Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[PKI] PC uit AD halen, certificaat revoken?

Pagina: 1
Acties:

woensdag 29 februari 2012 15:54

Acties:
  • reclamedoos
  • Registratie: Juli 2000
  • Laatst online: 24-12-2023

reclamedoos

Topicstarter
Ik ben bezig om een Windows 2008 R2 PKI op te zetten binnen ons domein. Hier heb ik een aantal documenten voor die best goed uitleggen hoe ik dit moet aanvliegen, en waar rekening mee te houden met het design. Maar een vraag die ik niet zo snel beantwoord krijg uit de documentatie is de volgende:

We willen alle client computers voorzien van een Computer certificaat om ze te laten authenticeren alvoren ze toegang krijgen tot de Wifi omgeving. Als een PC uit AD gehaald wordt, wat doet Windows en/of AD/PKI dan met het certificaat? Moet ik deze handmatig revoken? Of gooit de Windows client het certificaat netjes weg?

woensdag 29 februari 2012 16:56

Acties:
  • hans_lenze
  • Registratie: Juli 2003
  • Laatst online: 28-11 15:12

hans_lenze

Eens gegeven blijft gegeven.

Het computer certificaat blijft tot lengte van dagen in de certificate store van de computer staan.

Revoken != verwijderen!

while (! ( succeed = try ()));

woensdag 29 februari 2012 19:11

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 30-11 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Als je wilt dat clients of server het uitgegeven certificaat niet meer als trusted beschouwen kun je dit opnemen in een certificate revocation list (CRL). Deze CRL publiceer je naar alle "pki-clients" toe. De clients weten dan dat het certificaat ge-revoked is.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 29 februari 2012 23:20

Acties:
  • reclamedoos
  • Registratie: Juli 2000
  • Laatst online: 24-12-2023

reclamedoos

Topicstarter
hans_lenze schreef op woensdag 29 februari 2012 @ 16:56:
Eens gegeven blijft gegeven.

Het computer certificaat blijft tot lengte van dagen in de certificate store van de computer staan.

Revoken != verwijderen!
Daar was ik ook al bang voor, maar ik kan het nergens gedocumenteerd vinden. Ik zou het op zich best logisch vinden dat als een PC netjes uit een domein gehaald wordt, dat (of de DC die het computeraccount weggooid, of de PC zelf) deze ook het certificaat wat deze via AD (autoenrollment) heeft gekregen ongeldig maakt.

Dat revoken en verwijderen niet hetzelfde is weet ik, Het gaat me er om dat als de client netjes uit het domein gehaald wordt, of deze dan daarna via het certificaat nog toegang zou kunnen krijgen tot het wifi netwerk.

Maar als ik het dus goed begrijp moet ik voor elke client die ooit een certificaat heeft gekregen en die EOL is het certificaat handmatig gaan revoken?

woensdag 29 februari 2012 23:24

Acties:
  • reclamedoos
  • Registratie: Juli 2000
  • Laatst online: 24-12-2023

reclamedoos

Topicstarter
Question Mark schreef op woensdag 29 februari 2012 @ 19:11:
Als je wilt dat clients of server het uitgegeven certificaat niet meer als trusted beschouwen kun je dit opnemen in een certificate revocation list (CRL). Deze CRL publiceer je naar alle "pki-clients" toe. De clients weten dan dat het certificaat ge-revoked is.
Snap ik, nu ook nog niet zo'n probleem, we starten met 50 clients. Maar als er een moment komt dat al onze 1700 clients een certificaat krijgen dan is het niet meer zo'n pretje om certificaten handmatig te moeten intrekken als de client gestolen/verdwenen/EOL is.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq