Wildcard-Zertifikat Zertifizierungsstelle

[tsaenger 12]

Hallo zusammen,

 

ich habe heute mal eine Frage zu Zertifizierungsstellen und dessen Zertifikate.

 

Ich habe ein AD mit 2008R2 am laufen. Die Domäne dazu lautet name.abteilung.firma.de mit dem Netbiosnamen NAME.

Nun hat sich das Unternehmen aber auf eine neue URL (abt-name.de) geeinigt die sie gerne für ihren Internetauftritt und ihre Mailadressen verwenden möchte.

Ansich ist das ganze ja kein Problem, da die Domäne nicht mit dem Internetnamen zusammenhängt. Nun kommen aber die Zertifikate mit ins Spiel.

Laut des Unternehmens was uns ein Wildcard-Cert. verkauft hat, soll ich das Zertifikat in die Zertifizierungsstelle einspielen, damit meine Server die am AD hängen, sich ein neues Zertifikat anfordern können. Problem bei der Sache ist, das ich nicht nur Windows-Server sondern auch als Webserver ein Linux einsetze, welcher nicht an das AD gekoppelt ist und in einer DMZ steht.

Was muss ich also tun, damit ich das Zertifikat auf mehreren Maschienen installieren kann und es natürlich noch seine Gültigkeit behält. Laut Verkäufer darf das Zertifikat auf mehreren unterschiedlichen Geräten installiert werden.

 

Vielen Dank für eure Hilfe

 

Gruß

 

Tobias

[carlito 10]

Wofür werden die Zertifikate verwendet?

[tsaenger 12]

Hallo Carlito,

 

die Zertifikate sollen für Exchange und einige Webserver genutzt werden.

Bei EX2010 soll OWA/OAnywhere/ActiveSync verwendet werden.

 

Gruß und Danke

 

Tobias

[carlito 10]

Derzeit stellt deine CA Zertifikate auf name.abteilung.firma.de aus und du benötigst neue Zertifikate auf abt-name.de. Hab ich das soweit richtig verstanden?

[tsaenger 12]

Ja. Ich möchte allerdings weiterhin noch die Zertifikate für name.abteilung.firma.de behalten und die abt-name.de zusätzlich verwenden.

Denn abt-Name.de betrifft nur einen kleineren Teil der Server (genau die, die eben nach außen auftreten).

[carlito 10]

Du hast also eine eigene CA, deren Zertifikate du intern verwendest. Die nach außen verwendeten Zertifikate stammen von einem kommerziellen Anbieter. Korrekt?

 

Ich verstehe noch nicht ganz was die interne CA mit den zugekauften Zertifikaten zu tun hat.

[tsaenger 12]

Ja ich habe ein Zertifizierungsstelle in meinem AD.

Mein Anbieter der Zertifikate meinte zu mir, ich möge doch das gekaufte *-Zertifikat verwenden und es in meine Stammzertifizierungsstelle importieren, sodass meine Server von diesem Zertifikat sich ihre Subzertifikate erstellen könnten. Wie das gehen soll, verstehe ich eben nicht.

Wie ist denn der richtige weg, wenn ich ein *-Zertifikat für unterschiedliche Maschienen verwenden möchte?

 

Gruß

 

Tobias

[carlito 10]

Ja ich habe ein Zertifizierungsstelle in meinem AD.

Mein Anbieter der Zertifikate meinte zu mir, ich möge doch das gekaufte *-Zertifikat verwenden und es in meine Stammzertifizierungsstelle importieren, sodass meine Server von diesem Zertifikat sich ihre Subzertifikate erstellen könnten.

 

Aber deine CA lautet doch auf name.abteilung.firma.de? Was soll diese mit *.abt-name.de anfangen?

 

Wie ist denn der richtige weg, wenn ich ein *-Zertifikat für unterschiedliche Maschienen verwenden möchte?

 

Nicht anders als bei einem klassischen Zertifikat. Also wie gewohnt importieren bzw. automatisch verteilen lassen. Wenn es dir um die von außen erreichbaren Server geht wird deine interne CA doch gar nicht benötigt. Dadurch, dass es eben kein selbsterstelltes Zertifikat ist, wird es doch von den Clients, sprich Browsern u.ä. akzeptiert, ohne das du dein Root Zertitfikat vorher auf die Clients importieren musst. Deswegen die Frage was deine CA damit zu tun hat.