Verständnissfrage Benutzerzertifikat auf nicht-Domänenrechner

13/07/2009 - 15:46 von Martin Freiberger | Report spam
Hallo,

mal eine Frage zum Verstàndniss bei der Verwendung von Benutzerzertifkate.

Ich habe in einem SBS 2003 R2 im IIS bei der Standartwebseite SSL
aktiviert und die Verwendung von Benutzerzertifikaten gefordert.

Soweit so gut und innerhalb der Domàne funkltioniert das auch wie gedacht.

Was aber wenn ich nun als Admin einen weiteren Rechner zur Domàne
hinzufügen will. Ich melde mich als mit dem lokalen Admin-Account an dem
neuen Rechner an und wàhle die Seite
https://MySBS.MyDomain.local/ConnectComputer an. Das geht natürlich
nicht da ich ja noch kein Benutzerzertifikat habe.

Also gehe ich schnell zu einem Domànenrechner, melde mich als
Domànenadmin an und starte den IE und exportiere mein Zertifikat auf
einen USB-Stick. Mit dem Stick wieder zum neuen Rechner gewandert, das
Benutzerzertifikat in den IE importiert und...nichts geht. Den, das
Benutzerzertifikat ist nicht im eigenen Zertifikatsspeicher gelandet
sondern in den Speicher anderer Personen. Was ja auch irgendwie logisch
ist, schließlich bin ich an der neuen Maschine ja nicht als
Administrator@MyDomain.local angemeldet sondern als
Administrato@NewMachine und dem gehört das importierte Zertifikat ja nicht.

Aber wie geht das nu? Wo ist mein Fehler in der Sache.

Vielen Dank für alle erleuchtenden Hinweise, ich steh wohl gewaltig auf
meinem Erkenntnisschlauch.

Gruß
 

Lesen sie die antworten

#1 Tobias Redelberger [MVP - SBS]
14/07/2009 - 10:07 | Warnen spam
Hi Martin,

mal eine Frage zum Verstàndniss bei der Verwendung von Benutzerzertifkate.

Ich habe in einem SBS 2003 R2 im IIS bei der Standartwebseite SSL
aktiviert und die Verwendung von Benutzerzertifikaten gefordert.



Du bist Dir schon bewusst, dass ein Herumspielen an den Einstellungen der
Standardwebseite weitreichende Folgen haben kann? Ein unachtsames Ändern von
Einstellungen auf oberster Ebene und Übernahme auf die darunterliegenden,
virtuellen Verzeichnisse haben schon so manchen SBS unbrauchbar gemacht..

Und von welchen "Benutzerzertifikaten" redest Du, wenn Du von "Verwendung
von Benutzerzertifikaten gefordert" schreibst? Wo hast Du welche Einstellung
genau veràndert?

Redest Du von:


und einer 1:1 Zuordnung?

Soweit so gut und innerhalb der Domàne funkltioniert das auch wie gedacht.

Was aber wenn ich nun als Admin einen weiteren Rechner zur Domàne
hinzufügen will. Ich melde mich als mit dem lokalen Admin-Account an dem
neuen Rechner an und wàhle die Seite
https://MySBS.MyDomain.local/ConnectComputer an. Das geht natürlich nicht
da ich ja noch kein Benutzerzertifikat habe.

Also gehe ich schnell zu einem Domànenrechner, melde mich als Domànenadmin
an und starte den IE und exportiere mein Zertifikat auf einen USB-Stick.
Mit dem Stick wieder zum neuen Rechner gewandert, das Benutzerzertifikat
in den IE importiert und...nichts geht. Den, das Benutzerzertifikat ist
nicht im eigenen Zertifikatsspeicher gelandet sondern in den Speicher
anderer Personen. Was ja auch irgendwie logisch ist, schließlich bin ich
an der neuen Maschine ja nicht als angemeldet
sondern als und dem gehört das importierte
Zertifikat ja nicht.

Aber wie geht das nu? Wo ist mein Fehler in der Sache.

Vielen Dank für alle erleuchtenden Hinweise, ich steh wohl gewaltig auf
meinem Erkenntnisschlauch.



ich bin mir gar nicht sicher, ob Dein gewünschter Weg überhaupt sinnvoll im
Zusammenhang mit einem SBS zu lösen ist. Wenn, dann müsstest Du das
Zertifikat auf Computerbasis sowohl Ausstellen als auch Einpflegen und via
Website respektive Virtuellen Verzeichnis als Clientzertifikat abfragen
lassen.

Wieso erzwingst Du überhaupt explizit für das Virtuelle Verzeichnis
"connectcomputer" ein Benutzerzertifikat, wenn Du damit neue
Herausforderungen generierst. Was erwartest Du Dir von dieser zusàtzlichen
"Sicherheit"? "Connectcomputer" kann sowieso nur von berechtigten Personen
ausgeführt werden, ein unverschlüsselter Zugriff aus dem LAN auf das
Virtuelle Verzeichnis "connectcomputer" sehe ich nicht als Sicherheitsrisiko
an - wenn doch, wieso?

Schon mal darüber nachgedacht anstatt auf SSL-Basis lediglich den
Websitezugriff zu verschlüsseln (und ggf. eine Benutzerauthentifizierung
durchzuführen) mittels IPsec als Verschlüsselung und Authentifizierung auf
Client/Server-Basis sàmtliche Kommunikation im Netzwerk abzusichern (IPsec
Offload Funktion von Netzwerkkarten beachten) und darüber die normale
Authentifizierung seitens SBS/IIS wie vom SBS-Setup vorgegeben zu verwenden?

Tipp in diesem Zusammenhang (IPsec): Hintergründe zu DirectAccess von
Windows 7 respektive Windows Server 2008 R2 ansehen.

Demo - DirectAccess
http://technet.microsoft.com/en-us/...72177.aspx

Überblick - DirectAccess
http://technet.microsoft.com/en-us/...20463.aspx

Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
Tel: +49 (9722) 4835
Mobil: +49 (163) 84 74 421
Email:
Web: http://www.starnet-services.net

Ähnliche fragen