Domain-Controller-Zertifikate

Sie können SCEPman verwenden, um Kerberos-Authentifizierungszertifikate an Ihre Domain-Controller auszustellen. Dadurch können sich Ihre AAD- oder hybrid-verbundenen Geräte nahtlos authentifizieren, wenn sie auf lokale Ressourcen zugreifen. Dies kann verwendet werden, um die Hybrider Schlüsselttrust für Windows Hello for Business. SCEPman ersetzt damit die Anforderung einer Public Key Infrastruktur. Details finden Sie Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Info

Root-CA ohne Enhanced Key Usage (EKU)-Erweiterung

Dieses Feature stellt neue Anforderungen an die Root-CA. Wenn Sie von einer älteren Version aktualisieren, wie 1.6 müssen Sie eine neue Root-CA erzeugen. Um Kerberos-Authentifizierungszertifikate zu unterstützen, muss das CA-Zertifikat entweder keine Erweiterung für Enhanced Key Usage (EKU) enthalten oder Kerberos Authentication und Smart Card Logon beinhalten.

Wenn Sie mit SCEPman beginnen 1.6 und die Root-CA mit unserem SCEPman erzeugen, können Sie die folgenden Schritte überspringen. Andernfalls folgen Sie bitte dieser Anleitung, um eine neue Root-CA zu erstellen.

1. Navigieren Sie zu Ihrem Key Vault

2. Überprüfen Sie, ob Ihr Benutzerkonto zu den Zugriffsrichtlinien mit allen Zertifikatberechtigungen hinzugefügt wurde

3. Gehen Sie zu Zertifikate, wählen Sie Ihr CA-Zertifikat aus und klicken Sie auf Löschen

4. Nachdem Sie das CA-Zertifikat erfolgreich gelöscht haben, müssen Sie auf Gelöschte Zertifikate verwalten

5. Wählen Sie Ihr CA-Zertifikat aus, das Sie in Schritt 3 gelöscht haben, und klicken Sie auf Entfernen (Beachten Sie, dass Sie das Zertifikat nach dem Entfernen nicht wiederherstellen können!)

6. Starten Sie nun Ihre SCEPman App Services neu

7. Sobald Ihre App Services neu gestartet sind, öffnen Sie das SCEPman-Dashboard, indem Sie zu Ihrer SCEPman-URL navigieren

8. Sie können den Abschnitt Konfigurationsproblemesehen, bitte folgen Sie den Schritten in diesem Abschnitt.

9. Nachdem Sie das neue CA-Zertifikat erstellt haben, können Sie die Eignung der CA im SCEPman-Dashboard überprüfen.

CA-Eignung im SCEPman-Dashboard:

Konfigurationsänderungen für den SCEPman-Dienst

Um das Feature zu aktivieren, müssen Sie in Ihrem SCEPman-Dienst zwei Anwendungs-Einstellungen hinzufügen. In der aktuellen Implementierung verwenden wir einen vorab geteilten Schlüssel (Passwort) für DC-Anfragen. Bitte erzeugen Sie einen neuen Schlüssel/Passwort und speichern Sie ihn an einem sicheren Ort. (Sie werden ihn in den folgenden Schritten und später auf den Domain Controllern benötigen)

1. Navigieren zu App Services

2. Wählen Sie dann Ihre SCEPman-App aus

3. Als Nächstes unter Einstellungen klicken Sie Umgebungsvariablen

4. Wählen Sie Hinzufügen

5. Geben Sie AppConfig:DCValidation:Enabled als Namen ein

6. Geben Sie true als Wert

7. Bestätigen Sie mit OK

8. Wählen Sie Hinzufügen erneut

9. Geben Sie AppConfig:DCValidation:RequestPassword als Namen ein

10. Geben Sie Ihr Schlüssel/Passwort, das Sie zuvor generiert haben, als Wert ein

11. Bestätigen Sie mit OK

12. Speichern Sie die Anwendungs-Einstellungen

Vertrauen der CA-Zertifikate in der Domäne für Kerberos-Authentifizierung

Für die Kerberos-Authentifizierung verwendete Zertifikate müssen innerhalb der AD-Domäne als Authentifizierungs-CA-Zertifikate vertraut werden. Bitte laden Sie das CA-Zertifikat aus dem SCEPman-Dashboard herunter. Falls Sie die Datei als gespeichert haben scepman-root.cer, können Sie das SCEPman-CA-Zertifikat (sei es eine Root-CA oder eine Zwischen-CA) mit dem folgenden Befehl veröffentlichen, mit einem Konto, das Enterprise-Administratorrechte besitzt:

Führen Sie analog den folgenden Befehl aus, um das Root-CA-Zertifikat (d. h. das SCEPman-CA-Zertifikat oder im Fall, dass SCEPman eine Zwischen-CA ist, die Root-CA für die SCEPman-CA-Zertifikatskette) in den Trusted Root-Zertifikatspeicher für alle Computer in der AD-Forest zu pushen:

Anschließend wird das CA-Zertifikat allgemein in AD vertraut und insbesondere für Kerberos-Authentifizierung vertraut. Es dauert jedoch einige Zeit (in der Standardkonfiguration bis zu 8 Stunden), bis alle Geräte diese Konfiguration erhalten. Sie können diesen Prozess auf jedem Rechner beschleunigen, indem Sie gpupdate /force, z. B. auf den Domain Controllern, ausführen.

Dies stellt sicher, dass die DC-Zertifikate innerhalb der Domäne vertraut werden. Sie sind auch auf allen von Intune verwalteten Geräten vertraut, die im Geltungsbereich eines Trusted Certificate-Profils sind, das das Root-CA-Zertifikat verteilt. Es kann notwendig sein, die Root-CA manuell an andere Dienste wie Appliances oder Cloud-Dienste zu verteilen, damit die DC-Zertifikate für alle Systeme vertraut sind.

Installation auf dem Client

Anschließend müssen Sie unsere Open-Source-SCEP-Client-Software herunterladen SCEPClient. Releases mit dem Suffix -framework verwenden .NET Framework 4.6.2, das auf Windows Server 2016 vorinstalliert ist und mit neueren Versionen kompatibel ist. Andere Releases erfordern die Installation der .NET Core Runtime auf den Zielsystemen.

Führen Sie den folgenden Befehl in einer erhöhten Eingabeaufforderung auf einem Domain Controller aus, um ein Domain Controller-Zertifikat von SCEPman zu erhalten:

Sie müssen die SCEPman-URL im vorherigen Befehl hinzufügen, aber den Pfad /dcbeibehalten. Ersetzen Sie RequestPassword

durch den sicheren Schlüssel/das Passwort, das Sie zuvor generiert haben.

Das Anforderungskennwort wird mit dem CA-Zertifikat von SCEPman verschlüsselt, sodass nur SCEPman es lesen kann. Domain Controller-Zertifikate werden nur mit dem korrekten Anforderungskennwort ausgestellt.

Der obige Befehl fordert ein neues DC-Zertifikat an, unabhängig davon, ob bereits ein gültiges Zertifikat vorhanden ist. Lesen Sie den folgenden Abschnitt, um zu erfahren, wie Zertifikate nur dann erneuert werden, wenn das vorhandene Zertifikat bald abläuft. Für eine vollständig automatisierte Erneuerung von Zertifikaten sollten Sie ScepClient an alle Ihre Domain Controller verteilen, zusammen mit dem PowerShell-Skriptenroll-dc-certificate.ps1

powershell -ExecutionPolicy RemoteSigned -File c:\scepman\enroll-dc-certificate.ps1 -SCEPURL https://your-scepman-domain/dc -SCEPChallenge RequestPassword -LogToFile

Konfigurieren der Ausführungsaktion in der geplanten Aufgabe

Dies überprüft vorhandene DC-Zertifikate im Maschinenstore. Nur wenn keine geeigneten Zertifikate mit mindestens 30 Tagen Gültigkeit vorhanden sind, verwendet es ScepClient.exe, um ein neues DC-Zertifikat von SCEPman anzufordern. Wenn Sie die 30-Tage-Schwelle ändern möchten, verwenden Sie den Parameter -ValidityThresholdDays des PowerShell-Skripts. Das Skript schreibt eine kontinuierliche Protokolldatei in das Verzeichnis, in dem es gespeichert ist. Wenn Sie diese Protokolldatei nicht möchten, lassen Sie den -LogToFile Parameter weg. Sie können stattdessen die Informations-, Fehler- und/oder Debug-Streams in Dateien umleiten (z. B.).

6>logfile.txt 2>&1

Für WHfB benötigen alle DCs mit Version 2016 oder neuer ein Kerberos-Authentifizierungszertifikat. Ältere DCs leiten Authentifizierungsanforderungen an neuere DCs weiter, daher benötigen sie nicht unbedingt ein Kerberos-Authentifizierungszertifikat. Es ist jedoch Best Practice, ihnen ebenfalls Zertifikate zur Verfügung zu stellen.

Ausphasung einer bestehenden internen PKI

Bitte stellen Sie sicher, dass interne PKIs keine DC-Zertifikate (Zertifikatvorlagen "Domain Controller", "Domain Controller Authentication" und "Kerberos Authentication") parallel zu SCEPman ausstellen. Andernfalls könnten die DCs das DC-Zertifikat der internen PKI verwenden, das als nicht vertrauenswürdig angesehen wird, wenn z. B. das CDP nicht erreichbar ist. Das SCEPman-DC-Zertifikat kann für alle Zwecke verwendet werden, für die die Zertifikate der oben genannten Vorlagen verwendet werden können, z. B. Kerberos-Authentifizierung und LDAPS.Der einfachste Weg, dies zu erreichen, besteht darin, die internen CAs daran zu hindern, Zertifikate für die Vorlagen "Domain Controller", "Domain Controller Authentication" und "Kerberos Authentication" auszustellen. Löschen Sie in der Zertifizierungsstellen-MMC (Certification Authority MMC Snap-In) diese Vorlagen aus der Liste der ausgestellten Vorlagen jeder internen CA. Löschen Sie dann bereits ausgestellte Zertifikate der internen CA aus den "MY"-Speichern Ihrer Domain Controller ( certlm.msc gpupdate /forceund navigieren Sie zu Persönlich). Selbst nach einem