blub 115 Geschrieben 13. Mai 2011 Melden Teilen Geschrieben 13. Mai 2011 Vielleicht hilft dir der Artikel weiter Requirements for Domain Controller Certificates from a Third-Party CA blub Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 17. Mai 2011 Autor Melden Teilen Geschrieben 17. Mai 2011 (bearbeitet) So habs etz endlich geschafft .... Ich schreibe mal eine kleine Step by step Anleitung Zertifikat einrichten für ldap over ssl , ohne eine Zertifikatsstelle zu installieren. Linux 1. Erstellt euch unter linux ( Openssl) ... evtl geht es auch unter windows einen CA und ein Server zertifikat, nach dieser Anleitung. Erstellen eines Server-Zertifikates 2. Dann importiert mit Hilfe von openssl die zertifikate in verschiedene Formate: 2.1 CAroot in ein *.der File ( Wichtig: nicht in eines, wo der privatekey mit drinnen ist) 2.2 CAServer in ein pfx file mit Hilfe von Pvk2PfX man kann nach dieser Anleitung (Pvk2PfX teil) http://www.digitallycreated.net/Blog/38/using-makecert-to-create-certificates-for-development vorgehen. Jetzt werde ich die Sache ein wenig spalten... da das aber hier ein Win Forum ist, werde ich die Linux Seite und meine Erfahrungen nur kurz anreißen. 3.0 Windows-Client 3.1. Erstellt euch mit Hilfe der mmc Konsole ein Snapin für Zertifikate für aktueller Benutzer und für lokaler Computer. 3.2 Importiert jetzt das *der Zertifikat des RootCA auf euren Windows-client. 3.3 Da Windows in 99 % der Fälle die Zertfifikate unter dem "Aktueller Benutzer" anlegt und da unter "vertrauenswürdige Stammzertifizierungsstellen" , müssen wir jetzt noch das CARootZertifikat händisch kopieren, und in "Lokaler Computer" in "vertrauenswürdige Stammzertifizierungsstellen " ablegen. So das sollte es auf der Client Seite gewesen sein. 4.0 Windows 2008 Server 4.1 siehe 3.1 4.2 Importiert den CAServerkey auf den Windows Server ( ohne eigenes kennwort) 4.3 ähnliches problem wie in 3.3 also auch hier wieder den Serverkey kopieren, und in "Lokaler Computer" "eigene Zertifikate" ablegen. 4.4 zum schluß testen wir noch mit Hilfe des Client Computers ob wir uns per ssl auf den ldap server verbinden können, dafür benutzen wir das Programm LDP.exe ...zu finden hier (Support tools) wir können es auch Serverseitig ausprobieren, bloß wissen wir dann nicht hundertprozentig ob es auch über die Client-Server Verbindung klappt. 5.0 Linux Client: Ich kann auf linux seite nur soviel sagen, dass es bei mir Linux relativ egal war ob ein Zertifikat installiert war oder nicht. Ich habe per tshark den handshakemitgeschnitten... und es hat funktioniert. das kann aber von Anwendung zu Anwendung anders sein. Bei mir gabs ein Plugin, das auf Perl aufbaut und auf das Net-SSLeay Perl Modul .... Falls aber jemand wissen will, wie andere Awendungen die keys erkennen hier mal eine Möglichkeit zum basteln. Matthias Lohr Hier noch ein link dazu http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl ( Wichtig: wobei hier die symlink syntax vom oberen link genommen werden sollte, da sie hier falsch beschrieben ist) Anmerkungen: 1. Für Schäden ist jeder selber Verantwortlich 2. Das Howto erhebt keine Ansprüche vollständig bzw. perfekt zu sein, oder alle Eventualitäten abzudecken, da es dafür zuviele Konfigurationen und verschiedene Systemumgebungen gibt. 3. Das ganze sollte auch mit TLS funktionieren. 4. Falls jemand es mit Makecert versuchen will, bitte nur zu bloß kann ich von meiner Seite aus sagen, dass ich damit ein paar verschiedene Möglichkeiten durchgespielt habe, und keine einzige hat funktioniert. grüße skyerjoe bearbeitet 17. Mai 2011 von skyerjoe Hinzufügung Linux link Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.