Ein ActiveX-Steuerelement könnte diesen Zweck erfüllen. Aber ich habe mich wirklich nicht zu Wort gemeldet, um bei der Lösung zu helfen, sondern eher, um der Meinung zu widersprechen, dass das, was Sie tun, ein Sicherheitsrisiko darstellt.
Sie benötigen also eine sichere Verschlüsselung (hoffentlich AES und nicht DES) und haben bereits die Kontrolle über Ihre Endgeräte, können aber nicht vollständig ausschließen, dass Netzwerk-Sniffer im Promiscuous-Modus Passwörter im Klartext oder andere sensible Daten abfangen können.
SSL ist ein "Secure Socket Layer" und ist per Definition NICHT von irgendwelchen Zertifikaten abhängig.
Dies ist jedoch bei allen wirksamen modernen Verschlüsselungen erforderlich, um die Tunnelendpunkte zu authentifizieren, was nicht immer für jede Anwendung notwendig ist. Mit dieser Frustration habe ich mich bei zahlreichen Back-End-Automatisierungsroutinen für Rechenzentren auseinandergesetzt, die Webdienst-APIs zur Verwaltung von Knoten verwenden, bei denen die "Benutzer" eigentlich Prozesse waren, die vor einer RESTful-Befehlsaushandlung einen verschlüsselten Schlüsselaustausch benötigten.
In meinem Fall waren die VLANs über ACLs gesichert, so dass ich wirklich Klartext-Authentifizierungs-Header senden "konnte". Aber allein beim Tippen dieses Satzes musste ich mich schon ein wenig übergeben.
Ich bin mir sicher, dass ich für diesen Satz angefeindet werde, aber ich bin extrem kampferprobt und hätte Ihnen in den Jahren 10-15 meiner IT-Karriere die gleichen Bemerkungen gemacht. Ich kann also ihre Sorgen nachvollziehen und freue mich sehr, wenn sie sich so sehr für die Sicherheit engagieren, dass sie mich abflammen. Sie werden es schließlich herausfinden.....
Aber ich stimme der Tatsache zu, dass es eine SCHLECHTE Idee ist, Benutzer zu "trainieren", Root-CAs selbständig zu installieren. Wenn Sie andererseits ein selbstsigniertes Zertifikat verwenden, müssen Sie den Benutzern beibringen, dieses zu installieren. Und wenn ein Benutzer nicht weiß, wie er feststellen kann, ob ein CA-Zertifikat vertrauenswürdig ist, wird er definitiv nicht in der Lage sein, ein selbstsigniertes Zertifikat von einem CA-Zertifikat zu unterscheiden, so dass beide Verfahren den gleichen Effekt haben.
An meiner Stelle würde ich den Prozess automatisieren, anstatt ihn den Endbenutzern zu überlassen, damit er für sie so unsichtbar wie möglich wird, so wie es eine richtige PKI für ein Unternehmen tun würde.
Apropos, mir ist gerade eine mögliche Lösung eingefallen. Verwenden Sie das Microsoft PKI-Modell. Mit Server 2012 R2 können Sie vertrauenswürdige Schlüssel an Endpunkte liefern, die nicht einmal Domänenmitglieder sind, indem Sie "Gerätesteuerung" über "Arbeitsbereiche" verwenden, und die Clientcomputer können mehrere Arbeitsbereiche abonnieren, so dass sie nicht nur an Ihren gebunden sind, wenn sie abonnieren. Sobald sie dies tun und sich authentifizieren, wird die AD-Zertifikatsdienstrolle alle erforderlichen Root-CA-Zertifikate übertragen, die im Active Directory oder im angegebenen LDAP-Server vorhanden sind. (Falls Sie Offline-CA-Server verwenden)
Außerdem ist mir klar, dass dieser Thread schon 7 Jahre alt ist, aber ich bin mir sicher, dass er immer noch von vielen Leuten, die ähnliche Lösungen benötigen, angesprochen wird, und ich fühlte mich verpflichtet, eine gegensätzliche Meinung zu äußern. (Ok Microsoft, wo ist mein Kickback für die Werbung, die ich dir gegeben habe?)
-cashman
