naison 10 Geschrieben 17. Juni 2009 Melden Teilen Geschrieben 17. Juni 2009 Servus, ich bin gerade dabei eine zweischichtige Test-PKI Umgebung zu realisieren. Als Basis dient Windows 2008 Ent. Server (für alle PKI Server) Die RootCa "Offline" ist konfiguriert sowie die SubCa. Wir planen in Zukunft VPN, Webserver über Zertifikate abzusichern, laut meiner Info sollten die Sperrlisten hierfür extern extern verfügbar sein. Die Veröfentlichungsintervale sind wie folgt: SubCA Basissperrlisten:2Tage Deltasperrlisten:4 Stunden Veröffentlichungspunkte: AD, Webserver-Extern, SubCA Webserver Fragen: 1) ist es möglich die Veröffentlichung auf den externen Webserver so zu konfigurieren das die Sperrlisten automatisch verteilt werden? Oder ist hierfür ein Script notwendig der per FTP die Sperrlisten auf den externen Webserver kopiert? 2) Kann man die Veröffentlichungspunkte der Sperrlisten nachträglich ändern/erweitern , wenn bereits Zertifikate an User ausgerollt wurden und diese auf die neuen Sperrlisten an den erweiterten V.Orten zugreiffen sollen? 3) Geplant ist ebenfalls eine weitere SubCA -->Ausfallsicherheit Mal angenommen die erste SubCA fällt aus, anhand von welchen Informationen werden z.b die Sperrlisten erstellt--die zweite SubCA besitzt ja keine Informationen über Zertifikate die bereits erstellt wurden? Bin für jede Anregung dankbar. Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. Juni 2009 Melden Teilen Geschrieben 17. Juni 2009 Hi naison und herzlich willkommen an Board, zu 1) Soweit ich weiß, mußt Du bei "externen" Veröffentlichungspunkten die Veröffentlichung manuell vornehmen, d.h. etwa scripten oder ähnliches. Eine von der SubCA initiierte Verteilung wäre mir persönlich nicht bekannt. Denk in diesem Zusammenahng auch daran, daß die AIA / CDP der offline Root CA verfügbar sein sollten, sonst kann die key chain vom Client nicht verifiziert werden, siehe dazu auch: Event ID 100 ? AD CS Certification Authority Certificate and Chain Validation . zu 2) Nein, in den ausgerollten Zertifikaten sind die Sperrlistenverteilungspunkte fest eingetragen. Hier kannst Du in bestehende Zertifikate keine zusätzlichen Einträge hinzufügen, vielmehr müßten die Zertifikate neu ausgestellt werden. Aus dem Grund müssen die CDP (CRL distribution points) immer frühzeitig gut geplant werden - sonst läuft Du schnell in Probleme, wenn sich die Verteilungspunkte ändern. zu 3) Die SubCAs können keine Sperrlisten für die jeweils andere CA ausstellen - jede Datenbank arbeitet für sich. D.h. für richtige Ausfallsicherheit müßtet Ihr die SubCAs clustern: Installing and Configuring the CA Cluster . Viele Grüße olc Zitieren Link zu diesem Kommentar
naison 10 Geschrieben 18. Juni 2009 Autor Melden Teilen Geschrieben 18. Juni 2009 Vielen Dank für die Aufklärung, bringt mich weiter. Zitieren Link zu diesem Kommentar
Lian 2.490 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Zu 3.): Beim Thema Clustern einer CA: Windows Server Customer Engineering : To Cluster or Not to Cluster CAs Sowie: Download details: Configuring and Troubleshooting Certification Authority Clustering in Windows Server 2008 hth Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.