Domain-Controller-Zertifikate

Sie können SCEPman verwenden, um Kerberos-Authentifizierungszertifikate für Ihre Domänencontroller auszustellen. Dadurch können sich Ihre AAD- oder hybrid verbundenen Geräte nahtlos authentifizieren, wenn sie auf lokale Ressourcen zugreifen. Dies kann verwendet werden, um die Hybrid Key Trust für Windows Hello for Businesszu implementieren. SCEPman ersetzt die Anforderung einer Public Key Infrastructure. Details finden Sie hier

Root CA ohne Erweiterung für die Verwendung des öffentlichen Schlüssels (EKU)

Diese Funktion stellt neue Anforderungen an die Root CA. Wenn Sie ein Update von einer früheren Version als 1.6 durchführen, müssen Sie eine neue Root CA generieren. Um Kerberos-Authentifizierungszertifikate zu unterstützen, muss das CA-Zertifikat entweder keine Erweiterung für die Verwendung des öffentlichen Schlüssels (EKU) enthalten oder Kerberos Authentication und Smart Card Logon einschließen.

Wenn Sie mit SCEPman beginnen 1.6 und die Root CA mit unserem SCEPman generieren, können Sie die folgenden Schritte überspringen. Andernfalls folgen Sie bitte dieser Anleitung, um eine neue Root CA zu generieren.

1. Navigieren Sie zu Ihrem Key Vault

2. Prüfen Sie, ob Ihr Benutzerkonto zu den Zugriffsrichtlinien mit allen Zertifikatberechtigungen hinzugefügt ist

3. Gehen Sie zu Zertifikate, wählen Sie Ihr CA-Zertifikat aus und klicken Sie auf Löschen

4. Nachdem Sie das CA-Zertifikat erfolgreich gelöscht haben, müssen Sie auf Gelöschte Zertifikate verwalten

5. Wählen Sie Ihr CA-Zertifikat aus, das Sie in Schritt 3 gelöscht haben, und klicken Sie auf Endgültig löschen (Denken Sie daran, dass Sie das Zertifikat nach dem endgültigen Löschen nicht wiederherstellen können!)

6. Starten Sie jetzt Ihre SCEPman-App-Dienste neu

7. Sobald Ihre App-Dienste neu gestartet wurden, öffnen Sie das SCEPman-Dashboard, indem Sie zu Ihrer SCEPman-URL navigieren

8. Sie können den Abschnitt Konfigurationsproblemesehen; bitte folgen Sie den Schritten in diesem Abschnitt.

9. Nachdem Sie das neue CA-Zertifikat generiert haben, können Sie die CA-Eignung im SCEPman-Dashboard überprüfen.

CA-Eignung im SCEPman-Dashboard:

Konfigurationsänderungen am SCEPman-Dienst

Um die Funktion zu aktivieren, müssen Sie zwei Anwendungseinstellungen in Ihrem SCEPman-Dienst hinzufügen. In der aktuellen Implementierung verwenden wir einen vorab geteilten Schlüssel (Passwort) für DC-Anfragen. Bitte generieren Sie einen neuen Schlüssel/ein neues Passwort und bewahren Sie ihn/es an einem sicheren Ort auf. (Sie werden es in den folgenden Schritten und später auf den Domänencontrollern benötigen)

1. Navigieren Sie zu App-Dienste

2. Wählen Sie dann Ihre SCEPman-App aus

3. Als Nächstes unter Einstellungen klicken Sie auf Umgebungsvariablen

4. Wählen Sie Hinzufügen

5. Typ AppConfig:DCValidation:Enabled als Name (verwenden Sie __ statt : für Linux-basiertes SCEPman)

6. Typ true als Wert

7. Bestätigen Sie mit OK

8. Wählen Sie Hinzufügen erneut

9. Typ AppConfig:DCValidation:RequestPassword als Name (verwenden Sie __ statt : für Linux-basiertes SCEPman)

10. Geben Sie Ihren Schlüssel/Ihr Passwortein, den/das Sie zuvor generiert haben, als Wert

11. Bestätigen Sie mit OK

12. Speichern Sie die Anwendungseinstellungen

Vertrauen Sie dem CA-Zertifikat in der Domäne für die Kerberos-Authentifizierung

Für die Kerberos-Authentifizierung verwendete Zertifikate müssen innerhalb der AD-Domäne als Authentifizierungs-CA-Zertifikate vertrauenswürdig sein. Bitte laden Sie das CA-Zertifikat aus dem SCEPman-Dashboard herunter. Wenn Sie die Datei als scepman-root.cergespeichert haben, können Sie das SCEPman-CA-Zertifikat (sei es eine Root CA oder eine Intermediate CA) mit dem folgenden Befehl und einem Konto mit Enterprise-Administratorrechten veröffentlichen:

Führen Sie analog den folgenden Befehl aus, um das Root-CA-Zertifikat (d. h. das SCEPman-CA-Zertifikat oder, falls SCEPman eine Intermediate CA ist, die Root CA für die SCEPman-CA-Zertifikatskette) in den Trusted-Root-Zertifikatspeicher für alle Computer im AD-Forest zu übertragen:

Danach ist das CA-Zertifikat im Allgemeinen in AD vertrauenswürdig und insbesondere für die Kerberos-Authentifizierung vertrauenswürdig. Es dauert jedoch eine gewisse Zeit (in der Standardkonfiguration bis zu 8 Stunden), bis alle Geräte diese Konfiguration erhalten. Sie können diesen Prozess auf jedem Rechner beschleunigen, indem Sie gpupdate /forceausführen, z. B. auf den Domänencontrollern.

Dadurch wird sichergestellt, dass die DC-Zertifikate innerhalb der Domäne vertrauenswürdig sind. Sie sind auch auf allen von Intune verwalteten Geräten vertrauenswürdig, sofern ein Trusted-Certificate-Profil den Root-CA-Zertifikat verteilt. Es kann erforderlich sein, die Root CA manuell an andere Dienste wie Appliances oder Cloud-Dienste zu verteilen, damit die DC-Zertifikate für alle Systeme vertrauenswürdig sind.

Installation auf dem Client

Dann müssen Sie unsere Open-Source-SCEP-Clientsoftware herunterladen SCEPClient. Veröffentlichungen mit dem Suffix -framework verwenden .NET Framework 4.6.2, das auf Windows Server 2016 vorinstalliert und mit neueren Versionen kompatibel ist. Andere Releases erfordern, dass die .NET Core Runtime auf den Zielsystemen installiert ist.

Führen Sie den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten auf einem Domänencontroller aus, um ein Domänencontrollerzertifikat von SCEPman zu erhalten:

Sie müssen die SCEPman-URL im vorherigen Befehl hinzufügen, aber den Pfad beibehalten /dcErsetzen Sie RequestPassword durch den sicheren Schlüssel/das sichere Passwort, den/das Sie zuvor generiert haben.

Das Anforderungskennwort wird mit dem CA-Zertifikat von SCEPman verschlüsselt, sodass nur SCEPman es lesen kann. Domänencontrollerzertifikate werden nur mit dem korrekten Anforderungskennwort ausgestellt.

Automatische Zertifikatsverlängerung

Für eine vollständig automatisierte Verlängerung von Zertifikaten sollten Sie ScepClient an alle Ihre Domänencontroller verteilen, zusammen mit dem PowerShell-Skript enroll-dc-certificate.ps1. Fügen Sie eine geplante Aufgabe hinzu, die den folgenden Befehl in einem SYSTEM-Kontext ausführt (URL und Anforderungskennwort anpassen):

Stellen Sie bitte sicher, dass das PowerShell-Skript sich im selben Verzeichnis wie SCEPClient.exe und dessen zusätzliche Abhängigkeiten befindet.

Dies prüft den Computerspeicher auf vorhandene DC-Zertifikate. Nur wenn keine geeigneten Zertifikate mit mindestens 30 Tagen Gültigkeit vorhanden sind, wird ScepClient.exe verwendet, um ein neues DC-Zertifikat von SCEPman anzufordern. Wenn Sie den 30-Tage-Schwellenwert ändern möchten, verwenden Sie den Parameter -ValidityThresholdDays des PowerShell-Skripts.

Das Skript schreibt eine fortlaufende Protokolldatei in das Verzeichnis, in dem es gespeichert ist. Wenn Sie diese Protokolldatei nicht möchten, lassen Sie den -LogToFile Parameter weg. Sie können stattdessen die Informations-, Fehler- und/oder Debug-Ausgabe in Dateien umleiten (z. B. 6>logfile.txt 2>&1).

Für WHfB benötigen alle DCs, die Version 2016 oder neuer ausführen, ein Kerberos-Authentifizierungszertifikat. Ältere DCs leiten Authentifizierungsanfragen an neuere DCs weiter und benötigen daher nicht zwingend ein Kerberos-Authentifizierungszertifikat. Es ist jedoch Best Practice, sie ebenfalls mit Zertifikaten auszustatten.

Ablösung einer bestehenden internen PKI

Bitte stellen Sie sicher, dass interne PKIs keine DC-Zertifikate (Zertifikatvorlagen "Domain Controller", "Domain Controller Authentication" und "Kerberos Authentication") parallel zu SCEPman ausstellen. Andernfalls könnten die DCs das DC-Zertifikat aus der internen PKI verwenden, das als nicht vertrauenswürdig gilt, wenn z. B. der CDP nicht erreichbar ist. Das SCEPman-DC-Zertifikat kann für alle Zwecke verwendet werden, für die die Zertifikate der oben genannten Vorlagen verwendet werden können, z. B. für Kerberos-Authentifizierung und LDAPS.

Der einfachste Weg, dies zu erreichen, besteht darin, die internen CAs davon abzuhalten, Zertifikate für die Vorlagen "Domain Controller", "Domain Controller Authentication" und "Kerberos Authentication" auszustellen. Löschen Sie im MMC-Snap-In der Zertifizierungsstelle diese Vorlagen aus der Liste der ausgestellten Vorlagen jeder internen CA. Löschen Sie dann bereits von der internen CA ausgestellte Zertifikate von den "MY"-Speichern Ihrer Domänencontroller (certlm.msc und navigieren Sie zu Persönlich). Selbst nach einer gpupdate /forcesollte kein neues DC-Zertifikat aus der internen PKI im Persönlich-Speicher des DCs erscheinen.