1
Zertifikate erstellen für Clients ohne Zugang zur PKI
Hallo an alle,
ersteinmal "Danke!" für die vielen hilfreichen Beiträge in diesem Forum, welche mich in der Vergangenheit oft bei Problemen weitergebracht hat. Nun möchte ich aber selbst eine Frage stellen, die ich über die Suchfunktion nicht finden konnte und die damit offenbar noch nicht existiert.
Folgendes Szenario:
Mittels Windows Server 2012 habe ich in einer Testumgebung eine zweistufige Zertifizierungsstelle nach folgender Anleitung (zwei Teile) erstellt: https://www.fabian-niesen.de/tag/zertifizierungsstelle . Das hat soweit alles ganz gut geklappt.
Es existiert im Produktivbetrieb ein Webserver, der über das Internet Anwendungen bereitstellt. (Den Webserver konnte ich in der Testumgebung nicht nachbilden, da ich von dem Thema noch gar keine Ahnung habe.) Außendienstmitarbeiter sollen mit ihren Notebooks auf den Webserver über ein Zertifikat zugreifen, das auf sie selbst ausgestellt ist. Die Notebooks sind keine Domänenmitglieder, sind damit auch nicht über VPN o.Ä. mit der Domäne verbunden und haben auch sonst keine Verbindung zur Zertifizierungsstelle.
Frage:
Ist es möglich Benutzerzertifikate zu erstellen, die nicht für Domänenmitglieder ausgestellt sind? Durch die fehlende Verbindung zur PKI können die Nutzer logischerweise keine Zertifikatsanforderungen erstellen (auch nicht webbasiert).
Wäre das Folgende eine Lösung?
Ich habe in der ausstellenden CA (Domänenmitlgied) die "Benutzer"-Vorlage dupliziert und die Einstellung "Informationen werden in der Anforderung angegeben" unter dem Reiter "Antragstellername" aktiviert. Wenn ich in der ausstellenden CA mit certmgr.msc eine Zertifikatsanforderung mache, die angepasste Benutzervorlage verwende, die benutzerspezifischen Informationen eintrage (Allgemeiner Name z.B. Hans Meier) und das damit erstellte Zertifikat in eine .PFX-Datei exportiere (Root- und Sub-CA-Zertifikat sollen mit enthalten sein), dann kann ich dem Außendienstleister Hans Meier diese Datei mit privatem Schlüssel (natürlich durch den Assistenten kennwortgeschützt) zum importieren geben.
Ich habe das einmal getestet und im lokalen Profil "Hans Meier" die Datei im Zertifikatsspeicher "Aktueller Benutzer" importiert. Dort steht, dass das Zertifikat gültig ist; logisch da Root- und Sub-CA-Zertifikat auch in den entsprechenden Ordnern hinterlegt wurden und die Vertrauenskette damit gegeben ist.
Wenn ich nun aber ein lokales Konto erstelle, z.B. "Rita Bauer", das Zertifikat auch dort installiere, dann ist das "Hans Meier"-Zertifikat dort auch gültig, obwohl "Ausgestellt für" mit dem Benutzername nicht übereinstimmt. Daraus schließe ich, dass "Ausgestellt für" dafür unerheblich ist. Das ist auch nicht allzu schlimm, da jeder Außendienstleister sein eigenes Notebook besitzt und die .PFX-Dateien ohnehin kennwortgeschützt sind; mir geht es nur um das Verständnis.
Vielleicht habe ich auch das Prinzip von Zertifikaten für bestimmte Zwecke oder überhaupt im Allgemeinen noch nicht gänzlich verstanden. In dem Fall würde ich mich über Aufklärung oder vielleicht über nützliche Links freuen.
Wie gefragt, würde das so funktionieren? Bin ich komplett auf dem Holzweg oder habe ich irgendetwas übersehen?
Vielen Dank schon einmal.
ersteinmal "Danke!" für die vielen hilfreichen Beiträge in diesem Forum, welche mich in der Vergangenheit oft bei Problemen weitergebracht hat. Nun möchte ich aber selbst eine Frage stellen, die ich über die Suchfunktion nicht finden konnte und die damit offenbar noch nicht existiert.
Folgendes Szenario:
Mittels Windows Server 2012 habe ich in einer Testumgebung eine zweistufige Zertifizierungsstelle nach folgender Anleitung (zwei Teile) erstellt: https://www.fabian-niesen.de/tag/zertifizierungsstelle . Das hat soweit alles ganz gut geklappt.
Es existiert im Produktivbetrieb ein Webserver, der über das Internet Anwendungen bereitstellt. (Den Webserver konnte ich in der Testumgebung nicht nachbilden, da ich von dem Thema noch gar keine Ahnung habe.) Außendienstmitarbeiter sollen mit ihren Notebooks auf den Webserver über ein Zertifikat zugreifen, das auf sie selbst ausgestellt ist. Die Notebooks sind keine Domänenmitglieder, sind damit auch nicht über VPN o.Ä. mit der Domäne verbunden und haben auch sonst keine Verbindung zur Zertifizierungsstelle.
Frage:
Ist es möglich Benutzerzertifikate zu erstellen, die nicht für Domänenmitglieder ausgestellt sind? Durch die fehlende Verbindung zur PKI können die Nutzer logischerweise keine Zertifikatsanforderungen erstellen (auch nicht webbasiert).
Wäre das Folgende eine Lösung?
Ich habe in der ausstellenden CA (Domänenmitlgied) die "Benutzer"-Vorlage dupliziert und die Einstellung "Informationen werden in der Anforderung angegeben" unter dem Reiter "Antragstellername" aktiviert. Wenn ich in der ausstellenden CA mit certmgr.msc eine Zertifikatsanforderung mache, die angepasste Benutzervorlage verwende, die benutzerspezifischen Informationen eintrage (Allgemeiner Name z.B. Hans Meier) und das damit erstellte Zertifikat in eine .PFX-Datei exportiere (Root- und Sub-CA-Zertifikat sollen mit enthalten sein), dann kann ich dem Außendienstleister Hans Meier diese Datei mit privatem Schlüssel (natürlich durch den Assistenten kennwortgeschützt) zum importieren geben.
Ich habe das einmal getestet und im lokalen Profil "Hans Meier" die Datei im Zertifikatsspeicher "Aktueller Benutzer" importiert. Dort steht, dass das Zertifikat gültig ist; logisch da Root- und Sub-CA-Zertifikat auch in den entsprechenden Ordnern hinterlegt wurden und die Vertrauenskette damit gegeben ist.
Wenn ich nun aber ein lokales Konto erstelle, z.B. "Rita Bauer", das Zertifikat auch dort installiere, dann ist das "Hans Meier"-Zertifikat dort auch gültig, obwohl "Ausgestellt für" mit dem Benutzername nicht übereinstimmt. Daraus schließe ich, dass "Ausgestellt für" dafür unerheblich ist. Das ist auch nicht allzu schlimm, da jeder Außendienstleister sein eigenes Notebook besitzt und die .PFX-Dateien ohnehin kennwortgeschützt sind; mir geht es nur um das Verständnis.
Vielleicht habe ich auch das Prinzip von Zertifikaten für bestimmte Zwecke oder überhaupt im Allgemeinen noch nicht gänzlich verstanden. In dem Fall würde ich mich über Aufklärung oder vielleicht über nützliche Links freuen.
Wie gefragt, würde das so funktionieren? Bin ich komplett auf dem Holzweg oder habe ich irgendetwas übersehen?
Vielen Dank schon einmal.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282821
Url: https://administrator.de/forum/zertifikate-erstellen-fuer-clients-ohne-zugang-zur-pki-282821.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
1 Kommentar
Also anscheinend funktioniert es wenn man das Zertiifikat von jemand anderes erstellt wird, aber die relevanten Informationen bei der Anforderung manuell eingibt. Das Zertifikat mit privatem Schlüssel wird danach exportiert und wird dem externen Nutzer dann per USB-Stick, verschlüsselter E-Mail, Floppy, 4k-Blu-ray oder ganz klassisch mittels IPoAC übergeben. 
