Jump to content

Offline RootCa

viper990

Von viper990
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

viper990 Proficient

viper990   10

Geschrieben
Geschrieben

Trotz vielen suchen und lesen... ich brauche einfach nochmal ein paar Tips

(sehe momentan wieder zuviele Bäume vor mir)

 

Das Ziel: virt. RootCa offline und eine untergeordnete Ca.

Kann ich eine eigenständige Ca und eine ug Enterprise Ca erstellen?

Ist die Kombinieren so möglich oder sinnvoll?

 

Wie kann eine eine RootCa offline betreiben ohne das sich die Clients einen heißen suchen?

 

Gruß

ViPeR

Link zu diesem Kommentar
viper990 Proficient

viper990   10

Geschrieben
  • Autor
Geschrieben

Wenn ich ehrlich bin weiß ich das gar nicht so 100% :D

 

Ich arbeite mich gerade in das Thema ein und versuche eine gute Lösung auszuarbeiten...

 

Das heißt Enterprise RootCa und untergeordnete Enterprise Ca.

Ich hatte eh beides schon ausprobiert und diese Lösung für besser empfunden.

 

Wichtig ist, dass die rootCA nur Zertifikate für andere CA's ausstellen kann und darf (andere templates löschen!)

Brauche ich bitte noch genauer. Kann ich wo noch was einstellen?

Ich habe die RootCa bis jetzt so eingestellt, das diese nicht automatisch Zertifkate ausstellt, sondern nur manuell.

 

Wie kann ich denn nu die RootCa abschalten?

Den Knopf zum drücken find ich gerade noch ;)

 

Danke & Gruß

ViPeR

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

um die rootCA offline zu nehmen mußt du diese tatsächlich einfach nur runter fahren. Wenn du es ganz gut machst, dann stellst du ganz zu beginn ein, dass die Sperrlisten auf einer anderen Maschine veröffentlicht werden... :)

 

Die Vorlagen kannst du über das snapIn "Certificate Templates" bearbeiten.

 

Beschreib mal genauer was dein Ziel ist, dann können wir dir bestimmt besser helfen...

 

Viele Grüße

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

nur mal so als Einwurf: Es ist durchaus sinnvoll, die Root CA Offline zu nehmen. Damit verringerst Du Diene Angriffsläche auf die CA Struktur und das Risiko, daß diese kompomittiert wird etc.

Ist glaube ich auch bei vielen CA Software Herstellern "Best Practice" aber auch irgendwo eine "Glaubensfrage".

 

Wichtig im Zusammenhang mit Windows Server 2003 CAs ist natürlich, daß die Stand-Alone Root CA dann weder Domänenmenber noch DC ist. Letzteres ist auch sonst nicht unbedingt zu empfehlen.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...