viper990 10 Geschrieben 20. November 2007 Melden Teilen Geschrieben 20. November 2007 Hallo zusammen, ich möchte mir eine Zertifizierungshirarchie aufbauen aus einem virtuellen CA-Server und einem untergeordneten physikalischen CA-Server. Beide habe ich jetzt installiert, jetzt meine (ersten2) Fragen :) 1. Wofür ist der Knopf Schlüsselpaare generieren beim untergeordneten Server? Kann ich auch vom 1.Server generieren lassen? 2. Wie kann ich erkennen, ob der 2.Server wirklich untergeordnet ist? Auf Server 1 ist nur ein Zertifikat für den Admin ausgestellt, nicht aber für den untergeordnete CA-Server. Vielen Dank für Feedback ViPeR Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. November 2007 Melden Teilen Geschrieben 20. November 2007 Hallo, zu Deiner Frage 1): Das Prinzip der asymmetrischen Verschlüsselung ist, daß der Antragsteller die privaten Schlüssel hält. Diese lassen sich zwar auch exportieren oder archivieren - erzeugen wird (und muß) der Antragsteller diese Schlüssel jedoch selbst. zu Frage 2): Das ist der Fall, wenn Du Deine untergeordnete Zertifizierungsstelle als Sub CA konfiguriert hast. Wenn Du das nicht getan hast, ist sie auch nicht Sub CA. ;) Bei der Installation mußt Du angeben, ob es sich um eine untergeordnete Zertifizierungsstelle handelt. Falls ja, übergibst Du den Zertifikatrequest an die Root CA, die das Zertifikat dann ausstellt. Am einfachsten bzw. wahrscheinlich am schnellsten kannst Du prüfen, ob das Zertifikat der Root CA "untergeordnet" ist, indem Du das ausgestellte Sub CA Zertifikat öffnest, die Details auswählst und die Hierarchie überprüfst. Weiterhin siehst Du in den Zertifikatdetails auch den Ausstellernamen. Dieser müßte Deiner Root CA entsprechen, sowie ebenfalls auch AIA und CDP auf die Zertifikate bzw. Sperrlisten der Root CA verweisen sollten. Anbei noch ein Link zum Thema mit vielen relevanten Details: Checklist: Creating a certification hierarchy with an offline root certification authority Microsoft Corporation Viele Grüße olc Zitieren Link zu diesem Kommentar
viper990 10 Geschrieben 21. November 2007 Autor Melden Teilen Geschrieben 21. November 2007 thx olc Du hast recht, die Frage mit der Hirarchie ist leicht zu klären: Einfach im Zertifikat den Zertifizierungspfad anschauen... Kann so einfach sein :) Ich dachte es gibt vielleicht einen Menüpunkt mit genau dieser Abbildung. Ich hätte da noch 1-2 Kleinigkeiten: 1. Zum verständniss, wenn ich die Root-CA abschalte, kann ich doch immer noch Zertifikate von der untergeordneten Stelle ausgeben, oder? Bzw.: sollte dies doch der normalfall sein. 2. Wenn ich unter der Website IP/certsrv ein Zertifikat beantragen möchte, fehlt mir irgendwie der Punkt erweiterte Zertifikatsanforderung. Ich hatte den in einer voherigen Testinstallation defintiv...??? 3. Wichtigste zum Schluß: Ich habe gelesen das die Enterprise Installation auf einem DC erfolgen muß (oberster Punkt bei der Installation). Mein Server ist kein DC und es läuft trotzdem... Warum? Vielen Dank nochmal für Antworten ViPeR Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 21. November 2007 Melden Teilen Geschrieben 21. November 2007 1.Zum verständniss, wenn ich die Root-CA abschalte, kann ich doch immer noch Zertifikate von der untergeordneten Stelle ausgeben, oder? Bzw.: sollte dies doch der normalfall sein. Ja, das ist möglich. 2.Wenn ich unter der Website IP/certsrv ein Zertifikat beantragen möchte, fehlt mir irgendwie der Punkt erweiterte Zertifikatsanforderung. Ich hatte den in einer voherigen Testinstallation defintiv...??? Uund die 2 anderen Auswahlpunkte sind da? Läuft auf der CA noch was anderes? MIt welchem Client? Geht das auf der CA selber auch nicht? Von anderen Clients aus? 3.Wichtigste zum Schluß: Ich habe gelesen das die Enterprise Installation auf einem DC erfolgen muß (oberster Punkt bei der Installation). Mein Server ist kein DC und es läuft trotzdem... Warum? Habe ich noch nicht gelesen, diese Aussage, bitte untermauere die doch mit einem Link. Denn, wie du festgestellt hast, das stimmt nicht. Man braucht aber ein AD für eine Enterprise CA, klar ....... grizzly999 Zitieren Link zu diesem Kommentar
viper990 10 Geschrieben 21. November 2007 Autor Melden Teilen Geschrieben 21. November 2007 Hallo grizzly, die Infos habe ich aus dem Buch MCSA/MCSE Self-Paced Training Kit (Exam 70-299): Implementing and Administering Security in a Microsoft Windows Server 2003 Network by Tony Northrup and Orin Thomas Microsoft Press © 2004 Die Seite kann ich leider nicht nennen, da ich online auf die Bibliothek von NewHorizons zugreife. Chapter 7 - Installing, Configuring, and Managing Certification Services Lesson 1: Public Key Infrastructure Fundamentals Auszug: Root CAs The first step in deploying a PKI is to install a CA, and the first CA you install in your organization must be a root CA. You can create two types of root CAs: enterprise and standalone. In a nutshell, enterprise CAs require Active Directory. Because enterprise CAs rely on Active Directory to store and replicate data, all enterprise CAs must also be domain controllers. Enterprise CAs are only capable of issuing certificates to computers and users in the Active Directory forest. Standalone CAs can be used in an Active Directory environment, but they do not require it. Da es funktioniert und du Deine Aussage mit meiner Inst. übereinstimmt ist das Thema für mich durch. Danke Zu Punkt zwei: Habe die Seite mit dem Opera geöffnet -> geht nicht Fügen Sie eine Base-64-codierte CMC- oder PKCS #10-Zertifikatanforderung oder eine Mit dem Internet Explorer gehts... Gruß ViPeR Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 21. November 2007 Melden Teilen Geschrieben 21. November 2007 Hallo grizzly, die Infos habe ich aus dem Buch MCSA/MCSE Self-Paced Training Kit (Exam 70-299): Implementing and Administering Security in a Microsoft Windows Server 2003 Network by Tony Northrup and Orin Thomas Microsoft Press © 2004 Ah, jajaja, ich beginne mich zu erinnern. Das ist das Buch, wo ich so unsagbar viele Fähnchen reingeklebt habe (rotes Fähnchen = Marker = Fehler im Buch). :( :( Mein Kursteilnehmer sind jedes mal geschockt, wenn sie das sehen. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.