14
Selbstsigniertes Zertifikat für iOS iPAD über Intunes
Hi,
ich habe hier wieder mal ein Zertifikatsproblem.
Ich habe einen Debian 12 mit GLPI (Inventar und Ticketsystem).
Das dort erstellte Selbstsignierte Zertifikat (interner Server) funktioniert nun in den Browsern von Windows prima, nachdem das über die Gruppenrichtlinie verteilt wird. Karin11 hat mir da top weitergeholfen.
Jetzt habe ich mir mal die iPADs angeschaut. Die werden über Intunes verwaltet. Die Anforderung von Appel an die Zertifikate sind dann doch anders ...
Wie muß denn ein Zertifikatsrequest für das Appleding genau aussehen?
Für das Selbstsignierte SAN Zertifikat unter Windows habe ich folgendes gemacht (Funktioniert über die lokale Domäne, wenn man das in den Zertifikatsspeicher macht und über GPO verteilt):
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -sha256 -days 365 -subj "/C=DE/CN=glpi.technologie.local" -addext "subjectAltName = DNS:glpi.technologie.local" -addext "extendedKeyUsage = serverAuth,clientAuth" -addext "keyUsage = critical,keyEncipherment,dataEncipherment"
--> Für Apple muß das auf rsa:4096 stehen. Was muß denn eventuell da noch rein?
Grüße
Heinz
ich habe hier wieder mal ein Zertifikatsproblem.
Ich habe einen Debian 12 mit GLPI (Inventar und Ticketsystem).
Das dort erstellte Selbstsignierte Zertifikat (interner Server) funktioniert nun in den Browsern von Windows prima, nachdem das über die Gruppenrichtlinie verteilt wird. Karin11 hat mir da top weitergeholfen.
Jetzt habe ich mir mal die iPADs angeschaut. Die werden über Intunes verwaltet. Die Anforderung von Appel an die Zertifikate sind dann doch anders ...
Wie muß denn ein Zertifikatsrequest für das Appleding genau aussehen?
Für das Selbstsignierte SAN Zertifikat unter Windows habe ich folgendes gemacht (Funktioniert über die lokale Domäne, wenn man das in den Zertifikatsspeicher macht und über GPO verteilt):
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -sha256 -days 365 -subj "/C=DE/CN=glpi.technologie.local" -addext "subjectAltName = DNS:glpi.technologie.local" -addext "extendedKeyUsage = serverAuth,clientAuth" -addext "keyUsage = critical,keyEncipherment,dataEncipherment"
--> Für Apple muß das auf rsa:4096 stehen. Was muß denn eventuell da noch rein?
Grüße
Heinz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3285478085
Url: https://administrator.de/contentid/3285478085
Printed on: May 5, 2024 at 15:05 o'clock
14 Comments
Latest comment
Hi,
Wenn ich nach dem Blogeintrag gehe : https://blog.mayflower.de/10764-self-signed-zertifikate.html
Dann fehlt auf jeden Fall noch:
basicConstraits=critical, CA:TRUE
keyUsage=critical, serverAuth
Wenn ich nach dem Blogeintrag gehe : https://blog.mayflower.de/10764-self-signed-zertifikate.html
Dann fehlt auf jeden Fall noch:
basicConstraits=critical, CA:TRUE
keyUsage=critical, serverAuth
Mein Aufruf zum Erstellen einer Zertifikatsanfrage an meinen AD mit Zertifizierungsstelle sähe dann so aus:
openssl req -new -newkey RSA:4096 -keyout private.key -out request.csr -nodes
-subj "/C=DE/CN=glpi.technologie.local"
-addext "basicConstraints = critical,CA:true,pathlen:0"
-addext "keyUsage=critical,digitalSignature,keyEncipherment"
-addext "extendedKeyUsage=serverAuth,clientAuth"
-addext "subjectAltName=DNS:glpi.technologie.local" 
Hey, hast du ein Stammzertifikat deiner CA?
Falls du das hast, kannst du das unter Geräte -> iOS -> Konfigurationsprofile hochladen. Damit deckst du alle signierte Zertifikate ab, die erstellt hast bzw. noch erstellst.
Evtl. erübrigt sich dann bereits deine Frage.
Ansonsten erstelle ich die Zertifikatsanfragen gerne über Link.
Darüber hat bei mir alles auf anhieb funktioniert
Falls du das hast, kannst du das unter Geräte -> iOS -> Konfigurationsprofile hochladen. Damit deckst du alle signierte Zertifikate ab, die erstellt hast bzw. noch erstellst.
Evtl. erübrigt sich dann bereits deine Frage.
Ansonsten erstelle ich die Zertifikatsanfragen gerne über Link.
Darüber hat bei mir alles auf anhieb funktioniert
Im iPAD gibt es das Menu leider nicht --> Geräte/iOS/Konfigurationsprofile hochladen.
Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.
Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)
Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.
Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.
Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)
Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.
Zitat von @hkrischeu:
Im iPAD gibt es das Menu leider nicht --> Geräte/iOS/Konfigurationsprofile hochladen.
Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.
Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)
Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.
Im iPAD gibt es das Menu leider nicht --> Geräte/iOS/Konfigurationsprofile hochladen.
Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.
Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)
Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.
Die Einstellungen findest du in Intune. Dort musst du unter Templates -> Trusted certificate auswählen und Zertifikat hochladen.
Da du mehrere Zertifikate machen möchtest bietet es sich eher an das Stammzertifikat deiner CA hochzuladen. Du ersparst dir den Upload anderer Zertifikate. Stichpunkt: Fehleranfälligkeit
Hoffe du findest die Einstellung. Hatte ich eben etwas schwammig formuliert.
Edit:
Versuche mal das Zertifikat, was du für Windows verteilst auch für iOS/iPadOS zu verwenden.
Apple begrenzt auf max. 2 Jahre - alles darüber wird als „Nicht sicher“ anerkannt. Normalerweise sollten die Zertifikate universell sein.
Das mit dem Stammzertifikat ist natürlich auch eine Idee, der ich mal nachgehen kann.
Wie mach ich das genau? Ist das dann ein Lokal-Zertifiziertes Wildcard- / Root Zertifikat, was dann mit den restlichen Zertifikaten funktioniert, ohne das die dann extra über Intunes verteilt werden müssen?
Wie mach ich das genau? Ist das dann ein Lokal-Zertifiziertes Wildcard- / Root Zertifikat, was dann mit den restlichen Zertifikaten funktioniert, ohne das die dann extra über Intunes verteilt werden müssen?
btw. Das in Intunes hatte ich schon gemacht, sehe aber in den iPADs nicht, ob das gepusht wurde, bzw. funktioniert hat. Ich finde da einfach nix.
Es gäbe auch noch den Certificate Connector for Microsoft Intune. Hat den jemand im Einsatz?
Auf dem iPad kannst du unter
Einstellungen -> Allgemein -> VPN und Geräteverwaltung -> Management Profile -> Mehr Details
sehen, ob die Zertifikate verteilt worden sind. Bei „Ausgestellt von:“ sollte der Name deiner CA sein
Einstellungen -> Allgemein -> VPN und Geräteverwaltung -> Management Profile -> Mehr Details
sehen, ob die Zertifikate verteilt worden sind. Bei „Ausgestellt von:“ sollte der Name deiner CA sein
Hi,
bei Management Profile sieht man
WiFi - 3 Stück (Funktioniert auch)
SCEP - 2 Stück (Was auch immer das ist)
Zertifikate - 4 Stück --> Alle ausgestellt von Microsoft Intune Root Certification Authority
Signierungszertifikate
IOSProfileSigning.manage.microsoft.com
Microsoft Azure TLS Issuing CA 05
bei Management Profile sieht man
WiFi - 3 Stück (Funktioniert auch)
SCEP - 2 Stück (Was auch immer das ist)
Zertifikate - 4 Stück --> Alle ausgestellt von Microsoft Intune Root Certification Authority
Signierungszertifikate
IOSProfileSigning.manage.microsoft.com
Microsoft Azure TLS Issuing CA 05
1. Schritt - Export des CA-Root Zertifikates, Läuft auf dem AD : certutil -ca.cert ca_name.cer
2. Schritt - Import in Intunes : Home, Geräte, Konfigurationsprofile, Erstellen,
ca_name.cer importieren und auf das iPAD pushen.
2 Minuten warten - Zertifikat ist importiert
Jetzt muß ich mir noch mal anschauen, wie man das mit dem Zertifikat von dem Webserver (GLPI-Inventarserver) macht. Poste ich dann noch nach.
2. Schritt - Import in Intunes : Home, Geräte, Konfigurationsprofile, Erstellen,
ca_name.cer importieren und auf das iPAD pushen.
2 Minuten warten - Zertifikat ist importiert
Jetzt muß ich mir noch mal anschauen, wie man das mit dem Zertifikat von dem Webserver (GLPI-Inventarserver) macht. Poste ich dann noch nach.
Das sollte normalerweise nicht mehr nötig sein. Du vertraust der CA - damit auch allen Zertifikaten die von dieser CA ausgestellt worden sind
Möglich, Macht auch Sinn.
Ich hab jetzt noch ein csr inkl. priv. key bekommen. 2 Files. Das soll Signiert werden und als pfx über die Weboberläche installiert werden.
Muß ich mir grad noch anschauen, wie ich das erstelle.
Ich hab jetzt noch ein csr inkl. priv. key bekommen. 2 Files. Das soll Signiert werden und als pfx über die Weboberläche installiert werden.
Muß ich mir grad noch anschauen, wie ich das erstelle.
So, also das RootCA in Verbindung mit den Zertifikatsanfragen, die über die RootCA signiert worden sind, ergibt sich folgendes Bild.
Im Windowsnetzwerk, intern: Jedem Zertifikat wird vertraut
Über iPADs: nur die exportieren Zertifikate werden vertraut, obwohl auch das RootCA exportier wurde.
Im ganzen ist das für mich so ok, kann ich aber nicht ganz nachvollziehen.
Das pfx ist aber noch eine offene Aufgabe. Für Anregungen bin ich da noch offen.
Im Windowsnetzwerk, intern: Jedem Zertifikat wird vertraut
Über iPADs: nur die exportieren Zertifikate werden vertraut, obwohl auch das RootCA exportier wurde.
Im ganzen ist das für mich so ok, kann ich aber nicht ganz nachvollziehen.
Das pfx ist aber noch eine offene Aufgabe. Für Anregungen bin ich da noch offen.
