Autoenrollment av sertifikater i et AD-domene

[Dal]

Vet ikke helt om dette er rett gruppe, men jeg prøver meg:

 

Jeg prøver å sette opp autoenrollment av sertifikater til klienter i Windows Server 2003.

Det er ment å brukes til 802.1x-authentisering på både wired og wireless nett.

 

Men etter mye styr ser det ut som jeg må ha Enterprise-versjonen av Server 2003?

 

Det kommer jo til å fordyre prosjektet med noen (hundre)tusener.

Kan det stemme?

 

Er det ingen andre løsninger for autoutrulling av sertifikater?

 

Takk.

[KristianSv]

Technet.com gir deg alt du trenger om emnet:

http://technet.microsoft.com/en-us/library/cc778954(WS.10).aspx

 

Det stemmer forsåvidt at du trenger en Server 2003 Enterprise, eller nyere. Men det er kun CA'en som skal autoutrulle. Og så mye mer koster den ikke.

 

Hvis du skal følge teorien om å lagdele det hensiktsmessig bør du ha en Enterprise Root CA og en issuing CA (sub ca) under der. Har aldri prøvd å ha root ca som Standard edition, men tror det skal funke.

Enterprise CA trengs på issuing servern for autoenrollment og bruk av certificate templates i AD.

(i en større bedrift med mer utvidet bruk av sertifikater( og en annen risikoprofil) til andre formål også ville man vurdert tre-lags design istedet. Da med en offline standalone root ca på toppen istedet)

 

Når du skal bruke dette til en løsning som blir relativt kritisk for bedriften ville jeg nok prøvd en rett fram løsning og minst mulig triksing for å komme rundt ting. Forsøke å ikke gjøre feilsøking og drift vanskeligere enn nødvendig.

[Dal]

Jeg takker for svar.

Har såvidt begynt å ta tak i dette nå, men støter på litt problemer;

 

Jeg skal autentisere via Cisco sin Radius-server ACS v5.1, så jeg laget til en certificate request fra den som jeg pastet inn i webgrensesnittet på den Win2003 CA jeg har satt opp. Installerte så sertifikatet på ACS, og lastet ned root-sertifikatet fra WIN2003 CA til en WinXP-klient.

 

Men når jeg prøver å autentisere, både via trådløst og wired, så får jeg opp denne meldingen:

 

 

Er det ikke mulig å unngå dette? Håpet (og poenget) er jo å unngå at brukerne trenger å gjøre noe som helst.

 

Sertifikatet i seg selv ser greit ut tror jeg (acs.alesund.lan er Radius-serveren):

 

 

Er det feil type sertifikat?

 

Er det forskjell på sertifikat for maskin-autentisering og bruker-autentisering? Kan man isåfall bruke ett sertifikat for begge deler?

 

Takk.

[KristianSv]

Det er forskjellige sertifikat typer til forskjellige formål ja, selvom et sertifikat riktignok kan ha flere forskjellige funksjoner. Det er ikke anbefalt å kombinere særlig mange formål, spesielt ikke de som ikke har noe med hverandre å gjøre, eks maskin og bruker.

 

Hvis du setter opp en enterprise CA vil maskinene automatisk få og stole på root sertifikat. Hvis ikke må du manuelt eller via gpo distribuere root sertifikatet slik at maskinene stoler på det. Hvis du gjør det manuelt, husk at det må legges til i TRusted Root storen.

[Dal]

Det er forskjellige sertifikat typer til forskjellige formål ja, selvom et sertifikat riktignok kan ha flere forskjellige funksjoner. Det er ikke anbefalt å kombinere særlig mange formål, spesielt ikke de som ikke har noe med hverandre å gjøre, eks maskin og bruker.

 

Takker for svar.

Det med å kombinere formål ser ikke ut til å funke noe særlig nei.. Jeg laget til et sertifikat fra en template og som er ment å brukes både til maskin- og brukerautentisering.

 

Men jeg ser at sertifikatet kun blir lagt under maskinsertifikatene (Sertifikater Lokal Datamaskin), ikke under brukersertifikater (Sertifikater Gjeldende Bruker). Er det noe spesiell grunn til det?

 

En annen ting jeg synes er merkelig er dette: Jeg har satt opp til å bruke sertifikat for å logge seg på et trådløst nett, og det virker greit.

Men når jeg prøver å gjøre samme oppsettet for et wired nett, sier klienten (WinXP SP3) at den ikke kan finne noe sertifikater "som kan brukes med denne Extensible Authentication Protocol".

 

Hva kan være grunnen til det?

 

Takk.