Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Installationsanleitung LANCrypt

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: thanke

thanke (Level 1) - Jetzt verbinden

10.11.2008, aktualisiert 13.11.2008, 15218 Aufrufe, 41 Kommentare

Hallo,

ich bin neu hier im Forum und habe eine Frage.
Kann mir jemand eine Installationsanleitung für LANCrypt von Utimaco zukommen lassen?

Anhand der Installationsanleitung komme ich leider nicht weiter.

Danke im Voraus für jeden hilfreichen Tipp.

Gruß Thorsten

Hallo,

ich bin neu hier im Forum und habe eine Frage.
Kann mir jemand eine Installationsanleitung für LANCrypt von Utimaco zukommen lassen?

Anhand der Installationsanleitung komme ich leider nicht weiter.

Danke im Voraus für jeden hilfreichen Tipp.

Gruß Thorsten
41 Antworten
Mitglied: 51705
12.11.2008 um 22:45 Uhr
Hallo,

was willst du mit der Installationsanleitung wenn du mit der Installationsanleitung nicht weiter kommst?

Grüße, Steffen

Zitat von thanke:
Hallo,

ich bin neu hier im Forum und habe eine Frage.
Kann mir jemand eine Installationsanleitung für LANCrypt von
Utimaco zukommen lassen?

Anhand der Installationsanleitung komme ich leider nicht weiter.

Danke im Voraus für jeden hilfreichen Tipp.

Gruß Thorsten
Bitte warten ..
Mitglied: thanke
13.11.2008 um 08:18 Uhr
Hallo,

das Problem ist das ich anhand der gelieferten Dokumente nicht klar komme.
über eine Anleitung von jemandem der die Software schon produktiv hat wäre ich daher sehr dankbar.
Gruß
Bitte warten ..
Mitglied: soldier-mp69
16.02.2009 um 16:54 Uhr
Bist du immer noch auf der Suche nach einer Anleitung? Wo genau hakt es denn? Kommst Du schon beim SQL-Server-Aufsetzen nicht weiter?

Viele Grüße

Tobias
Bitte warten ..
Mitglied: thanke
16.02.2009 um 16:56 Uhr
Hallo,

ja ich bin immer noch auf der Suche.
Das Problem ist das bei uns keiner eine Ahnung hat wie die Software installiert werden soll oder muss.
Was zu beachten ist usw.

Die Handbücher bei den CD sind ja eher mager gehalten.
Ich bin auf jeden Fall für jeden Tipp dankbar.

Gruß
Bitte warten ..
Mitglied: soldier-mp69
16.02.2009 um 17:12 Uhr
Ablauf der Installation:

1. SQL-Server von der Admin-CD (\MSDE2000A) auf einem Server in der Domäne mit u.g. Einstellungen installieren oder vorhandenen SQL-Server verwenden.
Für die Installation eines neuen Servers eine install.ini (Bsp) schreiben. Dort muss folgendes drinstehen:

[Options]
DISABLENETWORKPROTOCOLS=0
SECURITYMODE=SQL
DATADIR="d:\SGLCDB\"
INSTANCENAME="SGLC"


Die Datei speichern und in den Install-Pfad kopieren. Die Datei Setup.exe dann wie folgt aufrufen:

setup /settings "install.ini" SAPWD="password" <ENTER>

Im AD legst Du dann zwei Gruppen an: LanCrypt-Admins und LanCrypt-Benutzer.

Per DFS gibst Du im Domänenstamm folgende Struktur frei:

\\Domäne\SGLC\Certificates (Admins dürfen schreiben, Nutzer dürfen lesen)
\\Domäne\SGLC\Certificates\Admin (Admins dürfen schreiben, Nutzer dürfen nix)
\\Domäne\SGLC\Certificates\User (Admins dürfen schreiben, Nutzer dürfen lesen)
\\Domäne\SGLC\Policy (Admins dürfen schreiben, Nutzer dürfen lesen)

Wenn Du das alles fertig hast, dann können wir an die LanCrypt-Admin-Console gehen. Habe heute leider keine Zeit mehr, schreibe morgen weiter.

Viel Spaß

Tobias
Bitte warten ..
Mitglied: thanke
16.02.2009 um 20:10 Uhr
Hallo Tobias,

danke für die ausführliche Erklärung werde ich morgen gleich mal testen.
Sobald ich das alles durch habe melde ich mich.

Danke Danke Danke
Bitte warten ..
Mitglied: thanke
17.02.2009 um 08:40 Uhr
Hallo Tobias,

also die MSDE ist wie angegeben Installiert und die Gruppen sind auch angelegt.
Wird das mit dem DFS benötigt?

Wenn ja wie richte ich das am besten ein?

Danke und Gruß
Thorsten
Bitte warten ..
Mitglied: soldier-mp69
17.02.2009 um 09:09 Uhr
Hallo Thorsten,

du benötigst nicht zwingend DFS-Freigaben. Es tun auch normale Freigaben. Diese müssen für den Nutzer, wenn er sich anmeldet zur Verfüfung stehen.
Wenn der SQL-Server läuft, dann hast du jetzt rechts unten in der Taskleiste ein Datenbanksymbol mit einem kleinen Play-Symbol (grünes Dreieck). Dort müsste, wenn du daraufklickst eine SQL-Instanz mit dem Namen SGLC angezeigt werden.

Jetzt benötige ich von Dir die Info, ob du von einem normalen Rechner oder von dem Server, wo die SQL-Datenbank läuft, aus administrieren möchtest.

Bis gleich.

Tobias
Bitte warten ..
Mitglied: thanke
17.02.2009 um 09:12 Uhr
Hallo Tobias,

Datenbank läuft, was die Administration angeht so soll diese im Echt-Betrieb von einem Arbeitsplatz aus oder von mehreren erfolgen.

Danke für deine ausführliche Hilfe.
Bitte warten ..
Mitglied: soldier-mp69
17.02.2009 um 09:22 Uhr
Dann brauchst du jetzt den Servernamen und begibst dich an den Rechner, von dem aus du das Ganze administrieren willst. Nimm die Admin-Cd mit.

Am Rechner legst du einen neue ODBC-Datenquelle an.

Verwaltung --> ODBC-Datenquellen --> Registrierkarte "System-DSN" --> Hinzufügen

SQL-Server auswählen --> Fertigstellen

Name: SGLCSQLServer (sollte genauso benannt werden, sonst wird der Aufwand nachher größer)
Beschreibung: hier darfst du kreativ sein
Server: Servername, den du dir gemerkt hast\SGLC (z.B. FIRMENSERVER\SGLC) unbedingt ohne Doppelbackslash!

Weiter klicken

SQL-Server Authentifizierung auswählen

Benutzername: SA
Kennwort: Dein Paswort aus der Zeile setup /settings "install.ini" SAPWD="password" <ENTER>

3 x Weiter und einmal //Datenquelle testen..." drücken.

Hier sollte jetzt "TEST erfolgreich abgeschlossen" stehen.

Jetzt haben wir das Wichtigste geschafft.

Rest folgt nach Deiner Erfolgsmeldung. Habe gerade noch ein Problemchen zu lösen.

Bis gleich.

Tobias
Bitte warten ..
Mitglied: thanke
17.02.2009 um 09:37 Uhr
Hallo,

also ODBC erfolgreich eingerichtet.
Meld dich einfach wenn du wieder die Zeit hast.

Thorsten
Bitte warten ..
Mitglied: soldier-mp69
17.02.2009 um 16:26 Uhr
Jetzt kann es weiter gehen.

Jetzt installierst Du von der Admin-Cd die sglc-admin.msi (oder so ähnlich).

Nach der Installation startest Du über das Startmeü die SGLC-Administration.

Jetzt musst du dich an der Datenbank mit SA als USER und deinen PASSWORT anmelden. Danach wirst du aufgefordert, einen MasterSecurityOfficer (MSO) anzulegen. Spätestens hier solltest Du jetzt überprüfen, ob deine Ordnerberechtigungen passen. Versuche über die Eingabe \\Domäne\SGLC\Certificates\User im Explorer dort eine Datei anzulegen. Wenn Du dort Erfolg hast, können wir im Programm weiter machen.

Du wirst im nächsten Dialog aufgefordert, die Speicherorte für die Zertifikate und Schlüsseldateien (*.p12) und die SO-Zertifikate (*.cer) anzugeben. Hier siehst du jetzt die Wichtigkeit der Berechtigungen. Die Nutzer können ihre Zertifikate und Policy-Dateien nur Nutzer, wenn sie drankommen und wenn sie ihre Zertifikate freischalten können. Dafür brauchen sie aber deinen öffentlichen Teil des MSO-Zertifikates oder des damit beauftragten SO. (Mit dem öffentlichen Teil des MSO-Zertifikates ist ab jetzt auch die SQL-Datenbank gesichert. Also nicht verlieren und lieber einmal mehr wegsichern.)
Zum Schluss noch einen Pfad für die Protokolldatei benannt und weiter geht es.

Jetzt musst du noch ein paar Einstellungen zur Zertifikatsgültigkeit und zum Ort deiner Firma vornehmen. Das bekommst du aber ohne Erklärung hin.

Dann kann es losgehen und du kannst dich an der Datenbank anmelden. Du wirst aufgefordert einen Wiederherstellungsschlüssel anzulegen. Den kannst du ala James Bond in mehrere Teile aufteilen und an verschiedene Admins verteilen. Kannst es aber auch lassen.

Jetzt kannst du dich das erste mal an der Admin-Console anmelden.

Die genau Konfiguration machen wir morgen. Du kannst aber als Vorarbeit schonmal die User alle in ihre Gruppen im AD packen. Am einfachsten bei der Konfiguration ist es, wenn du alle User einer Abteilung, welche gemeinsam einen Schlüssel und einen Speicherort nutzen, in eine Extra-OU sortierst. Diese können wir dann später aus dem LDAP importieren und einer LanCrypt-Gruppe zuweisen.

Soviel zu den Hausaufgaben.

Kann man hier eigentlich Bilder posten? Das würde echt helfen. Dann könnten wir das hier als HowTo für LanCrypt aufbohren.

Bis morgen.

Tobias
Bitte warten ..
Mitglied: thanke
17.02.2009 um 16:31 Uhr
Hallo Tobias,

was verstehst du unter \\Domäne\SGLC\Certificates\User?
Wenn ich meinen Domänenname eingebe tut sich nichts.
Bitte warten ..
Mitglied: soldier-mp69
17.02.2009 um 16:33 Uhr
Ich bin hier auf die DFS-Veröffentlichung im Domänenstamm eigegangen. Wenn du das als "normale" Freigabe hast, dann muss dort natürlich der Server stehen, auf dem die Verzeichnisse freigegeben sind.

\\SERVER\SGLC\Certificates\User

Sorry.
Bitte warten ..
Mitglied: thanke
17.02.2009 um 16:34 Uhr
OK danke.

Bereite alles soweit vor.

Danke nochmals für deine Unterstützung
Bis Morgen
Bitte warten ..
Mitglied: thanke
18.02.2009 um 12:50 Uhr
Hallo Tobias,

so ich bin mit allem soweit durch. Falls du irgendwann einmal die Zeit findest können wir weitermachen.
Gruß
Thorsten
Bitte warten ..
Mitglied: soldier-mp69
05.03.2009 um 11:18 Uhr
Sorry für die lange Pause, aber nun geht es weiter:

In der geöffneten Admin-Konsole gehst du jetzt im linken Bereich auf Verzeichnis-Objekte. Im rechten Bereich taucht daraufhin ein Fenster auf, wo du die Importquelle wählen kannst. Dort wählst du deinen Domänencontroller aus. Daraufhin siehst du deinen Domänenstruktur und kannst die zwei angelegten OU's importieren. Wenn du doppelt daraufklickst, geht eine Box auf, in der du auf "Mitglieder auch rekursiv übernehmen" oder so ähnlich klickst (ist die untere Auswahl). Dann werden die Relationen im unteren Fenster dargestellt. Danach klickst du auf das Icon "in Datenbank einfügen" (gelb mit grünem Pfeil). Danach siehst du eine Übersicht über Nutzer, welche importiert wurden.

Im linken Bereich des Fensters taucht jetzt unter Gruppen deinen Domäne mit den dazugehörigen OU's auf.

Jetzt müssen wir aber erst noch LanCrypt-Gruppen anlegen. Mit einem Rechtsklick auf den Knoten "Gruppen" kannst Du eine neue Gruppe hinzufügen. Nachdem du diese angelegt hast, können wir dieser Gruppe Mitglieder, Verschlüsselungsregeln und einen Schlüssel zuweisen.
Bitte warten ..
Mitglied: soldier-mp69
05.03.2009 um 11:30 Uhr
Wenn du den Knoten deiner neu angelegten Gruppe öffnest, siehst du drei Punkte: Gruppenschlüssel, Verschlüsselungsregeln und Mitglieder.
Unter Gruppenschlüssel kannst Du mit einem Rechtklick einen neuen Schlüssel zuweisen. Diesem Schlüssel gibts du eine passende Beschreibung und weist ihm einen zufälligen Wert zu (ist am sichersten).
Dann legst du unter Verschlüsselungsregeln den Ort/die Orte fest, wo mit diesem Schlüssel gesichert wird. Wichtig ist hier, dass du die Orte aus Nutzersicht angibst. Auf keinen Fall den Ort über den Explorer suchen und dort reinkopieren. Unterverzeichnisse solltest du einschließen. Dann noch fix den passenden Schlüssel ausgewählt und mit OK bestätigen.
Jetzt weisen wir noch eine Gruppe zu: Du suchst jetzt unter Gruppe/DeineDomäne die OU, die du dieser Gruppe zuweisen willst. Diese ziehst du in die angelegte LanCrypt-Gruppe. Meldung bestätigen und fertig bist Du. Jetzt erzeugst du die Zertifikate für die Nutzer. Die Nutzer werden ausgewählt und dann klickst du im Menu unter Aktion auf "Zertifikate erzeugen" Damit werden für die Nutzer Zertifikate angelegt. Dass das geklappt hat, kannst Du an den jetzt grünen (vorher grauen) Icons vor den Nutzer sehen.


Jetzt weist Du jedem Nutzer noch eine Policy zu, indem du unter Verschlüsselungsregeln mit Rechtsklick "Verschlüsselungsregeln rekursiv bereitstellen" klickst. Dies kann je nach Größe deiner OU beliebig lange dauern.

Die zugehörigen Passwörter werden jetzt in der csv-Datei gespeichert, welche Du vorher angelegt hast.

Wenn Du bis hierher durchbist, können wir an die LanCrypt-Clients gehen und diese per Gruppenrichtlinie konfigurieren.

Viel Spaß

Tobias
Bitte warten ..
Mitglied: thanke
05.03.2009 um 11:37 Uhr
Hallo Tobis kein Thema.

Danke für die nächsten Schritte ich werde dies einrichten und mich dann melden.

Gruß
Bitte warten ..
Mitglied: bofh67
05.03.2009 um 15:24 Uhr
Hallo

wenn ich mich mal an dem Thema beteiligen darf. Habe auch gerade lancrypt 3.51 installiert.

.pol; .cer ;.p12 dateien auf server über shares erreichbar. Der Client ist mal zum Test local installiert worden.

Nun meine Frage: Wie bekomme ich die Einstellungen per GPO verteilt. Ich finde wenn ich in meiner GPMC eine Richtlinie erstellen will den Lankrypt Knoten (Blaue Raute) nicht. Als ich mein SGAS (ASAR und PNP) installiert habe hat das Proggi beim ersten Aufruf eine SGAS Template GPO erzeugt.

Vielen Dank schon mal.
Bitte warten ..
Mitglied: thanke
10.03.2009 um 16:42 Uhr
Hallo Tobias,

so jetzt hat es bei mir länger gedauert.
Ich habe ein Problem beim "Zertifikat erzeugen". ich habe den Testuser zugewiesen, aber bei der Aktion sagt er immer es wurden 0 Zertifikate rerzeugt.

Mach ich da was falsch?

Gruß
Thorsten
Bitte warten ..
Mitglied: thanke
10.03.2009 um 17:00 Uhr
Hallo Tobias,

so die User konnte ich nun zuweisen. Was ich aber nicht verstehe ist, wo soll den die csv liegen?
FInde da leider nichts obwohl ich alles nach Anleitung gemacht habe.

Wenn du mir vielleicht was mit ScreenShot senden willst kann ich dir auch meine Mail-Adresse mal geben falls das erlaubt ist.

Gruß
Thorsten
Bitte warten ..
Mitglied: bofh67
13.03.2009 um 07:26 Uhr
Hallo thanke

die csv sollte unter \\Domäne\SGLC\Certificates\Admin liegen.
Dort hast nur Du Zugriff und kannst die PIN auslesen.

Ich hoffe ich konnte da ein wenig helfen.
Bitte warten ..
Mitglied: bofh67
13.03.2009 um 07:29 Uhr
Hallo Tobias

auch ich habe ein kleines prob. Alles läuft soweit nur finde ich keine Möglichkeit einer Einstellung mit GPO's. Ich habe mir jetzt vorläufig ein ADM gebaut und verteile das mit GPO.

Ich denke aber ich sollte so ein Snap in haben wie für mein SafeGuard PNP oder ASAR ?


CU
Bitte warten ..
Mitglied: soldier-mp69
17.03.2009 um 06:59 Uhr
Hallo bofh67,

das mit der ADM ist ok. Das Snap-In macht auch nichts anderes als eine GPO zu konfigurieren. Die Verteilung findet bei uns auch mit der ADM statt, da wir nicht auf allen Admin-Kisten dieses Snap-In installieren wollen.

Du kannst natürlich trotzdem einfach auf einem Rechner das LanCrypt-Admin-Tool und das Snap-In installieren. Dann kannst du die GPO komfortabel zusammenklicken.

Viele Grüße

Tobias
Bitte warten ..
Mitglied: bofh67
17.03.2009 um 07:31 Uhr
Hallo Tobias,
leider verstehe ich dich nicht ganz.

Ich hätte gerne dieses Snapin Domänenweit. Soll heißen:

Ich öffne meine GPMC und erzeuge eine neue Richtlinie und sehe in Ihr automatisch die Snap-In's an denen ich dann die Einstellungen durchführe.

Zur Zeit habe ich es so gelöst, dass ich die Einstellungen an einer lokalen Maschine mache und mir mit nem ADM Maker die einzelnen Keys aus der Regestry herauslöse und in ein ADM baue. Ist aber nicht so toll, da ich dann einiges Tatooisiere.

Ist außerdem nicht so flexibel.

Hast Du irgendeine Idee ???

Ps: Wenn ich noch nerven darf. Einen Fehler habe ich noch. Ich habe LC 3.51 zusammen mit Symantec Anti Vir Coorperate Edition 10 laufen. Zusätzlich noch SafeGuard Easy lokal. Alles läuft prima mit Außnahme, wenn ich auf mein unverschlüsseltes Notes Netzlaufwerk klicke. Dann habe ich sofort einen Black screen und neustart. Hast Du davon schon mal gehört?

Vielen Dank schon mal für Deine prompte Antwort.

CU
BOFH
Bitte warten ..
Mitglied: soldier-mp69
17.03.2009 um 13:04 Uhr
Leg mal für das Notes-Laufwerk eine Verschlüsselungsregel an. Du wählst aber als Option "Von Verschlüsselung auschließen" an. Damit ist dann für das Betriebssystem klar, dass hier unverschlüsselte Daten liegen.

Hast Du einen Blue- oder einen Blackscreen?
Bitte warten ..
Mitglied: bofh67
18.03.2009 um 06:39 Uhr
Moin,

Ich habe immer eine Blackscreen. Ich habe heute mal ne andere Art der Installation gewählt. Und zwar habe ich die Explorerextensions weggelassen unsd siehe da alles OK.......... außer das jetzt der Rechner irgendwann mal neu startet.
Muss mal schauen woran das nu liegt.

Die Idee mit der Regel hatte ich schon. Hat nicht geklappt. Nachdem ich dann den Ordner seperat geshared hatte und das komplette LW ausgeschlossen hatte war es auch ok.

Nun die große Frage..... alle Ordner neu sharen und ausschließen oder auf Explorerextensionen verzichten... oder es gibt noch eine Lösung, die ich nicht kenne.

Einstellungen mit snapin funzen auch noch nicht

CU

BOFH
Bitte warten ..
Mitglied: CoxusLongus
17.06.2009 um 14:22 Uhr
Hallo BOFH,

bist Du mit der LANCrypt Installation inzwischen weiter gekommen? Ich selbst tue mich auch außerordentlich schwer mit der Installation.Leider konnte mir der Ultimaco-/Infinigate-Support auch noch nicht weiterhelfen.
Ich habe Admin-Software, Verschlüsselungsregeln und den Client bereits installiert.
Ich habe drei Testuser, mit den ich abwechselnd versuche die Verschlüsselung zu testen. Der erste User funktioniert, aber user2 findet sein Benutzer-Zertifikat nicht. Damit war es das auch schon. Den dritten User habe ich dann nochmal neu angelegt und der findet auch kein Benutzerzertifikat.
Ich habe die Zertifkate bereist manuell erfolgreich importiert, aber beim Systemstart findet mein User das Zertifikat nicht.
Hat jemand einen Tipp, wo ich ansetzen muss?

Viele Grüße
Bitte warten ..
Mitglied: Kummerkasten
23.06.2011 um 14:45 Uhr
Das Thema ist schon alt aber ggfs. noch offen vielleicht kann ich helfen wenn noch Bedarf besteht.
Bitte warten ..
Mitglied: CoxusLongus
27.06.2011 um 09:46 Uhr
Bei der Problem-Beseitigung konnte mir damals der Sophos-Support helfen. Inzwischen läuft alles wie gewünscht.
Allerdings graust mir schon vor den nächsten anstehenden Aufgaben: Zwei neue SOs müssen eingerichtet werden, und die ersten Zertifikate laufen ab.

Vielen Dank für die Nachfrage

Viele Grüße
CoxusLongus
Bitte warten ..
Mitglied: Kummerkasten
27.06.2011 um 23:45 Uhr
Hey CoxusLongus,

nah ja das einrichten der neuen SO's und deren Berechtigungen ist nicht schwer.

Ablauf der Zertifikate. ich vermute mal Du meinst die User oder!? Hier muss Du einfach ein neues erstellen. Dann dieses Zertifikate mit dem User PW an den User übergeben und das ganze installieren. Solltest Du für diesen User einen anderen SO verwendet haben (wie heut zutage) dann muss der User natürlich auch das SO Zertificate haben.......

Bei Fragen frag einfach wenn etwas nicht passen sollte......

PS: Wie groß ist den die Umgebung und wieviel SO's hast Du im Einsatz?

LG
Kummerkasten
Bitte warten ..
Mitglied: CoxusLongus
28.06.2011 um 11:20 Uhr
Hallo Kummerkasten,

wir haben unsere Firmenverwaltung inkl. Personalabteilung und Finanzen mit LANCrypt ausgestattet.
Die betroffenen arbeiten auf einem Verwaltungsserver und verfügen alle über den gleichen Schlüssel. Einziger Sinn und Zweck ist es, die Admins auszuschließen, aber die Daten noch administrierbar zu halten.
Wir haben einen MSO, der ausscheidet. Keine weiteren SOs bisher. Ich möchte allerdings zwei Verwaltungsmitarbeiter als Administratoren für LANCrypt einsetzen. Das können dann ruhig beide MSOs sein. Oder spricht aus Deiner Sicht etwas dagegen?

Nächsten Monat muss ich mich spätestens drum kümmern. Dann melde ich mich nochmal.

Viele Grüße
CoxusLongus
Bitte warten ..
Mitglied: Kummerkasten
28.06.2011 um 12:43 Uhr
Hallo CoxusLongus,

Wie viele SGLC User hast Du in Deiner Umgebung? Die Admins werden ja eh ausgeschlossen, solange Sie kein SGLC User werden, das ist ja der Vorteil von SGLC.
Nun zum MSO würde ich persönlich nicht zu viele erstellen. Das würde ich von der Umgebungsgröße und den Standorten abhängig machen. Wenn Du nur eine kleine Umgebung und auch nur einen Standort hast, dann verwende nur einen MSO, somit hast Du die Sicherheit in der Hand. Für den Verwaltungsserver würde ich einfach 2 SO's anlegen, welche dann mit gewissen Recht arbeiten dürfen. Du solltest Dir die Frage stellen, was sollen die beiden Verwaltungsmitarbeiter alles innerhalb von SGLC dürfen?
Du kannst ja auch SO's mit MSO Rechten ausstatten, wenn es nötig sein sollte.

Zudem würde ich für den alten MSO ein neues Kennwort vergeben und auch ggfs. ein neues Zertifikate generieren, damit bist Du auf der sicheren Seite. So kann dann mit dem alten MSO kein Unsinn getrieben werden. Dazu solltest du immer ein Recovery-Key erstellen. (Info's dazu findest Du im Handbuch unter Wiederherstellungsschlüssel)

Wenn Du nun ggfs. ein neues Zertifikate für den MSO anlegst, dann denke daran, dass die User Profile mit dem alten MSO Zertificate signiert wurden. Das heißt, Du muss dann die User Profile einmal Re-building, damit das neue MSO Zertifikate wieder im Userprofil steht, sonst bekommt der End-User eine Fehlermeldung auf der Workstation. Zudem muss dann das neue MSO Zertifikate auf dem Client im Cer-Store vorhanden sein, aber das kennst Du ja...

Nun ja die Entscheidung wie Du es machen willst liegt bei Dir.... Wenn Du Fragen hast dann frag... Viel Spaß weiterhin.

LG
Kummerkasten
Bitte warten ..
Mitglied: CoxusLongus
13.09.2011 um 15:00 Uhr
Hallo Kummerkasten,
ist doch später geworden. Wie immer. Aber nun muss ich mich kümmern.

Hier noch die fehlenden Infos:
20 LANCrypt-User
z.Zt. ein MSO. Gewünscht sind zwei wegen Ausfallsicherheit.

Wegen der ersten auslaufenden Zertifikate habe ich nun mit dem alten MSO die Zertifikate für die ablaufenden Benutzer neu erstellt. Laut SGLC-Administartion sind die Zertifikate zugeordnet. Ist nochetwas zu tun?
Ich rechne damit, dass die Benutzer morgen nach einer PIN gefragt werden, da im Zertifikatsordner neue name1.p12 Zertifakte liegen, und dazugehörig in der Passwort-Datei auch neue Passwörter liegen.
Aber wissen tue ich es nicht, da die Doku darüber nichts aussagt, und ich es noch nicht gemacht habe.

Die Geschichte mit dem Re-buiding habe ich nicht verstanden. Bitte noch mal gaaanz langsam. Das kenn ich glaub ich nicht

Viele Grüße
CoxusLongus
Bitte warten ..
Mitglied: Kummerkasten
14.09.2011 um 00:04 Uhr
Zitat von CoxusLongus:
Hallo Kummerkasten,
ist doch später geworden. Wie immer. Aber nun muss ich mich kümmern.

Hier noch die fehlenden Infos:
20 LANCrypt-User
z.Zt. ein MSO. Gewünscht sind zwei wegen Ausfallsicherheit.

Meine Antwort:
2 MSO's sind ok bei 20 SGLC Usern....... Das ist natürlich indivduell zu betrachten. Aber wenn Du mit MSO 1 ein User Zertificate erstellt hast dann ist das user zertificate mit MSO 1 signiert das heißt das Public Zertificate von MSO 1 muss auf dem Client vorhanden sein......... Wenn dann MSO 2 das User Profil wieder neu erstellt dann muss MSO 2 Zertificate auf dem Client vorliegen .............. So long so good Also verliere nie die MSO's und deren Zertificate..... Jedes user profil wird mit dem MSO / SO signiert der auch das User Profil erstellt oder ein neues Zertifcate erstellt hat.......


Wegen der ersten auslaufenden Zertifikate habe ich nun mit dem alten MSO die Zertifikate für die ablaufenden Benutzer neu
erstellt. Laut SGLC-Administartion sind die Zertifikate zugeordnet. Ist nochetwas zu tun?

Meine Antwort:

Du musst die Profile einmal neu generieren weil Du die Zertificate erneuert hast. Als einfach auf Profile neu erstellen und dann wird die *pol Datei neu geschrieben und der User muss ggfs. beim einem neuen Zertificate das PW aus der PW Datei verwenden welches Du im geben musst.



Ich rechne damit, dass die Benutzer morgen nach einer PIN gefragt werden, da im Zertifikatsordner neue name1.p12 Zertifakte
liegen, und dazugehörig in der Passwort-Datei auch neue Passwörter liegen.

Meine Antwort:

Wenn Du das User Zer und oder das MSO Zer neu gemacht hast dann ja. Also bei dem user zer muss du dem User das PW mitteilen und beim MSO holst du es dir als der Datei wie gehabt.....


Die Geschichte mit dem Re-buiding habe ich nicht verstanden. Bitte noch mal gaaanz langsam. Das kenn ich glaub ich nicht

Meine Antwort:

Rebuiding bezieht sich auf den User wenn Du dem User ein neues Zertificate erstellt dann muss Du das Profil einmal neu erstellen, damit dann alle Information gesync. sind. Das heißt das User Zertificate wird mit dem MSO Zertificate neu signiert dadurch ändert sich die User Zertificates Serial etc..... einfach ein Rebuild vom Profil machen und dann wird es passen dann wird die p12 neugeschrieben und der Client bekommt diese Info....

Zur Not kann ich dir mal Teamviewer anbieten damit ich mir das mal anschauen kann ist dann einfacher
Bitte warten ..
Mitglied: CoxusLongus
19.09.2011 um 10:54 Uhr
Hallo Kummerkasten,

was ich getan habe, und was im Admin-Tool sichtbar ist:
Für MSO1 neues Zertifikat erstellt, das neue Gültigkeitsdatum wird in LANCrypt-Administration angezeigt.
Für ablaufenden Benutzer ein neues Zertifikat erstellt. Doppeltes Zertifikatssymbol wird in der Übersicht des Admins angezeigt.In den Eigenschaften sehe ich altes und neues Zertifikat.

Am Client:
Benutzer erhält die Meldung, dass die Aktualisierung fehlschlägt. "LAN Crypt Security Officer Zertifikat nicht gefunden". Es wird das alte Zertifikat verwendet. Schlüsselsymbol ist grün.

Zu Deinen Antworten hätte ich dann noch folgende Fragen:
Was ist zu tun, damit das öffentliche Zertifikat des MSO1 auf dem Client vorhanden ist?

Profil neu genereien heisst, Profil neu bereitstellen? Einen Menüpunkt "Profil neu erstellen" habe ich nicht.

Wie gesagt: Im Ordner der Zertifikate finde ich für den Benutzer eine neue *.p12-Datei.
Ein neues Passwort ist auch hinterlegt, aber bei der Anmeldung bekommt der Benutzer keine Abfrage zur neuen PIN angezeigt.

Zu Teamviewer: Danke fürs Angebot, würde ich aber in der Tat erst im Notfall drauf zurückgreifen wollen.

Viele Grüße
CoxusLongus
Bitte warten ..
Mitglied: Kummerkasten
25.01.2012 um 22:45 Uhr
Sind Deine Frage noch aktuelle ich war leider nicht viel hier
Bitte warten ..
Mitglied: CoxusLongus
09.02.2012 um 13:01 Uhr
Meine Fragen sind immer aktuell, weil sich mir dieses Programme im Handling nicht wirklich erschließen will.
LANCrypt und ich werden keine Freunde mehr.

Im Tagesgeschäft kommen wir beide klar, aber...........jetzt sind wieder zwei Zertifkate abgelaufen.......ich wage mich mal ran......

Viele Grüße
CoxusLongus
Bitte warten ..
Mitglied: Kummerkasten
12.07.2012 um 23:23 Uhr
Lang ist es her hatte es funktioniert?
Bitte warten ..
Mitglied: CoxusLongus
16.07.2012 um 09:01 Uhr
Hallo,
mit den abgelaufenen Zertifikaten komme ich inzwischen klar.
Danke der Nachfrage

Viele Grüße
CoxusLongus
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...