigniertes-zertifikat-fuer-ios-ipad-ueber-intunes-3285478085.html

Ausgedruckt am: 21.12.2024 um 13:12 Uhr

hkrischeu
hkrischeu 14.11.2023 um 11:23:06 Uhr
Goto Top
Hi,
Wenn ich nach dem Blogeintrag gehe : https://blog.mayflower.de/10764-self-signed-zertifikate.html

Dann fehlt auf jeden Fall noch:
basicConstraits=critical, CA:TRUE
keyUsage=critical, serverAuth
hkrischeu
hkrischeu 14.11.2023 aktualisiert um 11:33:01 Uhr
Goto Top
Mein Aufruf zum Erstellen einer Zertifikatsanfrage an meinen AD mit Zertifizierungsstelle sähe dann so aus:
openssl req -new -newkey RSA:4096 -keyout private.key -out request.csr -nodes 
-subj "/C=DE/CN=glpi.technologie.local"   
-addext "basicConstraints = critical,CA:true,pathlen:0"  
-addext "keyUsage=critical,digitalSignature,keyEncipherment"   
-addext "extendedKeyUsage=serverAuth,clientAuth"   
-addext "subjectAltName=DNS:glpi.technologie.local"  
Jannikk
Jannikk 14.11.2023 um 11:49:07 Uhr
Goto Top
Hey, hast du ein Stammzertifikat deiner CA?
Falls du das hast, kannst du das unter Geräte -> iOS -> Konfigurationsprofile hochladen. Damit deckst du alle signierte Zertifikate ab, die erstellt hast bzw. noch erstellst.
Evtl. erübrigt sich dann bereits deine Frage.

Ansonsten erstelle ich die Zertifikatsanfragen gerne über Link.
Darüber hat bei mir alles auf anhieb funktioniert
hkrischeu
hkrischeu 14.11.2023 aktualisiert um 12:03:52 Uhr
Goto Top
Im iPAD gibt es das Menu leider nicht --> Geräte/iOS/Konfigurationsprofile hochladen.

Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.

Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)

Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.
Jannikk
Jannikk 14.11.2023 aktualisiert um 12:24:39 Uhr
Goto Top
Zitat von @hkrischeu:

Im iPAD gibt es das Menu leider nicht --> Geräte/iOS/Konfigurationsprofile hochladen.

Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.

Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)

Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.

Die Einstellungen findest du in Intune. Dort musst du unter Templates -> Trusted certificate auswählen und Zertifikat hochladen.
Da du mehrere Zertifikate machen möchtest bietet es sich eher an das Stammzertifikat deiner CA hochzuladen. Du ersparst dir den Upload anderer Zertifikate. Stichpunkt: Fehleranfälligkeit face-smile

Hoffe du findest die Einstellung. Hatte ich eben etwas schwammig formuliert.

Edit:
Versuche mal das Zertifikat, was du für Windows verteilst auch für iOS/iPadOS zu verwenden.
Apple begrenzt auf max. 2 Jahre - alles darüber wird als „Nicht sicher“ anerkannt. Normalerweise sollten die Zertifikate universell sein.
hkrischeu
hkrischeu 15.11.2023 um 08:22:37 Uhr
Goto Top
Das mit dem Stammzertifikat ist natürlich auch eine Idee, der ich mal nachgehen kann.
Wie mach ich das genau? Ist das dann ein Lokal-Zertifiziertes Wildcard- / Root Zertifikat, was dann mit den restlichen Zertifikaten funktioniert, ohne das die dann extra über Intunes verteilt werden müssen?
hkrischeu
hkrischeu 15.11.2023 um 08:24:41 Uhr
Goto Top
btw. Das in Intunes hatte ich schon gemacht, sehe aber in den iPADs nicht, ob das gepusht wurde, bzw. funktioniert hat. Ich finde da einfach nix.
hkrischeu
hkrischeu 15.11.2023 um 08:39:26 Uhr
Goto Top
Es gäbe auch noch den Certificate Connector for Microsoft Intune. Hat den jemand im Einsatz?
Jannikk
Jannikk 15.11.2023 um 09:01:51 Uhr
Goto Top
Auf dem iPad kannst du unter
Einstellungen -> Allgemein -> VPN und Geräteverwaltung -> Management Profile -> Mehr Details
sehen, ob die Zertifikate verteilt worden sind. Bei „Ausgestellt von:“ sollte der Name deiner CA sein
hkrischeu
hkrischeu 15.11.2023 um 09:24:44 Uhr
Goto Top
Hi,
bei Management Profile sieht man
WiFi - 3 Stück (Funktioniert auch)
SCEP - 2 Stück (Was auch immer das ist)
Zertifikate - 4 Stück --> Alle ausgestellt von Microsoft Intune Root Certification Authority

Signierungszertifikate
IOSProfileSigning.manage.microsoft.com
Microsoft Azure TLS Issuing CA 05
hkrischeu
Lösung hkrischeu 15.11.2023 aktualisiert um 10:52:04 Uhr
Goto Top
1. Schritt - Export des CA-Root Zertifikates, Läuft auf dem AD : certutil -ca.cert ca_name.cer
2. Schritt - Import in Intunes : Home, Geräte, Konfigurationsprofile, Erstellen,
ca_name.cer importieren und auf das iPAD pushen.
2 Minuten warten - Zertifikat ist importiert face-smile

Jetzt muß ich mir noch mal anschauen, wie man das mit dem Zertifikat von dem Webserver (GLPI-Inventarserver) macht. Poste ich dann noch nach.
Jannikk
Jannikk 15.11.2023 um 10:57:19 Uhr
Goto Top
Das sollte normalerweise nicht mehr nötig sein. Du vertraust der CA - damit auch allen Zertifikaten die von dieser CA ausgestellt worden sind
hkrischeu
hkrischeu 15.11.2023 um 11:37:37 Uhr
Goto Top
Möglich, Macht auch Sinn.
Ich hab jetzt noch ein csr inkl. priv. key bekommen. 2 Files. Das soll Signiert werden und als pfx über die Weboberläche installiert werden.
Muß ich mir grad noch anschauen, wie ich das erstelle.
hkrischeu
hkrischeu 16.11.2023 um 08:20:32 Uhr
Goto Top
So, also das RootCA in Verbindung mit den Zertifikatsanfragen, die über die RootCA signiert worden sind, ergibt sich folgendes Bild.

Im Windowsnetzwerk, intern: Jedem Zertifikat wird vertraut
Über iPADs: nur die exportieren Zertifikate werden vertraut, obwohl auch das RootCA exportier wurde.

Im ganzen ist das für mich so ok, kann ich aber nicht ganz nachvollziehen.

Das pfx ist aber noch eine offene Aufgabe. Für Anregungen bin ich da noch offen.