Hallo.
Meine Frage ist vielleicht eher was für den relution-Support aber vielleicht hat ja auch hier jemand einen guten Tipp:
Unsere Schultablets werden mit relution verwaltet. Alle User haben einen Button auf dem Desktop, der zur schulinternen Domain http://meine-schule.de/SoGo (also zum Mail-Server der Schule) führt.
Nun melden die Tablets von Zeit zu Zeit, dass sie dem Zertifikat des Mailservers nicht vertrauen (was ich seltsam finde, da es ein LE-Zert ist, das dort anstandslos läuft). Jedenfalls fiel mir auf, dass man relution andere Zertfikate beibrigen kann. Man findet das auf dem relution-Server unter Einstellungen →
Meine Frage ist: Wer hat das schon mal gemacht und wie müsste man hier vorgehen, damit der MDM-Server diesen Zertfikaten vertraut?
(Ach ja: Da unser relution als docker Container läuft, wäre es genauso wichtig zu wissen, wie man den Prozess automatisiet, so dass man das nicht alle 90 Tage manuell erneuern muss…)
Viele Grüße,
Michael
Hallo Michael,
ich weiß nicht, ob es übertragbar ist, aber wir haben das Radius-Zertifikat über Relution auf den iPads installiert. Vermutlich funktioniert es mit dem Mail-Server-Zertifikat ähnlich.
- Unter Einstellungen → Zertifikate habe ich zunächst das Radius-Zertifikat importiert.
- Danach habe ich eine Richtlinie (Geräte → Richtlinie) erstellt (bzw. eine bestehende geändert). Dort habe ich die Aktion „Zertifikat“ ausgewählt und dort das im ersten Schritt importierte Zertifikat hinzugefügt.
- Dann die Richtlinie speichern und auf die Geräte pushen.
Danach wurde dem WLAN standardmäßig bei der Anmeldung vertraut.
Wie - und ob - man das automatisieren kann, weiß ich leider nicht. An unser Relution komme ich nur über die Weboberfläche, da es von unserem Schulträger gemanagt wird.
Viele Grüße
Dominik
Hallo Dominik.
Danke für den Tipp – so ähnlich hatte ich mir das ganze auch vorgestellt. Ich nehme an, dass Du das Radius-Cert verteilst, da ihr ein WPA-Enterprise WLAN verwendet? Das werde ich im Hinterkopf behalten, wenn wir umstellen.
Hast Du denn in Sachen Zertifizierungsstellen gar nichts eingestellt? Ich weiß z.B. nicht, ob da dann die OPNSense reingehört, da das Cert von dort stammt?!?!
Ich habe mir die docker-compose.yml
des relution-Containers mal angesehen: Da wird das Zertfifkat vom MDM-Container auch durchgereicht. Ich nehme stark an, dass das mit anderen Zertifkaten so ähnlich funktionieren sollte, so dass man mit einem einfachen CronJob immer auf dem aktuellen Stand ist, ohne den Vorgang ständig wiederholen zu müssen
Viele Grüße,
Michael