viper990 10 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Hallo zusammen, ich stehe vor der Einführung unserer Zertifikatsserver und hätte da nochmal ne Frage: Vorhanden ist eine Ca-Root und eine untergeordnete Ca (UG-Ca). Letztere stellt natürlich die Zertifikate aus. Das signieren und verschlüsseln von Mails funktioniert wunderbar. Die Root-Ca kann auch abgeschaltet werden, verschl. Mails versenden geht immer noch, soweit so gut. Wenn ich den Spieß jetzt jedoch umdrehe und die Root-Ca eingeschaltet und die UG-Ca abschaltet ist, dann kann ich auch keine Mails mehr verschlüsseln. Ist bei dieser Konstellation nicht genau dieses gewünscht? Wenn ich später schließlich Zertifikate für VPN und die Anmeldung einsetze muß das doch dann auch noch funktionieren...? Muß ich dabei noch irgendwas beachten? Gruß |ViPeR| Zitieren
grizzly999 11 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Wieso willst du die Sub-CA abschalten, und die Root CA laufen lassen? Wenn das beide Online CAs sind, dann sollten beide auch laufen. Ist bei dieser Konstellation nicht genau dieses gewünscht? Nein, wieso auch? Wenn man eine Offline CA aufsetzt, dann meistens die Root-CA, dann muss man diese aber auch als solche einrichten. grizzly999 Zitieren
viper990 10 Geschrieben 18. Januar 2008 Autor Melden Geschrieben 18. Januar 2008 Hallo Grizzly, was mache ich denn wenn mir die UG-Ca wegfliegt? Heißt das, das alle Smartcards die dann im Umlauf sind unbrauchbar sind und sich niemand am System mehr anmelden kann? Wenn man eine Offline CA aufsetzt, dann meistens die Root-CA, dann muss man diese aber auch als solche einrichten. Welche Parameter meinst du damit genau? Danke & Gruß |ViPeR| Zitieren
grizzly999 11 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Hallo Grizzly, was mache ich denn wenn mir die UG-Ca wegfliegt? Wiederherstellen aus der Sicherung. Heißt das, das alle Smartcards die dann im Umlauf sind unbrauchbar sindund sich niemand am System mehr anmelden kann? So lange die CRL abrufbar ist, ist alles ok. Aber im Standardfall wird's dann nach einer Woche schwierig. Welche Parameter meinst du damit genau? Das sind keine speziellen Paramrter. Eine Standalone CA, deren Zertifikate und CRL manuell ins AD bringt, und sie dann für eine Weile offline nimmt, das ist im Prinzip alles. Bei Microsoft gibt es ein größeres Whitepaper, das alle möglichen Szenarien mit Step-by-Step Anleitungen beschreibt. grizzly999 Zitieren
viper990 10 Geschrieben 23. Januar 2008 Autor Melden Geschrieben 23. Januar 2008 Ich glaube es nach längeren Suchen gefunden zu haben, hier der Link: Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure Ist zwar ne Menge Text zu lesen, doch wird alles ziemlich gründlich erklärt. Meintest du diesen Link, oder hast du noch nen anderen? :) Gruß ViPeR Zitieren
grizzly999 11 Geschrieben 23. Januar 2008 Melden Geschrieben 23. Januar 2008 Ja, genau das meinte ich. In der Technet ist das immer etwas schwierig zu lesen, weil die einzelnen Kapitel immer separat angezeigt werden müssen. Ich habe mir das mal ausgedruckt, weil hier gibt es das als komplettes Dokument: http://www.microsoft.com/downloads/details.aspx?familyid=0BC67F4E-4FCF-4717-89E8-D0EE5E23A242&displaylang=en Ja, ist wirklich eine Menge Text, aber wie schon sagtest, sehr ausführlich und sehr gut. Zuasmmen mit Brian Komar's Standardlektüre zur PKI ist man da gut gerüstet ;) grizzly999 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.