Toon posts:

[W2003 TS] Certificaat (IE) uitrollen over users?

Pagina: 1
Acties:

maandag 26 januari 2009 21:59

Acties:
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 06-02 07:44

Crazy-

Best life ever

Topicstarter
We beschikken hier over een W2003R2 Std. Terminal Server + 10 CAL's.

Users loggen via VPN op de TS in, starten hun software etc. So far, so good.

Nu komt het volgende:

het gebruikte adminstratiepakket werkt m.b.v. een PFX certificaat (welke we gekregen hebben van de desbetreffende partij) om te communiceren met een server van een derde. (ophalen persoonlijke gegevens).

Het certificaat werkt, deze is onder de console van de Adminsitrator geinstalleerd en getest en beschikbaar onder Internet Explroer, maar uiteraard gaat dit simpel zoals je bijv. op een client PC zou doen.

Nu zijn we vandaag vele uren bezig geweest om het cerfiticaat onder alle users geinstalleerd te krijgen zonder onder elke user te moeten inloggen.

Zelf dacht ik aan een Group Policy onder cerfiticaten uitrollen, maar dit mocht niet baten. Veel optie's gevolgd, gevonden op het internet maar dit mag allemaal niet baten.

wie o wie heeft hier uberhaupt ervaring mee (Via internet lijkt het erop dat niemand het weet?!)
of wie heeft een idee? Wellicht zoek ik verkeerd om het via een GPO te doen.

bewust geen lijst van resources bijgesloten, want dan krijg je 20 pagina's aan URL's (dit zegt al genoeg over het feit wat we allemaal gevonden en gepbrobeerd hebben ...)

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

maandag 26 januari 2009 22:02

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Via GPO is toch echt de enige juiste manier, en die spreekt imho toch wel voor zich, kan je niks fout aan doen :)

Hoe heb je dat precies aangepast? Evt screenshots?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 26 januari 2009 22:02

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

http://technet.microsoft.com/en-us/library/cc770315.aspx

al gelezen :?

A wise man's life is based around fuck you

maandag 26 januari 2009 22:18

Acties:
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 06-02 07:44

Crazy-

Best life ever

Topicstarter
Active Directory - gebuikers en computers
rechtermuisknop > domain.local > Eigenschappen
Tabblad "groepsbeleid"
"Default domain policy" Bewerken

Dan:

Computerconfiguratie > Windowsistellingen > Beveiligingsinstellingen > Beleid voor openbare sleutels > Vertrouwde basiscertificeringsinstanties

Rechtermuisknop > Importeren

certificaat selecteren en finish.

Dat is even kort wat er gedaan is.
Dan nog VELE andere dingen, maar no way dat onde TS-users het certificaat onder IE7 beschikbaar is.

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

maandag 26 januari 2009 22:30

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Is dat certificaat weel een rootcertificaat dan (basiscertificeringsinstantie) ?
Anders moet deze misschien in een andere store opgeslagen worden?

Aangezien het een ts omgeving betreft: werkt het wel als je het certificaat met de hand op een enkele server importeert? Of krijg je dan ook hetzelfde probleem? Open hiertoe een MMC, voeg de module Certificaten voor "De computeraccount" toe, en voeg het certificaat toe...

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 26 januari 2009 22:35

Acties:
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 06-02 07:44

Crazy-

Best life ever

Topicstarter
ik geef toe, mijn bekendheid qua certificaten is niet extreem hoog, maar tot zover ik weet is het geen root cert. en zodoende twijfeli k ook al aan deze methode. Ben me even aan het verdiepen hoe ik dit snel kan onderscheiden.

De laaste optie (MMC, certificaten, computeraccount) hebben we evenzo gedaan, en nog niets. (sorry vergeten te vermelden ... hele dag bezig met zoiets, niet uitkomen, soms weet je niet meer wat je wel/niet gehad hebt.

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

maandag 26 januari 2009 23:03

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Crazy- schreef op maandag 26 januari 2009 @ 21:59:
het gebruikte adminstratiepakket werkt m.b.v. een PFX certificaat (welke we gekregen hebben van de desbetreffende partij) om te communiceren met een server van een derde. (ophalen persoonlijke gegevens).

Het certificaat werkt, deze is onder de console van de Adminsitrator geinstalleerd en getest en beschikbaar onder Internet Explorer, maar uiteraard gaat dit simpel zoals je bijv. op een client PC zou doen.
[...]
Active Directory - gebuikers en computers
rechtermuisknop > domain.local > Eigenschappen
Tabblad "groepsbeleid"
"Default domain policy" Bewerken

Dan:

Computerconfiguratie > Windowsistellingen > Beveiligingsinstellingen > Beleid voor openbare sleutels > Vertrouwde basiscertificeringsinstanties

Rechtermuisknop > Importeren

certificaat selecteren en finish.

Dat is even kort wat er gedaan is.
Maar even in het kort: je hebt dus een cert die op gebruikersbasis werkt - waarom ga je dan
1) je Default Domain policy bewerken? (big no-no - gewoon een aparte policy aanmaken en die op de OU waar de TS users in zitten uitrollen)
2) Computer instellingen doorvoeren als het een gebruiker instelling is?

Dezelfde optie om Trusted People/Certificates toe te voegen zit namelijk ook onder de user settings.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 26 januari 2009 23:28

Acties:
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 06-02 07:44

Crazy-

Best life ever

Topicstarter
1. verhaal de standaard policy is inderdaad waar, betreft hier dan wel een test. dat nu even terzijde
2. klopt, het is een gebruiker instelling. Ofwel, gebruikersconfiguratie gebruiken.

nu is het alleen zo : dit hebben we evenzo al getest.

Gebruikersconfiguratie > Beveiligingsinstellingen > beleid voor openbare sleutels > ondernemingsvertrouwen
daar kan de PFX niet geimporteerd worden

en dan lopen we nu toch echt vast, ik zou niet weten waar ik het nu zou moeten zoeken

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

maandag 26 januari 2009 23:46

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ondernemingsvertrouwen staat gelijk aan Enterprise Trust, en dat is (even uit het hoofd) voor je eigen CA.
In dit geval gaat het om een 3rd party cert, en dat is iets anders :)
Crazy- schreef op maandag 26 januari 2009 @ 23:28:
1. verhaal de standaard policy is inderdaad waar, betreft hier dan wel een test. dat nu even terzijde
offtopic:
Leer jezelf aan om van die DefDomainPolicy af te blijven.
Troubleshooten is ook veel makkelijker met een losse GPO met enkel jouw settings.
Je hebt geen enkele reden om aan die Default policies te komen.
Gewoon niet doen.
Niet.
Heb ik al gezegd dat je daar niet aan moest komen?
Niet doen dus. ;)


[edit]
Andere optie:
http://social.msdn.micros...1-450f-9646-fe3ecd9f8a4a/

[ Voor 68% gewijzigd door alt-92 op 26-01-2009 23:53 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 27 januari 2009 00:00

Acties:
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 06-02 07:44

Crazy-

Best life ever

Topicstarter
begrijpelijk, maar moet dus niet aan de DefDP komen? Net doen dus... ;)

ik ga die optie bekijken .... zo een edit

[edit]
ja dat is dus een batch, opzich wl een idee die ik in mn achterhoofd heb staan, maar ... ! vind het niet echt logisch om dit in een batch te gooien (uit te voeren bij inloggen?) om een certificaat, die maar 1x per jaar geupdate dien te worden, toe te voegen aan een de certificaten lisjt van IE7.

[ Voor 57% gewijzigd door Crazy- op 27-01-2009 00:05 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

dinsdag 27 januari 2009 01:49

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
alt-92 schreef op maandag 26 januari 2009 @ 23:46:
offtopic:
Leer jezelf aan om van die DefDomainPolicy af te blijven.
Troubleshooten is ook veel makkelijker met een losse GPO met enkel jouw settings.
Je hebt geen enkele reden om aan die Default policies te komen.
Gewoon niet doen.
Niet.
Heb ik al gezegd dat je daar niet aan moest komen?
Niet doen dus. ;)
Hey alt, vergeet nou niet te zeggen dat het aanpassen van de default policies een heel erg slecht idee is :P

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 27 januari 2009 13:57

Acties:
  • Crazy-
  • Registratie: Januari 2002
  • Laatst online: 06-02 07:44

Crazy-

Best life ever

Topicstarter
goed wat nazoek werk:
zet een backup van het certificaat even in "all users-desktop",, deze is dan makkelijk even onder de gebruikers te installeren.

het is helaas niet mogelijk dit centraal uit te rollen, TS is nu eenmaal niet altijd zo vriendelijk zoals Microsoft doet voorkomen
wie durft/kan dit tegenspreken ?

[ Voor 5% gewijzigd door Crazy- op 27-01-2009 13:58 ]

12,85kWp - ZB 7,5m2/400l - 5kW Pana H WP (CV&SWW) - 13,8kWh accu

dinsdag 27 januari 2009 14:13

Acties:
  • ajhaverkamp
  • Registratie: November 2001
  • Laatst online: 05-02 23:33

ajhaverkamp

gewoon Arjan

Ik weet heel weinig van certificaten, dus misschien vertel in onzin.

Een paar weken geleden heb ik een certificaat op 1 van onze (20) Windows 2003 Citrix MPS 4 server gezet. Dit betrof het Staat Der Nederlanden Root certificaat, Het CRT bestand als administrator geimporteerd, waarna het voor iedereen op deze server werkte.

Het is eerder gevraagd hierboven, maar is het echt een gebruikerscertificaat? Anders werkt bovenstaande truc misschien ook voor jou. Dan hoeft het eenmalig per server te gebeuren ipv voor elke gebruiker.

This footer is intentionally left blank

dinsdag 27 januari 2009 15:54

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 06-02 13:38

Equator

Crew Council

#whisky #barista

ajhaverkamp schreef op dinsdag 27 januari 2009 @ 14:13:
Ik weet heel weinig van certificaten, dus misschien vertel in onzin.

Een paar weken geleden heb ik een certificaat op 1 van onze (20) Windows 2003 Citrix MPS 4 server gezet. Dit betrof het Staat Der Nederlanden Root certificaat, Het CRT bestand als administrator geimporteerd, waarna het voor iedereen op deze server werkte.

Het is eerder gevraagd hierboven, maar is het echt een gebruikerscertificaat? Anders werkt bovenstaande truc misschien ook voor jou. Dan hoeft het eenmalig per server te gebeuren ipv voor elke gebruiker.
In jou geval gaat het over een CA certificaat, welke in de Trusted Root Certificate Store geimporteerd moest worden.
In het geval van de TopicStarter wil hij een certificaat+private key (in PKCS#12/PFX portable format) importereren voor elke gebruiker. Zodat de gebruikers deze kunnen gebruiken om aan te melde op een website oid.
Nou meen ik dat het voldoende zou moeten zijn om deze in de personal certificate store van de Server zelf te importeren. Dan is hij beschikbaar voor de syteem zelf, maar ook voor de gebruikers op het systeem. Maar dat is al weer even geleden. ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq