[noctar]

Hallo Community,

ich bin gerade am verzweifeln... Bin erst seit ein paar Monaten in der neuen Firma und kenne mich in der IT-Infrastruktur noch nicht 100% aus.
Ein User möchte sich über Citrix Xenapp per VPN auf ein Lager verbinden. Habe schon probiert einfach das Zertifikat trotz warnung zu akzeptieren, er bringt mir beim connecten dann aber eine Fehlermeldung, wie folgt:
"Verbindung mit Citrix XenApp-Server ist nicht möglich.SSL-Fehler 61: Sie stufen den Aussteller 'COMODO RSA Organization Validation Secure Server CA' des Sicherheitszertifikats des Servers nicht als vertrauenswürdig ein."
Habe es mit Firefox und IExplorer probiert und bekomme bei beiden Zertifikatsfehler...
So.. das Interessante ist, dass ich als Admin keinerlei Probleme habe, wenn ich mich an diesem PC anmelde und dort wird das Zertifikat auch akzeptiert.
Das heißt für mich, dass das Zertifikat korrekt auf dem PC installiert sein sollte, nur gibt es hier wohl ein Berechtigungsproblem?
Wir setzen hier im Hause Enteo, bzw. DSM Heat als Software Verteilung und Patchmanagement ein. Dort haben wir mit einem Dienstleister u. A. auch ein escript Paket erstellt, welches ein rootsupd durchführt. Müsste man auch noch checken, ob das noch aktuell ist. Aber wie gesagt, wenn hier fehlerhafte Zertifikate bzw. Zertifikate garnicht in der Domain installiert werden würden, dann müsste ich als Admin auch einen Fehler bekommen richtig?
Die einzige GPO welche ich in unserem Group Policy Management gefunden habe, hab ich mal in den Anhang gepackt. Diese ist im Hierarchi Baum auf domain Ebene.
Bin leider echt gerade aufgeschmissen und weiß nicht wie ich an das Problem weiter ran gehen soll.
Hoffentlich hat hier jemand nen Tipp, wäre wirklich super!

Grüße,

noctar

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von noctar bearbeitet: 20. September 2016 - 07:36

[RalphS]

Die viel interessantere Frage wäre doch die, ob und ggf was für Zertifikate via GPO ausgerollt werden.

Das klingt mir danach, als ob das bewußte Zertifikat für extranet4.. etc etc sich im Benutzerspeicher befindet und etwaige Zertifikate weiter oben in der Kette ebenfalls. Da kommt dann natürlich nur der Benutzer ran, wenn das nicht per GPO verteilt wurde. Das, oder aber der/die Benutzer haben schlicht keine Leseberechtigung darauf.

Also das Zertifikat, welches Du oben anführst (das COMODO) beschaffen, sicherstellen daß dafür nicht noch ein weiteres ausstellendes Zertifikat erforderlich ist, und dieses dann je nach Laune, bzw Richtlinie/Vorgabe/wie es für die Situation am besten paßt per GPO in den Computer- oder die Benutzerspeicher schieben, und da halt unter "vertrauenswürdige Stammzertifizierungsstellen".

Zertifikatzuweisungen findest Du unter
(Benutzer|Computer) > Richtlinien > Windowseinstellungen > Sicherheitsrichtlinien > Richtlinien für öffentliche Schlüssel
und da dann entsprechend unter Vertrauenswürdige Stammzertifizierungsstellen. Da per Rechtsklick das oder die Zertifikate "importieren".

Vorher aber sicherstellen, daß das wirklich ein CA-Zertifikat ist. Nicht daß Du am Ende Benutzerzertifikate samt privatem Schlüssel überallhin verteilst.

[noctar]

Hi RalphS,

Es werden über GPOs 4 Zertifikate ausgerollt u. A. für unser outlook web app, exchange server und dyndns.
Bzw. wie kann ich das 100 % feststellen? Indem ich mir die GPO Settings anzeigen lasse und die alle durchgehe richtig?
Normalerweise bekommt man ja die CA Zertifikate per Windows Update installiert wenn ich mich nicht irre. Wir setzen allerdings Enteo bzw. DSM Heat zum Software ausrollen und updaten ein. Hier haben wir auch ein Paket geschnürt welches auf den Clients das rootsupd.exe ausführt.

Das heißt ich muss die Gegenstelle anschreiben, welche uns den VPN Zugang zur Verfügung stellen und die stellen mir dann das Zertifikat zur Verfügung? wie kann ich sicherstellen, dass dafür nicht noch ein weiteres ausstellendes Zertifikat erforderlich ist?

Zitat

Vorher aber sicherstellen, daß das wirklich ein CA-Zertifikat ist. Nicht daß Du am Ende Benutzerzertifikate samt privatem Schlüssel überallhin verteilst.

Und wie kann ich das?

Sorry, aber bin da noch nicht so drin in dem Thema.

Danke dir!

[RalphS]

Der einfachste Weg ist, wenn Du Dir das Zertifikat selber besorgst.

Irgendwelche Updates auf dem Zertifikatsspeicher brauchst Du nicht. Die sind eher ein Sicherheitsproblem als irgendwas anderes. Du benötigst nur genau *die Zertifikate im Speicher, die halt so erforderlich sind für den Betrieb. Ausnahme ist da nur der (allgemeine) Zugriff aufs Internet; wenn aber eh nur Website X und Angebot Y erforderlich sind, bringt Dir so ein Zertifikatsspeicherupdate nicht sonderlich viel.

(Dann aber ein Auge aufs Ablaufdatum 'fremder' Zertifikate achten und entsprechend neu beschaffen.)


Was das COMODO-Zertifikat angeht, müßtest Du halt schauen. Ich würd mal davon ausgehen, daß das die CA selber bereitstellt. Also direkt an der Quelle besorgen und dann per GPO ausrollen.

Genaugenommen brauchst Du aber nicht mal das, da Du ja schreibst es geht vom Adminkonto aus. Also müßtest Du nur von eben diesem Adminkonto aus das bewußte Zertifikat raussuchen, das exportieren und dann in die GPO wieder importieren.

[noctar]

Vielen dank dir! Habe jetzt die entsprechenden Zertifikate in eine bereits vorhandene GPO hinzugefügt.
Diese wird jetzt an die entsprechenden clients ausgerollt.
Habe das ganze jetzt mal mit einem Testuser ausprobiert. Die Zertifikatsfehler sind jetzt weg und die Verbindung mit dem Citrix Receiver wird aufgebaut.
Habe jetzt nur noch ein Problem, dass das SAP Programm auf der Gegenseite sporadisch nicht ausgeführt wird und ich vor einem blauen Hintergrund hänge... Muss ich dann mal mit der Gegenseite besprechen an was das liegen kann.

Mir stellt sich jetzt noch die Frage warum ich eigentlich so eine Beschränkung habe, bzw. wieso ich jetzt diese Zertifikate überhaupt per GPO ausrollen musste. Also ich mein das Zertifikat dieser Seite wurde ja von einer CA ausgestellt, welche ja dann im Stammzertifikatsverzeichnis angelegt sein müsste. Hoffe du verstehst was ich meine...

[RalphS]

Nicht zwangsläufig. Gut, wie es jetzt mit dieser konkreten CA und in Eurer konkreten Umgebung aussieht bin ich überfragt, da müßtest Du wen bei Euch befragen der sich da auskennt, oder in die Dokumentation schauen, wie das mit der PKI gehandhabt wird (und nicht vergessen, Deine Änderungen da einzutragen ).

Zum CA-Zertifikat reicht ein simpler Eintrag in den BasicConstraints (CA:true) und "vertrauenswürdig" wird sie - für die Clients -- allein dadurch, daß das Zertifikat im Zertifikatsspeicher in einem bestimmten Kontext abgelegt wird (nämlich "vertrauenswürdige Stammzertifizierungsstellen"). Der ganze Rest obliegt DIR als Admin, oder sonst als zuständige Person. Zertifikate sind blanke Vertrauenssache und an dieser Stelle mußt Du Dir im Klaren darüber sein: wenn DU dem Zertifikat vertraust und es daher in die Vertrauenswürdigen Stammzertifizierungsstellen einträgst, dann transportierst Du damit DEIN Vertrauen auf alle Eure Nutzer. DIE kriegen dann nämlich gesagt "Zertifikat okay", auch dann, wenn Du irgendein X-beliebiges Zertifikat von einem Malwareautoren hernimmst und da reintust.

Weswegen in einer geschlossenen Umgebung "weniger ist mehr" gilt, insbesondere für CA-Zertifikate.

[noctar]

Gab bisher keine Doku vor mir also keine wirklich übersichtliche... Habe jetzt für mich und meinen Kollegen eine erstellt und bin jetzt gerade dabei Dinge hier in der Umgebung zu hinterfragen bzw. zu optimieren. Mein Kollege weiß darüber so viel wie ich und er ist seit 6 Jahren hier Admin.
Wir haben keine besondere PKI und auch keine besondere Umgebung. Active Directory Server 2008 R2, 70 Clients Windows 7...

Ich stelle mir halt grad die Frage, warum ich solche Zertifikate nun per GPO verteilen musste. Grade durch die Stammzertifizierungsstellen und dieses Publik-key Verfahren müsste doch schon genug Sicherheit da sein. Also sprich wenn dieses Zertifikat wirklich ungültig wäre, würde es dem User doch angezeigt werden. "Möchten sie das laden der Webseite fortsetzen". Ich glaube es liegt hier einfache eine Fehleinstellung in unserer Umgebung vor.
Habe jetzt spaßeshalber mal nochmal die User Zertifikatsspeicher von mir als Admin und einem normalen User verglichen. Bei mir enthält der Speicher für vertraunswürdige Stammzertifizierungsstellen 261 Zertifikate und bei dem normalen User 372.
Auch werden verschiedene Zertifizierungspfade bei dem Comodo CA Zertifikat angezeigt siehe Anhang.
Irgendwas passt da nicht

Angehängte Miniaturbilder

• 
• 

[RalphS]

Und noch mal.

Zertifikate sind wie Ausweise. Also zB ein PA oder ein Führerschein oder eine Bahnfahrkarte oder sowas. Da steht drauf wem es gehört, wann es gültig ist und *wofür* es gültig ist.

Und damit sich nicht jeder selber so einen Ausweis ausstellen kann, gibt es Einrichtungen für sowas. Also der Bund, oder die Bahn, oder halt die Stammzertifizierungsstellen (CAs).

Jeder kann aber für sich Ausweise ausstellen. Also zB wenn Deine Firma sagt, Du brauchst ein Namensschild, dann ist das 'Dein' Ausweis, der natürlich nur 'in' der Firma gilt.

Dasselbe mit Zertifikaten.

Die Autorität dafür liegt dann nicht bei irgendeiner öffentlichen Stelle, sondern lokal in der Firma, üblicherweise bei El Scheffe™.


Solche Zertifikate sind aber nicht allgemein bekannt. Wie auch. Die schreibt man ja selber.

Vertrauen dafür kommt auch nicht von irgendwoher, sondern man muß explizit sagen: Ja, das sieht wie ein Namensschild von uns aus, weil da steht unser Name in dieser-und-jener Form drauf und vielleicht noch in bunt und was weiß ich. Also die Zertifikatvorlage, was da wie wo draufzustehen hat. Bei Zertifikaten halt noch, wo es her kommt; das geht bei Namensschildern natürlich auch, aber da "sieht" man es ja mehr oder weniger gleich.


Also muß jedem(!) Mitarbeiter gesagt werden, hey das ist jetzt unser neues Namensschild, und das sieht so-und-so aus, und wenn da wer kommt wo es ANDERS aussieht, dann ist das nicht von uns gewesen.

Das wird also intern ausgerollt, entweder per Versammlung oder jeder kriegt nen Brief/Mail oder sonstwas, oder halt für die AD-Domain (was ja "die Firma" ist) per GPO.

Dann hat das jeder.

Vertraut wird aber noch nicht automatisch, da muß dazugeschrieben werden (zB vom Scheffe) daß das jetzt halt so ist und daß die sich das gefälligst hinter die Ohren zu schreiben haben und daß das jetzt so anzuerkennen ist. Punkt.

Für Zertifikate ist das der Vertrauensspeicher. Scheff sagt "gut", also "vertrauenswürdig. Scheff macht Daumen runter, also "nicht vertrauenswürdig". Scheff sagt, das gilt für die Betriebe, also Computerkontext. Scheff sagt, das gilt für die Mitarbeiter, egal wo sie sind, also Benutzerkontext. Und so weiter und so weiter.

Da landet das nicht automatisch, und während die Mitarbeiter zwar ein generelles Verständnis haben dafür wer "Tickets","Ausweise" ausgeben kann - wie eben Bund oder Bahn oder was weiß ich -- so muß man ihnen halt explizit DAZU sagen, wer *außerdem* solche Kompetenzen hat.

Also das Ausrollen von Zertifikaten via GPO an die Vertrauenswürdigen Stammzertifizierungsstellen im Zertifikatsspeicher: damit die Benutzer sicherstellen können, daß das ihnen gezeigte Zertifikat auch *legitim* ist.