zertifikatdienste installieren...

[mavebox 10]

Hallo zusammen

 

Für die interne MA reicht es, ne eigene zertifizierungstelle zu erstellen. Wenn ich unter systemsteuerung/software die zertifikatsdienste auswähle, so erscheint der assistent für zertifizierungsstellentyp.

 

Auswählen wollte ich "stammzertifizierungsstelle des Unternehmen"! Jedoch sind die oberen 2 optionen von 4 deaktiv (grau). Kann die nicht auswählen...!!

 

kann mir da jemand helfen was ich falsch mache???

fehlt was?

 

DANKE

[grizzly999 11]

Nicht Mitglied der Organisationsadmins oder kein AD oder keine Enterprise Edition vom 2003 Server ?

 

grizzly999

[mavebox 10]

iis7 server liegt in der DMZ! (Win2003 Std)

 

AD ist nicht drauf! wenn ich jedoch auf Active Directory installieren gehe, erscheint folgende meldung:

Server für NIS kann nur auf einen Domänencontroller installiert werden....

[grizzly999 11]

IIS ist nicht zwingend erforderlich, erleichtert manchmal ein paar Sachen. Aber die 3 anderen Dinge sind 'MUST'

 

grizzly999

[mavebox 10]

iis wurde installiert, damit wir https verbindungen erstellen können...

[grizzly999 11]

iis7 server liegt in der DMZ! (Win2003 Std)

 

AD ist nicht drauf! wenn ich jedoch auf Active Directory installieren gehe, erscheint folgende meldung:

Server für NIS kann nur auf einen Domänencontroller installiert werden....

AD = Active Directory. Zu machen mit dcpromo.exe, da kommt nichts mit NIS.

Aber DMZ, IIS, AD :suspect:

 

Was willst genau wo tun. Mir ist da alles etwas konfus, ich kann soweit nur die 3 Anforderungen wiederholen.

 

grizzly999

[mavebox 10]

also...

 

in unserer DMZ wurde einen win2003 Server mit IIS dienste platziert.

Dort drauf müssen unsere mitarbeiter https verbindung auf eine selbst programmierte seite herstellen können.

Das ist eigentlich alles... :-)

 

ist eigentlich ne stand alone kiste...

[olc 18]

Hallo,

 

für diese Größenordnung (basierend auf den Informationen von Dir) ist eine CA wahrscheinlich "overkill".

 

Ich würde in diesem Fall eher den Erwerb eines Zertifikats einer kommerziellen Zertifizierungsstelle erwägen - das kostet heute nicht mehr die Welt - oder ein selbst signiertes Zertifikat erstellen, welches Du beispielsweise per GPO an die Clients im internen Netz verteilen kannst. Die zweite Variante ist dann natürlich nicht so optimal wie das kommerzielle Zertifikat.

 

Eine CA in die DMZ zu stellen ist sicherheitstechnischer "Selbstmord". Wenn Du unbedingt eine CA verwenden willst, sollte diese in Deinem internen Netz liegen.

 

Gruß olc

[nerd 28]

Hi,

 

wie olc schon sagte, Zertifikatsdienste und DMZ gehören absolut nciht zusammen!!! Ein wirklich sicherer Aufbau beinahltet zudem min 2. CA's eine root CA (die offline ist - kann auch ne VM sein) und eine subCA die Zertifikate austeilt. Eines der ausgeteilten Zertifikate kann dann durchaus auf deinem Server in der DMZ installiert werden - aber nur das Cert nciht die Zertifikatsdienste. Über die Active Directory Boardmittel kannst du dann ClientZertifikate an deine Maschinen oder User verteilen und Ihnen damit den Zugriff auf deine Anwendung ermöglichen.

 

Gruß

[Muffel 11]

Nicht Mitglied der Organisationsadmins oder kein AD oder keine Enterprise Edition vom 2003 Server ?

 

Kannst du mir mal eben verraten was an einer Enterprise-Edition mit Bezug auf Zertifikate/ PKI anders ist als an einer Standard Edition?

[olc 18]

Hallo Muffel,

 

hat nicht wirklich etwas mit dem Thread zu tun oder? ;)

 

Hier (trotzdem) die Antwort - siehe Unterpunkt "Windows Server 2003 Operating System Needed for Each Procedure": Building an Enterprise Root Certification Authority in Small and Medium Businesses

 

Gruß olc