crypt0r
Goto Top

Zertifikat auf nicht Domänen Gerät installieren

Hallo zusammen,

wir betreiben eine VDI Umgebung von VMWare und unsere Clients verbinden sich per Horizon Client mit einer Maschine aus unserem Floating Pool.

Allerdings haben wir auch einige Tablets die weder an ein MDM gekoppelt sind, noch Mitglied der Domäne. Deshalb beziehen sie auch kein Computerzertifikat aus der Default Domain Policy.

Die Tablets bekommen deshalb eine Zertifikatsfehlermeldung, sobald diese versuchen eine Verbindung aufzubauen, da sie unsere interne CA nicht kennen.

Nun zu meiner Frage: ist es ausreichend das Zertifikat der Connectionserver zu exportieren und auf den Tablets zu installieren, oder muss das Stammzertifikat der CA dort installiert werden?
Das Stammzertifikat liegt mir als p7b vor, könnte ich aber per openssl konvertieren.

Das Serverzertifikat des Connectionservers habe ich bereits auf dem Tablet importiert und mit dem Anzeigenamen des Zertifikats hinterlegt, hier ist die Kette enthalten, jedoch gibt es immer noch eine Fehlermeldung.

Habt ihr eine Idee oder mal eine ähnliche Problemstellung gehabt?

VG

Content-ID: 5752435792

Url: https://administrator.de/contentid/5752435792

Printed on: November 12, 2024 at 10:11 o'clock

tech-flare
tech-flare Jan 31, 2023 updated at 07:24:49 (UTC)
Goto Top
Zitat von @crypt0r:

Hallo zusammen,
Hi

wir betreiben eine VDI Umgebung von VMWare und unsere Clients verbinden sich per Horizon Client mit einer Maschine aus unserem Floating Pool.
ok

Allerdings haben wir auch einige Tablets die weder an ein MDM gekoppelt sind, noch Mitglied der Domäne. Deshalb beziehen sie auch kein Computerzertifikat aus der Default Domain Policy.

Die Tablets bekommen deshalb eine Zertifikatsfehlermeldung, sobald diese versuchen eine Verbindung aufzubauen, da sie unsere interne CA nicht kennen.
Warum nutzt ihr auf einer Horizon Umbegung, welcher von extern erreichbar ist interne Zertifikate und keine öffentlichen? Entweder via Lets Encrypt automatisiert oder "normale" Zertifikate

Nun zu meiner Frage: ist es ausreichend das Zertifikat der Connectionserver zu exportieren und auf den Tablets zu installieren, oder muss das Stammzertifikat der CA dort installiert werden?
Die Clients benötigen dann auch das CA Zertifikat, weil sie sonst das Cert nicht verifizieren können

Das Stammzertifikat liegt mir als p7b vor, könnte ich aber per openssl konvertieren.

Das Serverzertifikat des Connectionservers habe ich bereits auf dem Tablet importiert und mit dem Anzeigenamen des Zertifikats hinterlegt, hier ist die Kette enthalten, jedoch gibt es immer noch eine Fehlermeldung.

Habt ihr eine Idee oder mal eine ähnliche Problemstellung gehabt?
Ja!

Öffentlichte Zertifikate bei VDI Umgebungen verwenden und keine internen.

Ps.: Kommen die Geräte von extern? Dann hoffe ich, ihr verbindet euch nicht direkt auf den Connection Server, sondern verbindet euch über das UAG.
crypt0r
crypt0r Jan 31, 2023 at 07:32:59 (UTC)
Goto Top
Ja geht über das UAG.
In der Vergangenheit hatten wir ein wildcard von digicert für interne und externe verbindungen genutzt. Ein Dienstleister hat das bei einem Update für interne verbindungen ausgetauscht (warum auch immer).

Die Tablets sind aber im WLAN und kommen deshalb über intern.. D:

Kann ich das CA Zertifikat exportieren und auf den Tablets importieren? Finde nur das p7b das hat keinen private key, müsste ja dann das pfx der internen Root CA in die Vertrauenswürdigen Stammzertifizierungsstellen importieren wenn ich das richtig sehe.
2423392070
2423392070 Jan 31, 2023 at 07:35:35 (UTC)
Goto Top
Ich würde auch den Rat mit Zertifikaten die öffentlich geprüft werden können, mich anschließen.

Vielleicht hat auch Certify the Web was dazu an Board, sonst dem LE-Rat prüfen.
tech-flare
tech-flare Jan 31, 2023 updated at 07:56:07 (UTC)
Goto Top
Ja geht über das UAG.
ok. sehr gut
In der Vergangenheit hatten wir ein wildcard von digicert für interne und externe verbindungen genutzt. Ein Dienstleister hat das bei einem Update für interne verbindungen ausgetauscht (warum auch immer).
da würde ich ihn mal zur Rede stellen, denn bei einem Update ändert sich das Zertifikat nicht. Ich habe erst am Wochenende unsere VMware Horizon geupdatet.

Die Tablets sind aber im WLAN und kommen deshalb über intern.. D:

Kann ich das CA Zertifikat exportieren und auf den Tablets importieren? Finde nur das p7b das hat keinen private key, müsste ja dann das pfx der internen Root CA in die Vertrauenswürdigen Stammzertifizierungsstellen importieren wenn ich das richtig sehe.

Ja funktioniert. Aber als Best Practise würde ich das nicht ansehen.
crypt0r
crypt0r Jan 31, 2023 at 08:38:10 (UTC)
Goto Top
Problemlösung:
Nicht Domänen-Geräte ins Gästenetzwerk gehängt, Zertifikatsfehler nach wie vor. Traffic ging allerdings über Extern aus unserem Gästenetz.
Android Tablets kannten allerdings DigiCert und Thawthe Stammzertifizierungsstellen nicht ( die meisten anderen schon )

Intermediate und Root als crt importiert in den internen Tabletspeicher, danach war die Verbindung vertrauenswürdig.
Dani
Dani Jan 31, 2023 at 18:54:36 (UTC)
Goto Top
Moin,
Android Tablets kannten allerdings DigiCert und Thawthe Stammzertifizierungsstellen nicht ( die meisten anderen schon )
vermutlich nicht auf der neusten Firmware bzw. so alt, dass sie keine Updates mehr bekommen. Ansonsten würde keinerlei Warnung auftauchen.

In der Vergangenheit hatten wir ein wildcard von digicert für interne und externe verbindungen genutzt. Ein Dienstleister hat das bei einem Update für interne verbindungen ausgetauscht (warum auch immer).
Eine Möglichkeit ist, dass die Sperrlisten nicht abgerufen werden konnte (Proxy, Firewall, etc.) Je nach Konfiguration schlägt dann irgendwann die Verbindung fehl.


Gruß,
Dani