apohl 10 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 MoinMoin, ich bin auf der Suche nach einer alternative Certificate Authority, die ich lokal auf meinem Client betreiben kann (bzw. idealerweise auf einen Stick oder in einer VM installieren kann) - ich möchte ungern eine CA offen im Firmennetz betreiben... zum einen gibt es keine Notwendigkeit, daß jeder Mitarbeiter da ran kommt und zum anderen find ich, daß so etwas nicht ins offene Firmenentz gehört. Hat da irgendjemand eine Alternative ? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Öhm, sorry - so etwas habe ich noch nie geschrieben, ist auch nicht böse gemeint. Aber ist das jetzt wirklich Dein Ernst...? Eine CA - auf einem USB-Stick (sic!) - die Du nicht ins Firmennetz bringen willst, sondern lokal auf einem Client (sic!) betreiben willst (ich unterstelle jetzt mal, Du redest hier nicht von einer Offline-CA) - keine Notwendigkeit, daß Benutzer / Clients "herankommen" (auch hier gibt es durchaus Szenarien, aber mit den wenigen Informationen von Dir schwierig einzugrenzen) - die nicht ins "offene" Firmennetz gehört? (was bedeutet "offen"?) Muß da mal nachhaken: Wie eine CA funktioniert bzw. was ihr Sinn und Zweck ist weißt Du? Certificate authority - Wikipedia, the free encyclopedia Vielleicht kannst Du ja noch einmal ein wenig genauer beschreiben, was Du eigentlich erreichen möchtest. Gruß olc Zitieren Link zu diesem Kommentar
apohl 10 Geschrieben 19. Februar 2008 Autor Melden Teilen Geschrieben 19. Februar 2008 MoinMoin, Eine CA- auf einem USB-Stick (sic!) - die Du nicht ins Firmennetz bringen willst, sondern lokal auf einem Client (sic!) betreiben willst (ich unterstelle jetzt mal, Du redest hier nicht von einer Offline-CA) - keine Notwendigkeit, daß Benutzer / Clients "herankommen" (auch hier gibt es durchaus Szenarien, aber mit den wenigen Informationen von Dir schwierig einzugrenzen) - die nicht ins "offene" Firmennetz gehört? (was bedeutet "offen"?) Doch, ich rede von einer Offline-CA ... einer CA, die nur dazu dient, Zertifikate für bestimmte interne Dienste auszustellen, die nicht automatisiert läuft, deren Revocation Liste manuell an die entsprechenden "Server" verteilt wird und die, wenn Sie nicht gebraucht wird, so sicher wie möglich "weggeschlossen" wird. Ich hoffe, Du verstehst, daß ich jetzt nicht alle Gründe aufliste, die mich dazu bewegen, eben keine Online-CA im Netz zu installieren - lange drüber nachgedacht und zu dem Schluss gekommen, daß diese vorgehensweise in diesem Szenario Sinn macht. Muß da mal nachhaken: Wie eine CA funktioniert bzw. was ihr Sinn und Zweck ist weißt Du? (Scherz) Jep - ich weiß, daß es in Foren eher unüblich ist, daß User sich vorher mit einem Thema befassen - aber ich bin stolz darauf, hier die Ausnahme zu bilden :) (/Scherz) Spaß beiseite... ich bin mit den Regelszenarien, den Anforderungen und what ever einer CA durchaus vertraut und nutze an anderer Stelle (im privaten Umfeld) selbst CaCert.org - was auch vollkommen reichen würde, wenn es nicht so ein Akt wäre, dort einen Firmenaccount samt entsprechender Punktanzahl zu bekommen. Vielleicht kannst Du ja noch einmal ein wenig genauer beschreiben, was Du eigentlich erreichen möchtest. Hmpf - kurz gesagt: Ich brauche für verschiedene Mitarbeiter, die Zugang zu verschiedenen Diensten haben, X.509-Zertifikate. Die Server, die diese dineste anbieten brauchen entsprechende Serverzertifikate; da die entsprechenden Softwarepakete nur offline eingespielte Revoc.-Listen bearbeiten, braucht die schon mal nicht Online zu sein. Da bei uns in der Firma das Credo herrscht, daß Zugriffsrechte hinderlich sind und jeder alles darf, habe ich kein ruhiges Gewissen dabei, die irgendwo ins Netz zu stellen, da so einfach die Gefahr zu groß ist, daß das Root-Zertifikat kompromitiert wird - daher der "Stick" ... den kann ich einfach in meinen Safe stecken, wo auch die ganzen Lizenzen verwahrt werden. Ich glaube auch, daß ich gestern abend was gefunden habe ... http://www.intrusion-lab.net/roca/ Ich gebe aber gerne zu, daß mir an dieser Stelle vom Handling her eine Win-Lösung lieber wäre. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 19. Februar 2008 Melden Teilen Geschrieben 19. Februar 2008 Eine Windows Lösung kannst du dafür schon machen. Du setzt einen 2003 Server in einer Arbeitsgruppe auf und installierst die Zertifikatsdienste mit den Einstellungen, die du benötigst (vorher IIS noch installieren). grizzly999 Zitieren Link zu diesem Kommentar
apohl 10 Geschrieben 19. Februar 2008 Autor Melden Teilen Geschrieben 19. Februar 2008 Hi Grizzly, danke für die Antwort - ich hab leider keine Server-Lizenz mehr frei (meines Wissens ist der parallele Betrieb in einer VM ja kaut Eula nicht gestattet).... und extra eine neue anschaffen, wäre dann wohl die sprichwörtliche Kanonenkugel für den Spatz :-) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. Februar 2008 Melden Teilen Geschrieben 19. Februar 2008 Hi, danke für Deine Ausführungen. Auch für das von Dir beschriebene Szenario solltest Du keine CA auf einem Client oder Stick installieren. ;) Wenn Du keine Lizenz für eine Windows CA (Offline Root-CA) mehr frei hast, wird es meines Wissens mit Windows Lösungen schwer. Du könntest Dir jedoch einmal OpenCA für Linux anschauen - obwohl ich selbst noch nicht damit gearbeitet habe, habe ich ab und an schon etwas davon gehört. Soll unter Linux die CA Lösung sein, schaut man von ein paar Kommandozeilentools einmal ab. Unter Windows ist mir leider keine (gute) Lösung bekannt. Viele Grüße olc Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 19. Februar 2008 Melden Teilen Geschrieben 19. Februar 2008 Wobei zu sagen ist, dass die interdisziplinäre Nutzung von CAs bzw. deren Zertifikaten usw. also Linux, Windows u.a. trotz RFCs u.a. oftmals sehr müssig und viel Gebastel ist und dann vieles doch nicht funktioniert. Vor allem Zertifikate mit private Key aus dem einen System raus in ein anderes bekommen. :rolleyes: Habe da schon leidvolle Erfahrungen gemacht, daher meine Empfehlung: innerhalb einer Familie bleiben, schont Nerven und spart eine Menge Zeit. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.