WSUS SSL Zertifikat, AD-Zertifizierungsstelle, Clients
Hallo an alle,
da ich über die einschlägige Methoden keine Antworten gefunden habe versuche ich diesen Weg:
Ausgangssituation:
WSUS Server unter Server 2019 Datacenter
SSL Verschlüsselung aktiv
Zertifikat über interne CA-Zertifizierungsstelle (Windows Server Rolle) erstellt und Server zugewiesen.
Muss ich nun per GPO dieses Zertifikat jedem Client ausrollen oder müssten die Clients selbst an der internen CA-Zertifizierungsstelle prüfen ob es ein gültiges Zertifikat gibt und dieses dann verwenden?
Ich bin der Meinung das es sinnvoll ist, wenn die Clients das Zertifikat selbstständig an der CA Stelle "hohlen" nur leider ist mir bisher nicht klar wie ich das konfigurieren soll.
Danke
da ich über die einschlägige Methoden keine Antworten gefunden habe versuche ich diesen Weg:
Ausgangssituation:
WSUS Server unter Server 2019 Datacenter
SSL Verschlüsselung aktiv
Zertifikat über interne CA-Zertifizierungsstelle (Windows Server Rolle) erstellt und Server zugewiesen.
Muss ich nun per GPO dieses Zertifikat jedem Client ausrollen oder müssten die Clients selbst an der internen CA-Zertifizierungsstelle prüfen ob es ein gültiges Zertifikat gibt und dieses dann verwenden?
Ich bin der Meinung das es sinnvoll ist, wenn die Clients das Zertifikat selbstständig an der CA Stelle "hohlen" nur leider ist mir bisher nicht klar wie ich das konfigurieren soll.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7552267439
Url: https://administrator.de/forum/wsus-ssl-zertifikat-ad-zertifizierungsstelle-clients-7552267439.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...
... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?
-> Lösung: Du verteilst das Zertifikat der CA per GPO als vertrauenswürdige Zertifizierungsstelle.
Danach verbindet sich der Client mit dem WSUS, bekommt sein Zertifikat, schaut in seine Liste der vertrauenswürdigen Aussteller und vertraut dem Zertifikat.
LG
die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...
... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?
-> Lösung: Du verteilst das Zertifikat der CA per GPO als vertrauenswürdige Zertifizierungsstelle.
Danach verbindet sich der Client mit dem WSUS, bekommt sein Zertifikat, schaut in seine Liste der vertrauenswürdigen Aussteller und vertraut dem Zertifikat.
LG
Normalerweise wird das Root-Zertifikat einer MS CA im AD-Umfeld automatisch per GPO an alle Member verteilt.
Wenn der WSUS-Server dann ein von dieser CA ausgestelltes Zertifikat für SSL nutzt, dann ist das auf allen Member des AD automatisch vertrauenswürdig.
Das kann man recht einfach testen, indem man die URL des WSUS über Browser aufruft. Dann dürfte dort keine Zertifikatswarnung kommen.
i.A. URL wie
https://servername:8531
https://servername.domain.tld:8531
https://IP-Adresse:8531
Respektive des von Euch genutzten Ports.
E.
Edit:
Die URL des WSUS-Servers, welche man an die Clients verteilt, muss natürlich mit den im Zertifikat eingetragenen Daten übereinstimmen. Ist klar.
Wenn der WSUS-Server dann ein von dieser CA ausgestelltes Zertifikat für SSL nutzt, dann ist das auf allen Member des AD automatisch vertrauenswürdig.
Das kann man recht einfach testen, indem man die URL des WSUS über Browser aufruft. Dann dürfte dort keine Zertifikatswarnung kommen.
i.A. URL wie
https://servername:8531
https://servername.domain.tld:8531
https://IP-Adresse:8531
Respektive des von Euch genutzten Ports.
E.
Edit:
Die URL des WSUS-Servers, welche man an die Clients verteilt, muss natürlich mit den im Zertifikat eingetragenen Daten übereinstimmen. Ist klar.
es ist am Ende vom WSUS Client abhängig ob der das Zertifikat akzeptiert oder nicht
1.) alle Clients müssen das öffentliche Zertifikat der (Root) CA haben.
2.) der WSUS Server muß ein von der CA ausgestelltes Computerzertifikat haben (Computeridentität)
3.) die Clients prüfen dann ob das Zertifikat von irgendeiner CA stammt oder self signed ist. Es gibt bei MS Tendenzen, Self signed Zertifikate nicht mehr zu akzeptieren, der OLEDB19 macht das z.B. im Standard. Anderseits haben die MS Serverdienste immer ein SElf Signed Zertifikat, das man erst durch ein CA signiertes Zertifkat ersetzen muß.
Das Beispiel mit dem Browser oben ist nicht richtig, denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht. Man kann da einzig und alleine das Zertifikat kontrollieren, ob self signed oder CA signed.
1.) alle Clients müssen das öffentliche Zertifikat der (Root) CA haben.
2.) der WSUS Server muß ein von der CA ausgestelltes Computerzertifikat haben (Computeridentität)
3.) die Clients prüfen dann ob das Zertifikat von irgendeiner CA stammt oder self signed ist. Es gibt bei MS Tendenzen, Self signed Zertifikate nicht mehr zu akzeptieren, der OLEDB19 macht das z.B. im Standard. Anderseits haben die MS Serverdienste immer ein SElf Signed Zertifikat, das man erst durch ein CA signiertes Zertifkat ersetzen muß.
Das Beispiel mit dem Browser oben ist nicht richtig, denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht. Man kann da einzig und alleine das Zertifikat kontrollieren, ob self signed oder CA signed.
Doch, ist korrekt so.
Zumindest unter Windows. Und darum geht es ja.
denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht.
Stimmt auch nicht. Das ist vollkommen Unsinn, sorry.Zumindest unter Windows. Und darum geht es ja.