Domain-Controller-Zertifikate

Sie können SCEPman verwenden, um Kerberos-Authentifizierungszertifikate für Ihre Domänencontroller auszustellen. Dadurch können Ihre AAD- oder hybrid-verbundenen Geräte nahtlos authentifizieren, wenn sie auf lokale Ressourcen zugreifen. Dies kann verwendet werden, um die Hybride Schlüsselvertrauensstellung für Windows Hello for Businesszu implementieren. Der SCEPman ersetzt die Anforderung einer Public Key Infrastruktur. Details finden Sie hier

Root-CA ohne Erweiterung für Enhanced Key Usage (EKU)

Für diese Funktion gibt es neue Anforderungen an die Root-CA. Wenn Sie von einer früheren Version aktualisieren, wie 1.6 müssen Sie eine neue Root-CA generieren. Um Kerberos-Authentifizierungszertifikate zu unterstützen, muss das CA-Zertifikat entweder keine Erweiterung für Enhanced Key Usage (EKU) enthalten oder Kerberos Authentication und Smart Card Logon einschließen.

Wenn Sie mit SCEPman 1.6 beginnen und die Root-CA mit unserem SCEPman generieren, können Sie die folgenden Schritte überspringen. Andernfalls folgen Sie bitte dieser Anleitung, um eine neue Root-CA zu generieren.

1. Navigieren Sie zu Ihrem Key Vault

2. Prüfen Sie, ob Ihr Benutzerkonto zu den Zugriffsrichtlinien mit allen Zertifikatberechtigungen hinzugefügt wurde

3. Gehen Sie zu Zertifikate, wählen Sie Ihr CA-Zertifikat aus und klicken Sie auf Löschen

4. Nachdem Sie das CA-Zertifikat erfolgreich gelöscht haben, müssen Sie auf Gelöschte Zertifikate verwalten

5. Wählen Sie Ihr CA-Zertifikat aus, das Sie in Schritt 3 gelöscht haben, und klicken Sie auf Endgültig löschen (Beachten Sie, dass Sie das Zertifikat nach dem endgültigen Löschen nicht wiederherstellen können!)

6. Starten Sie nun Ihre SCEPman App Services neu

7. Sobald Ihre App Services neu gestartet sind, öffnen Sie das SCEPman-Dashboard, indem Sie zu Ihrer SCEPman-URL navigieren

8. Sie können den Abschnitt Konfigurationsproblemesehen, bitte folgen Sie den Schritten in diesem Abschnitt.

9. Nachdem Sie das neue CA-Zertifikat generiert haben, können Sie die Eignung der CA im SCEPman-Dashboard prüfen.

CA-Eignung im SCEPman-Dashboard:

Konfigurationsänderungen am SCEPman-Dienst

Um die Funktion zu aktivieren, müssen Sie zwei Anwendungseinstellungen in Ihrem SCEPman-Dienst hinzufügen. In der aktuellen Implementierung verwenden wir einen vorab gemeinsam genutzten Schlüssel (Passwort) für DC-Anfragen. Bitte generieren Sie einen neuen Schlüssel/Passwort und speichern Sie ihn an einem sicheren Ort. (Sie werden ihn in den folgenden Schritten und später auf den Domänencontrollern benötigen)

1. Navigieren Sie zu App Services

2. Wählen Sie dann Ihre SCEPman-App

3. Als nächstes unter Einstellungen klicken Sie Umgebungsvariablen

4. Wählen Sie Hinzufügen

5. Geben Sie ein AppConfig:DCValidation:Enabled als Namen (verwenden Sie __ anstelle von : für Linux-basierte SCEPman)

6. Geben Sie ein true als Wert

7. Bestätigen Sie mit OK

8. Wählen Sie Hinzufügen erneut

9. Geben Sie ein AppConfig:DCValidation:RequestPassword als Namen (verwenden Sie __ anstelle von : für Linux-basierte SCEPman)

10. Geben Sie Ihr Schlüssel/Passwortein, das Sie zuvor generiert haben, als Wert

11. Bestätigen Sie mit OK

12. Speichern Sie die Anwendungseinstellungen

Vertrauen der CA-Zertifikate in der Domäne für Kerberos-Authentifizierung

Zertifikate, die für die Kerberos-Authentifizierung verwendet werden, müssen innerhalb der AD-Domäne als Authentifizierungs-CA-Zertifikate vertraut werden. Bitte laden Sie das CA-Zertifikat aus dem SCEPman-Dashboard herunter. Wenn Sie die Datei als scepman-root.cergespeichert haben, können Sie das SCEPman-CA-Zertifikat (sei es eine Root-CA oder eine Intermediate-CA) mit folgendem Befehl veröffentlichen, mit einem Konto, das Enterprise-Administratorrechte besitzt:

Analog dazu führen Sie folgenden Befehl aus, um das Root-CA-Zertifikat (d. h. das SCEPman-CA-Zertifikat oder, falls SCEPman eine Intermediate-CA ist, die Root-CA für die SCEPman-CA-Zertifikatskette) in den Trusted Root-Zertifikatsspeicher für alle Computer im AD-Wald zu pushen:

Anschließend ist das CA-Zertifikat in der AD grundsätzlich als vertrauenswürdig anerkannt und insbesondere für Kerberos-Authentifizierung vertraut. Es dauert jedoch eine Weile (in der Standardkonfiguration bis zu 8 Stunden), bis alle Geräte diese Konfiguration erhalten. Sie können diesen Prozess auf jedem Rechner beschleunigen, indem Sie ausführen gpupdate /force, z. B. auf den Domänencontrollern.

Dies stellt sicher, dass die DC-Zertifikate innerhalb der Domäne vertraut werden. Sie sind außerdem auf allen von Intune verwalteten Geräten im Geltungsbereich eines Trusted Certificate-Profils, das das Root-CA-Zertifikat verteilt, vertraut. Es kann erforderlich sein, die Root-CA manuell an andere Dienste wie Appliances oder Cloud-Dienste zu verteilen, damit die DC-Zertifikate für alle Systeme vertrauenswürdig sind.

Installation auf dem Client

Dann müssen Sie unsere Open-Source-SCEP-Client-Software herunterladen SCEPClient. Releases mit dem Suffix -framework verwenden .NET Framework 4.6.2, das auf Windows Server 2016 vorinstalliert ist und mit neueren Versionen kompatibel ist. Andere Releases erfordern, dass die .NET Core Runtime auf den Zielsystemen installiert ist.

Führen Sie den folgenden Befehl in einer erhöhten Eingabeaufforderung auf einem Domänencontroller aus, um ein Domänencontroller-Zertifikat von SCEPman zu erhalten:

Sie müssen die SCEPman-URL im vorherigen Befehl hinzufügen, aber den Pfad /dcbeibehalten. Ersetzen Sie RequestPassword

durch den sicheren Schlüssel/das Passwort, das Sie zuvor generiert haben.

Das Anforderungskennwort wird mit dem CA-Zertifikat von SCEPman verschlüsselt, sodass nur SCEPman es lesen kann. Domänencontroller-Zertifikate werden nur mit dem korrekten Anforderungskennwort ausgestellt.

Der obige Befehl fordert ein neues DC-Zertifikat an, unabhängig davon, ob bereits ein gültiges Zertifikat vorhanden ist oder nicht. Lesen Sie den folgenden Abschnitt, um zu erfahren, wie Zertifikate nur erneuert werden, wenn das vorhandene Zertifikat kurz vor dem Ablauf steht. Für eine vollständig automatisierte Erneuerung von Zertifikaten sollten Sie ScepClient an alle Ihre Domänencontroller verteilen, zusammen mit dem PowerShell-Skriptenroll-dc-certificate.ps1

powershell -ExecutionPolicy RemoteSigned -File c:\scepman\enroll-dc-certificate.ps1 -SCEPURL https://your-scepman-domain/dc -SCEPChallenge RequestPassword -LogToFile

Konfigurieren der Ausführungsaktion in der geplanten Aufgabe

Dieses prüft auf vorhandene DC-Zertifikate im Maschinenstore. Nur wenn keine geeigneten Zertifikate mit mindestens 30 Tagen Gültigkeit vorhanden sind, verwendet es ScepClient.exe, um ein neues DC-Zertifikat von SCEPman anzufordern. Wenn Sie die 30-Tage-Schwelle ändern möchten, verwenden Sie den Parameter -ValidityThresholdDays des PowerShell-Skripts. Das Skript schreibt eine fortlaufende Protokolldatei in das Verzeichnis, in dem es gespeichert ist. Wenn Sie diese Protokolldatei nicht möchten, lassen Sie den -LogToFile Parameter weg. Sie können stattdessen die Informations-, Fehler- und/oder Debug-Streams in Dateien umleiten (z. B.).

6>logfile.txt 2>&1

Für WHfB benötigen alle DCs mit Version 2016 oder neuer ein Kerberos-Authentifizierungszertifikat. Ältere DCs leiten Authentifizierungsanfragen an neuere DCs weiter, daher benötigen sie nicht unbedingt ein Kerberos-Authentifizierungszertifikat. Es ist jedoch eine Best Practice, ihnen ebenfalls Zertifikate bereitzustellen.

Auslauf einer bestehenden internen PKI

Stellen Sie bitte sicher, dass interne PKIs nicht parallel mit SCEPman DC-Zertifikate einschreiben (Zertifikatvorlagen "Domain Controller", "Domain Controller Authentication" und "Kerberos Authentication"). Andernfalls könnten die DCs das DC-Zertifikat der internen PKI verwenden, welches als nicht vertrauenswürdig angesehen wird, falls z. B. das CDP nicht erreichbar ist. Das SCEPman-DC-Zertifikat kann für alle Zwecke verwendet werden, für die die Zertifikate der oben genannten Vorlagen verwendet werden können, z. B. Kerberos-Authentifizierung und LDAPS.Der einfachste Weg, dies zu erreichen, besteht darin, die internen CAs daran zu hindern, Zertifikate für die Vorlagen "Domain Controller", "Domain Controller Authentication" und "Kerberos Authentication" auszustellen. Entfernen Sie in der Certification Authority MMC-Snap-In diese Vorlagen aus der Liste der ausgestellten Vorlagen jeder internen CA. Löschen Sie dann bereits ausgestellte Zertifikate der internen CA aus den "MY"-Speichern Ihrer Domänencontroller ( certlm.msc gpupdate /forceund navigieren Sie zu Persönlich). Selbst nach einem Neustart sollte kein neues DC-Zertifikat aus der internen PKI im Persönlich-Speicher des DC erscheinen.