Über Mark Heitbrink

Ich knüpfte Anfang der 1980er erste Kontakte zum Medium Computer. Im Sommer 1992 begann meine berufliche Laufbahn als Lehrling in einem Computer Shop. Heute ... weiterlesen »

Workshop-Termine

29.07. - 31.07.2014 - Workshop Deployment in Regensburg
10.09. - 12.09.2014 - Workshop Gruppenrichtlinien in Münster
24.09. - 26.09.2014 - Workshop Deployment in Detmold
24.11. - 26.11.2014 - Workshop Gruppenrichtlinien in Regensburg
01.12. - 03.12.2014 - Workshop Deployment in Regensburg

Zertifikate verteilen

Autor: Mark Heitbrink

22.03.2013

Selfsigned- oder Drittanbieter Zertifikate an die Clients verteilen.
Verwaltung der Vertrauenwürdigen Stammzertifizierungestellen.

Immer wieder steht der Administrator vor dem Problem, daß er auf Seiten im Browser zugreifen muss, die mit einem Zertifikat bestückt sind, das nicht im Bereich der "Vertrauenswürdige Stammzertifizierungsstellen"  hinterlegt ist und es  zu einer Fehlermeldung kommt.


(klick-vergrößern)

Sollte jetzt folgende Richtlinie gesetzt sein (siehe Security Compliants Manager, IE9 aufwärts Template), dann kann man nicht per "Weiter" auf die Seite zugreifen. Was sicherheitstechnisch vollkommen richtig ist!

Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Internetsystemsteuerung 
Ignorieren von Zertifikatfehlern verhindern = Aktiviert

 

Solange es sich um interne Seiten handelt ist es sicherlich keine kritische Fehlermeldung, sondern eher eine lästige. Das Gerät, zB ein Router/Switch oder eine vSphere Konsole, oder ein WebService oder oder oder wurde meist mit einem sogenannten SelfSigned Certificate ausgestattet.
Es ist "selbsterstellt" und es entspringt keiner Zertifizierungsstelle die als vertrauenswürdig eingestuft und definiert ist. Es ist einzig und allein dazu da, den Datenverkehr zu diesem System verschlüsselt über das Netzwerk zu transportieren. Es ist um Längen besser einem selbst erstelltem Zertifikat zu vertrauen, als die Daten leserlich im Plaintext zu übertragen.

Schieben wir mal die politischen Probleme und Konsequenzen beiseite und schauen uns die Lösung an.

a) Die schönste Lösung:
Es gibt eine eigene PKI Infrastruktur im AD,  alle Domänen Mitglieder vertrauen dieser durch Domänenbeitritt automatisch und das verwendete Zertifikate auf dem Gerät stammt von dieser CA. Fertig.
Wie so oft, ist das Adminleben kein Wunschkonzert und man muss das akzeptieren, was da ist, also gehen wir davon aus Lösung a) ist nicht gegeben.

b) Verteilung des Zertifikats mittels Gruppenrichtlinie

  1. Das Zertifikat als Datei exportieren: 
    Browser URL öffnen, Zertifikat öffnen und aus den Details heraus in eine "NameZert.cer" Datei kopieren/exportieren. Name der Datei ist egal, denn die zu importierenden Werte stehen im Zertifikat. Der Dateinamen taucht nach dem Import nicht mehr auf. Ihr müsst euch nur Name/Pfad merken ...


    (klick-vergrößern)

  2. Import des "NameZert.cer" in die Gruppenrichtlinie in den richtigen Bereich des Zertifikatsspeichers. Im Falle des WebServer Zertifikats sind es die "Vertrauenswürdige Stammzertifizierungsstellen". Bei einem CodeSigning Zertifikat wären es der "Vertrauenwürdige Herausgeber" etc.

    Pfad in der GPO:
    Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen

    Rechte Maustaste auf Zertifikatsspeicher - Importieren - dem Assistenten folgen


    (klick-vergrößern)

  3. Fertig. 
    Über die Gruppenrichtlinien verteilte Zertifikate werden beim nächsten gpupdate Prozess am Client importiert. Sie werden automatisch am Client gelöscht, wenn das Zertifikat aus der GPO entfernt wird, oder der Computer den Verwaltungsbereich der Richtlinie verlässt.


    (klick-vergrößern)