Kann ich diese Dateien mit eigensignierten CRT- und KEY-Dateien in einem Windows Active Directory-Intranet-Setup installieren, damit alle Computer darauf zugreifen können?

570
Geesh_SO

Ich bin dabei, den Zulip-Chat-Server in einem lokalen Active Directory-Intranet einzurichten. Der Chat-Server benötigt ein SSL-Zertifikat, mit dem ich CRT- und KEY-Dateien aus OpenSSL generieren kann.

Bei diesen Dateien möchte ich sie jedoch in einer Active Directory-Installation installieren, sodass alle Benutzer und Computer, die Teil des Active Directory sind, diese automatisch abholen und keine Warnungen erhalten, dass ein unbekanntes Zertifikat akzeptiert werden muss.

Ich habe Google versucht, dies zu tun, aber entweder sind meine Suchfähigkeiten nicht besonders gut, oder ich verwende einfach die falschen Begriffe und bekomme daher den falschen Inhalt.

0

2 Antworten auf die Frage

2
grawity

Ja, Sie können CA-Zertifikate über Gruppenrichtlinien bereitstellen - unter Windows-Einstellungen → Sicherheitseinstellungen → Richtlinien für öffentliche Schlüssel → Vertrauenswürdige Stammzertifizierungsstellen .

Da Sie jedoch bereits über Active Directory verfügen, würde ich dringend empfehlen, die Komponente Certificate Services zu installieren und eine tatsächliche Zertifizierungsstelle zu erstellen, von der Sie einzelne Serverzertifikate ausstellen. So können Sie weiterhin interne Dienste hinzufügen und müssen nur ein Zertifikat bereitstellen alles, nicht Dutzende von selbstsignierten.

1
garethTheRed

Sie können ein Zertifikat und einen (privaten) Schlüssel nicht mit Gruppenrichtlinien verteilen. Die ganze Idee ist ziemlich sinnlos, da der private Schlüssel definitionsgemäß privat ist und daher nicht weitergegeben werden sollte.

Sie können Zertifikate jedoch auch nach Gruppenrichtlinien verteilen. Abhängig von der Windows-Version können Sie Zertifikate an den Stammspeicher, den Zwischenspeicher oder andere senden.

Sie müssen eine Zertifizierungsstelle erstellen (mit OpenSSL, Microsoft Active Directory Certificate Services (ADCS) oder anderen Tools) und diese verwenden, um Zertifikatsignierungsanfragen von jedem Client zu signieren.

Wie @ grawity sagt, haben Sie Windows, also können Sie auch ADCS verwenden. Sie können es sogar so konfigurieren, dass sich alle Clients ohne Eingreifen des Benutzers automatisch für ein Zertifikat registrieren.

Mein Vorschlag ist:

  1. Installieren Sie eine Offline-Stammzertifizierungsstelle mit Microsoft ADCS.
  2. Installieren Sie eine ausstellende Online-Zertifizierungsstelle mit Microsoft ADCS.
  3. Konfigurieren Sie Gruppenrichtlinien, um das Zertifikat der Stammzertifizierungsstelle an alle Geräte zu verteilen.
  4. Konfigurieren Sie Gruppenrichtlinien, um die automatische Registrierung zu aktivieren, damit alle Ihre Geräte ihre eigenen Zertifikate von der ausstellenden Zertifizierungsstelle anfordern.

Denken Sie daran, dass schlechte Sicherheit schlechter ist als gar keine. Recherchieren Sie, bevor Sie sich mit PKI beschäftigen.

Ich gehe davon aus, dass das cert / key-Paar nur für Zulip als HTTPS-Server gilt, nicht für jeden Client einzeln. Ist es tatsächlich möglich, mehrere Zertifizierungsstellen innerhalb desselben ADCS-Servers zu haben? grawity vor 5 Jahren 0
@Grawity - guter Punkt. Vielleicht wollte das OP einfach das Serverzertifikat und nicht das Zertifikat und die Schlüssel für die gegenseitige Authentifizierung verteilen, daher habe ich die Frage zunächst gelesen. Es würde zwei Server für mein Angebot benötigen - einen offline und den anderen online. Da das OP einfach nur die Zertifikatswarnung loswerden will, anstatt Sicherheit zu bieten, ist es wahrscheinlich zu viel. garethTheRed vor 5 Jahren 0