Toon posts:

Client certificates voor een gehele computer ipv per persoon

Pagina: 1
Acties:

Verwijderd

Topicstarter
Hoi,

We hebben bij ons bedrijf een IIS 5.0 server draaien met een CA.
IIS is zo geconfigureerd dat je een geldig client certificaat geinstalleerd moet hebben. (Werkt allemaal prima)

Intern wil ik alle computers toegang geven tot de, met client certificaat beschermde, IIS pagina.

Nu kan je via de CA certificaten aan maken per persoon (Deze worden dus geplaatst in de "Current User" certificaten map. Als je deze certificaten vervolgens verplaatst naar de "Local Computer" certificaten map werkt het niet meer.

Mijn vraag aan jullie: is er een manier om 1 certificaat per computer te issue-en en deze dus te plaatsen in de "local computer" certificaten map? want nu moet ik voor elke persoon op de zelfde computer een nieuw certificaat gaan maken/installeren.

alvast bedankt

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50
Waarom werk je met certificaten? Gebruik je continu ssl of alleen voor authenticatie?
In dat geval kun je ook Windows integrated authentication gebruiken.

Welk client OS gebruik je?
Als ik met Windows XP mmc start met certificates krijg je de keuze of je voor de user of de computer certificates wil beheren.

En als het met een mmc kan moet het ook met een GPO kunnen...


Is dit wat je bedoelt?
http://support.microsoft....=kb;en-us;q313407&sd=tech

[ Voor 22% gewijzigd door paulhekje op 18-08-2004 12:00 ]

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


Verwijderd

Topicstarter
De server gebruikt continu ssl. De server is bij een hosting partij geinstalleerd en is via internet toegangkelijk (client sertificaten op laptops)

Er kan echter ook op kantoor gewerkt worden. In dat geval is het dus handiger om 1 certificaat per computer te gebruiken (aangezien de mensen telkens achter een andere computer zitten)

Kort gezegd dus een certificaat die zegt dat iedereen op die computer toegang heeft tot de webapplicatie

  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 02:35
Aangezien authenticatie per definitie user-based is, wordt dat volgens mij niks.

Kun je niet iets doen met IPSec ofzo ? Dat je een tweede nic in de server zet, waarop je alleen met IPSec binnen kunt komen ?

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 20-02 15:44
Heb je een domein o.i.d.? Dan is het verspreiden toch niet zo'n probleem?

Verwijderd

Heuh, al eens gezocht op de combinatie Group Policy en Certificates? Je hebt wel een Active Directory nodig, maar gezien je in een bedrijfssituatie zit lijkt me dit geen probleem (zoniet ga dat dan heel snel regelen! }) ). Kijk eens naar de volgende link:

http://support.microsoft....=kb;en-us;q313407&sd=tech

[ Voor 8% gewijzigd door Verwijderd op 19-08-2004 10:28 ]


  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


Verwijderd

paulhekje schreef op 19 augustus 2004 @ 10:53:
[...]

dubbelpost :+

dit lijkt mij ook de gewenste methode...
Ehm... 8)7

/me pakt een hamer en slaat zichzelf voor zijn kop

Verwijderd

Verwijderd schreef op 18 augustus 2004 @ 16:19:
De server gebruikt continu ssl. De server is bij een hosting partij geinstalleerd en is via internet toegangkelijk (client sertificaten op laptops)
ummm zoals al gevraagd is, heb je de certificaten nodig voor authenticatie of voor encryptie (of beide).

Als het alleen encryptie is is het voldoende om basic authentication en een ssl server certificaat te gebruiken.

Als het om authenticatie gaat wordt het dus op user basis gedaan en daar kan je niet omheen, omdat dat bij design is!
Er kan echter ook op kantoor gewerkt worden. In dat geval is het dus handiger om 1 certificaat per computer te gebruiken (aangezien de mensen telkens achter een andere computer zitten)

Kort gezegd dus een certificaat die zegt dat iedereen op die computer toegang heeft tot de webapplicatie
wordt het cert niet in een userprofile gezet en zou roaming profiles dit probleem dus oplossen?

Verwijderd

paulhekje schreef op 19 augustus 2004 @ 10:53:
[...]

dubbelpost :+

dit lijkt mij ook de gewenste methode...
de webserver staat niet op die lokatie en gaat dus ook niet werken!

Verwijderd

Topicstarter
We hadden inderdaad al gekeken naar het automatisch deployen van certificaten via AD maar de CA staat op de applicatie server (staat ergens bij de AMS-IX) en dus niet op de DC van het locale netwerk.

Of is er een manier dat we een CA installeren op de lokale DC en deze ook certificaten kunnen laten aanmaken voor de server die bij de AMS-IX gehost wordt (Dus een soort van trusted relationship tussen CA's)


alvast bedankt voor de reacties trouwens!

[ Voor 28% gewijzigd door Verwijderd op 22-08-2004 16:30 ]

Pagina: 1