Mittwoch, 25. Juli 2018

[SSL][ZYWALL][SOPHOS][GPO] SSL Zertifikat per GPO Verteilen

Um ein SSL Zertifikat (z.B. das der Sophos / ZyWall für SSL Inspection) per GPO zu verteilen, geht man wie folgt vor:


SSL Zertifikat Sophos
-------------------------------------------------------------------------------------------------------------------

System -> Certificates
Certificate Authorities

Hier das SecurityAppliance_SSL_CA Downloaden (Button ganz rechts)



SSL Zertifikat ZyWALL
-------------------------------------------------------------------------------------------------------------------

Configuration -> Object -> Certificate

Das Zertifikat unter My Certificates öffnen

Ganz untern exportieren (ohne PrivateKey)






SSL Zertifikat per GPO Verteilen
-------------------------------------------------------------------------------------------------------------------

Auf eurem DC eine GPO erstellen oder bestehende Bearbeiten

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies -> Trusted Root Certificates Authorities
Rechte Maustaste -> Import

Dem Dialog folgen und das Zertifikat welches wir vorhin heruntergeladen haben auswählen (unten Rechts Dateityp wechseln)


SSL Zertifikat per GPO Verteilen - FireFox
-------------------------------------------------------------------------------------------------------------------

Standardmässig vertraut FireFox nicht dem Windows Zertifikatspeicher. Die lässt sich wie folgt beheben:

Firefox 64bit: C:\Program Files\Mozilla Firefox\defaults\pref
Firefox 32bit: C:\Program Files (x86)\Mozilla Firefox\defaults\pref

Hier folgende Datei erstellen:
firefox-windows-truststore.js

Inhalt:
/* Enable experimental Windows trust store support */
pref("security.enterprise_roots.enabled", true);


Script für eine GPO:
if exist "C:\Program Files\Mozilla Firefox\defaults\pref" (
    if exist "C:\Program Files\Mozilla Firefox\defaults\pref\firefox-windows-truststore.js" (
    echo 1
    ) else (
        copy "X:\Sophos\firefox-windows-truststore.js" "C:\Program Files\Mozilla Firefox\defaults\pref\firefox-windows-truststore.js"
        echo %computername% >> X:\Sophos\log.txt
    )
)

if exist "C:\Program Files (x86)\Mozilla Firefox\defaults\pref" (
    if exist "C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-windows-truststore.js" (
    echo 2
    ) else (
        copy "X:\Sophos\firefox-windows-truststore.js" "C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-windows-truststore.js"
        echo %computername% >> X:\Sophos\log.txt
    )
)

GPO:
Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Skripts -> Start

Keine Kommentare:

Kommentar veröffentlichen