6
Zertifikat auf nicht Domänen Gerät installieren
Hallo zusammen,
wir betreiben eine VDI Umgebung von VMWare und unsere Clients verbinden sich per Horizon Client mit einer Maschine aus unserem Floating Pool.
Allerdings haben wir auch einige Tablets die weder an ein MDM gekoppelt sind, noch Mitglied der Domäne. Deshalb beziehen sie auch kein Computerzertifikat aus der Default Domain Policy.
Die Tablets bekommen deshalb eine Zertifikatsfehlermeldung, sobald diese versuchen eine Verbindung aufzubauen, da sie unsere interne CA nicht kennen.
Nun zu meiner Frage: ist es ausreichend das Zertifikat der Connectionserver zu exportieren und auf den Tablets zu installieren, oder muss das Stammzertifikat der CA dort installiert werden?
Das Stammzertifikat liegt mir als p7b vor, könnte ich aber per openssl konvertieren.
Das Serverzertifikat des Connectionservers habe ich bereits auf dem Tablet importiert und mit dem Anzeigenamen des Zertifikats hinterlegt, hier ist die Kette enthalten, jedoch gibt es immer noch eine Fehlermeldung.
Habt ihr eine Idee oder mal eine ähnliche Problemstellung gehabt?
VG
wir betreiben eine VDI Umgebung von VMWare und unsere Clients verbinden sich per Horizon Client mit einer Maschine aus unserem Floating Pool.
Allerdings haben wir auch einige Tablets die weder an ein MDM gekoppelt sind, noch Mitglied der Domäne. Deshalb beziehen sie auch kein Computerzertifikat aus der Default Domain Policy.
Die Tablets bekommen deshalb eine Zertifikatsfehlermeldung, sobald diese versuchen eine Verbindung aufzubauen, da sie unsere interne CA nicht kennen.
Nun zu meiner Frage: ist es ausreichend das Zertifikat der Connectionserver zu exportieren und auf den Tablets zu installieren, oder muss das Stammzertifikat der CA dort installiert werden?
Das Stammzertifikat liegt mir als p7b vor, könnte ich aber per openssl konvertieren.
Das Serverzertifikat des Connectionservers habe ich bereits auf dem Tablet importiert und mit dem Anzeigenamen des Zertifikats hinterlegt, hier ist die Kette enthalten, jedoch gibt es immer noch eine Fehlermeldung.
Habt ihr eine Idee oder mal eine ähnliche Problemstellung gehabt?
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5752435792
Url: https://administrator.de/contentid/5752435792
Printed on: May 6, 2024 at 12:05 o'clock
6 Comments
Latest comment
Hi
Allerdings haben wir auch einige Tablets die weder an ein MDM gekoppelt sind, noch Mitglied der Domäne. Deshalb beziehen sie auch kein Computerzertifikat aus der Default Domain Policy.
Die Tablets bekommen deshalb eine Zertifikatsfehlermeldung, sobald diese versuchen eine Verbindung aufzubauen, da sie unsere interne CA nicht kennen.
Warum nutzt ihr auf einer Horizon Umbegung, welcher von extern erreichbar ist interne Zertifikate und keine öffentlichen? Entweder via Lets Encrypt automatisiert oder "normale" Zertifikate
Öffentlichte Zertifikate bei VDI Umgebungen verwenden und keine internen.
Ps.: Kommen die Geräte von extern? Dann hoffe ich, ihr verbindet euch nicht direkt auf den Connection Server, sondern verbindet euch über das UAG.
wir betreiben eine VDI Umgebung von VMWare und unsere Clients verbinden sich per Horizon Client mit einer Maschine aus unserem Floating Pool.
okAllerdings haben wir auch einige Tablets die weder an ein MDM gekoppelt sind, noch Mitglied der Domäne. Deshalb beziehen sie auch kein Computerzertifikat aus der Default Domain Policy.
Die Tablets bekommen deshalb eine Zertifikatsfehlermeldung, sobald diese versuchen eine Verbindung aufzubauen, da sie unsere interne CA nicht kennen.
Nun zu meiner Frage: ist es ausreichend das Zertifikat der Connectionserver zu exportieren und auf den Tablets zu installieren, oder muss das Stammzertifikat der CA dort installiert werden?
Die Clients benötigen dann auch das CA Zertifikat, weil sie sonst das Cert nicht verifizieren könnenDas Stammzertifikat liegt mir als p7b vor, könnte ich aber per openssl konvertieren.
Das Serverzertifikat des Connectionservers habe ich bereits auf dem Tablet importiert und mit dem Anzeigenamen des Zertifikats hinterlegt, hier ist die Kette enthalten, jedoch gibt es immer noch eine Fehlermeldung.
Habt ihr eine Idee oder mal eine ähnliche Problemstellung gehabt?
Ja!Das Serverzertifikat des Connectionservers habe ich bereits auf dem Tablet importiert und mit dem Anzeigenamen des Zertifikats hinterlegt, hier ist die Kette enthalten, jedoch gibt es immer noch eine Fehlermeldung.
Habt ihr eine Idee oder mal eine ähnliche Problemstellung gehabt?
Öffentlichte Zertifikate bei VDI Umgebungen verwenden und keine internen.
Ps.: Kommen die Geräte von extern? Dann hoffe ich, ihr verbindet euch nicht direkt auf den Connection Server, sondern verbindet euch über das UAG.
Ja geht über das UAG.
In der Vergangenheit hatten wir ein wildcard von digicert für interne und externe verbindungen genutzt. Ein Dienstleister hat das bei einem Update für interne verbindungen ausgetauscht (warum auch immer).
Die Tablets sind aber im WLAN und kommen deshalb über intern.. D:
Kann ich das CA Zertifikat exportieren und auf den Tablets importieren? Finde nur das p7b das hat keinen private key, müsste ja dann das pfx der internen Root CA in die Vertrauenswürdigen Stammzertifizierungsstellen importieren wenn ich das richtig sehe.
In der Vergangenheit hatten wir ein wildcard von digicert für interne und externe verbindungen genutzt. Ein Dienstleister hat das bei einem Update für interne verbindungen ausgetauscht (warum auch immer).
Die Tablets sind aber im WLAN und kommen deshalb über intern.. D:
Kann ich das CA Zertifikat exportieren und auf den Tablets importieren? Finde nur das p7b das hat keinen private key, müsste ja dann das pfx der internen Root CA in die Vertrauenswürdigen Stammzertifizierungsstellen importieren wenn ich das richtig sehe.
Ich würde auch den Rat mit Zertifikaten die öffentlich geprüft werden können, mich anschließen.
Vielleicht hat auch Certify the Web was dazu an Board, sonst dem LE-Rat prüfen.
Vielleicht hat auch Certify the Web was dazu an Board, sonst dem LE-Rat prüfen.
Ja geht über das UAG.
ok. sehr gutIn der Vergangenheit hatten wir ein wildcard von digicert für interne und externe verbindungen genutzt. Ein Dienstleister hat das bei einem Update für interne verbindungen ausgetauscht (warum auch immer).
da würde ich ihn mal zur Rede stellen, denn bei einem Update ändert sich das Zertifikat nicht. Ich habe erst am Wochenende unsere VMware Horizon geupdatet.Die Tablets sind aber im WLAN und kommen deshalb über intern.. D:
Kann ich das CA Zertifikat exportieren und auf den Tablets importieren? Finde nur das p7b das hat keinen private key, müsste ja dann das pfx der internen Root CA in die Vertrauenswürdigen Stammzertifizierungsstellen importieren wenn ich das richtig sehe.
Kann ich das CA Zertifikat exportieren und auf den Tablets importieren? Finde nur das p7b das hat keinen private key, müsste ja dann das pfx der internen Root CA in die Vertrauenswürdigen Stammzertifizierungsstellen importieren wenn ich das richtig sehe.
Ja funktioniert. Aber als Best Practise würde ich das nicht ansehen.
Problemlösung:
Nicht Domänen-Geräte ins Gästenetzwerk gehängt, Zertifikatsfehler nach wie vor. Traffic ging allerdings über Extern aus unserem Gästenetz.
Android Tablets kannten allerdings DigiCert und Thawthe Stammzertifizierungsstellen nicht ( die meisten anderen schon )
Intermediate und Root als crt importiert in den internen Tabletspeicher, danach war die Verbindung vertrauenswürdig.
Nicht Domänen-Geräte ins Gästenetzwerk gehängt, Zertifikatsfehler nach wie vor. Traffic ging allerdings über Extern aus unserem Gästenetz.
Android Tablets kannten allerdings DigiCert und Thawthe Stammzertifizierungsstellen nicht ( die meisten anderen schon )
Intermediate und Root als crt importiert in den internen Tabletspeicher, danach war die Verbindung vertrauenswürdig.
Moin,
Gruß,
Dani
Android Tablets kannten allerdings DigiCert und Thawthe Stammzertifizierungsstellen nicht ( die meisten anderen schon )
vermutlich nicht auf der neusten Firmware bzw. so alt, dass sie keine Updates mehr bekommen. Ansonsten würde keinerlei Warnung auftauchen.In der Vergangenheit hatten wir ein wildcard von digicert für interne und externe verbindungen genutzt. Ein Dienstleister hat das bei einem Update für interne verbindungen ausgetauscht (warum auch immer).
Eine Möglichkeit ist, dass die Sperrlisten nicht abgerufen werden konnte (Proxy, Firewall, etc.) Je nach Konfiguration schlägt dann irgendwann die Verbindung fehl.Gruß,
Dani
