Jump to content

alternative CA für X.509 ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

MoinMoin,

 

ich bin auf der Suche nach einer alternative Certificate Authority, die ich lokal auf meinem Client betreiben kann (bzw. idealerweise auf einen Stick oder in einer VM installieren kann) - ich möchte ungern eine CA offen im Firmennetz betreiben... zum einen gibt es keine Notwendigkeit, daß jeder Mitarbeiter da ran kommt und zum anderen find ich, daß so etwas nicht ins offene Firmenentz gehört.

 

Hat da irgendjemand eine Alternative ?

Link zu diesem Kommentar

Öhm, sorry - so etwas habe ich noch nie geschrieben, ist auch nicht böse gemeint. Aber ist das jetzt wirklich Dein Ernst...?

 

Eine CA

- auf einem USB-Stick (sic!)

- die Du nicht ins Firmennetz bringen willst, sondern lokal auf einem Client (sic!) betreiben willst (ich unterstelle jetzt mal, Du redest hier nicht von einer Offline-CA)

- keine Notwendigkeit, daß Benutzer / Clients "herankommen" (auch hier gibt es durchaus Szenarien, aber mit den wenigen Informationen von Dir schwierig einzugrenzen)

- die nicht ins "offene" Firmennetz gehört? (was bedeutet "offen"?)

 

Muß da mal nachhaken: Wie eine CA funktioniert bzw. was ihr Sinn und Zweck ist weißt Du?

 

Certificate authority - Wikipedia, the free encyclopedia

 

Vielleicht kannst Du ja noch einmal ein wenig genauer beschreiben, was Du eigentlich erreichen möchtest.

 

Gruß olc

Link zu diesem Kommentar

MoinMoin,

 

Eine CA

- auf einem USB-Stick (sic!)

- die Du nicht ins Firmennetz bringen willst, sondern lokal auf einem Client (sic!) betreiben willst (ich unterstelle jetzt mal, Du redest hier nicht von einer Offline-CA)

- keine Notwendigkeit, daß Benutzer / Clients "herankommen" (auch hier gibt es durchaus Szenarien, aber mit den wenigen Informationen von Dir schwierig einzugrenzen)

- die nicht ins "offene" Firmennetz gehört? (was bedeutet "offen"?)

 

Doch, ich rede von einer Offline-CA ... einer CA, die nur dazu dient, Zertifikate für bestimmte interne Dienste auszustellen, die nicht automatisiert läuft, deren Revocation Liste manuell an die entsprechenden "Server" verteilt wird und die, wenn Sie nicht gebraucht wird, so sicher wie möglich "weggeschlossen" wird.

 

Ich hoffe, Du verstehst, daß ich jetzt nicht alle Gründe aufliste, die mich dazu bewegen, eben keine Online-CA im Netz zu installieren - lange drüber nachgedacht und zu dem Schluss gekommen, daß diese vorgehensweise in diesem Szenario Sinn macht.

 

Muß da mal nachhaken: Wie eine CA funktioniert bzw. was ihr Sinn und Zweck ist weißt Du?

 

(Scherz)

Jep - ich weiß, daß es in Foren eher unüblich ist, daß User sich vorher mit einem Thema befassen - aber ich bin stolz darauf, hier die Ausnahme zu bilden :) (/Scherz)

 

Spaß beiseite... ich bin mit den Regelszenarien, den Anforderungen und what ever einer CA durchaus vertraut und nutze an anderer Stelle (im privaten Umfeld) selbst CaCert.org - was auch vollkommen reichen würde, wenn es nicht so ein Akt wäre, dort einen Firmenaccount samt entsprechender Punktanzahl zu bekommen.

 

Vielleicht kannst Du ja noch einmal ein wenig genauer beschreiben, was Du eigentlich erreichen möchtest.

 

Hmpf - kurz gesagt: Ich brauche für verschiedene Mitarbeiter, die Zugang zu verschiedenen Diensten haben, X.509-Zertifikate. Die Server, die diese dineste anbieten brauchen entsprechende Serverzertifikate; da die entsprechenden Softwarepakete nur offline eingespielte Revoc.-Listen bearbeiten, braucht die schon mal nicht Online zu sein.

 

Da bei uns in der Firma das Credo herrscht, daß Zugriffsrechte hinderlich sind und jeder alles darf, habe ich kein ruhiges Gewissen dabei, die irgendwo ins Netz zu stellen, da so einfach die Gefahr zu groß ist, daß das Root-Zertifikat kompromitiert wird - daher der "Stick" ... den kann ich einfach in meinen Safe stecken, wo auch die ganzen Lizenzen verwahrt werden.

 

Ich glaube auch, daß ich gestern abend was gefunden habe ... http://www.intrusion-lab.net/roca/

 

Ich gebe aber gerne zu, daß mir an dieser Stelle vom Handling her eine Win-Lösung lieber wäre.

Link zu diesem Kommentar

Hi,

 

danke für Deine Ausführungen.

 

Auch für das von Dir beschriebene Szenario solltest Du keine CA auf einem Client oder Stick installieren. ;)

 

Wenn Du keine Lizenz für eine Windows CA (Offline Root-CA) mehr frei hast, wird es meines Wissens mit Windows Lösungen schwer. Du könntest Dir jedoch einmal OpenCA für Linux anschauen - obwohl ich selbst noch nicht damit gearbeitet habe, habe ich ab und an schon etwas davon gehört. Soll unter Linux die CA Lösung sein, schaut man von ein paar Kommandozeilentools einmal ab.

 

Unter Windows ist mir leider keine (gute) Lösung bekannt.

 

Viele Grüße

olc

Link zu diesem Kommentar

Wobei zu sagen ist, dass die interdisziplinäre Nutzung von CAs bzw. deren Zertifikaten usw. also Linux, Windows u.a. trotz RFCs u.a. oftmals sehr müssig und viel Gebastel ist und dann vieles doch nicht funktioniert. Vor allem Zertifikate mit private Key aus dem einen System raus in ein anderes bekommen. :rolleyes:

Habe da schon leidvolle Erfahrungen gemacht, daher meine Empfehlung: innerhalb einer Familie bleiben, schont Nerven und spart eine Menge Zeit.

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...