Peterzz 11 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Hallo, wir beabsichtigen eine Unternehmenszertifizierungsstelle in unserem AD zu installieren, da wir demnächst auf Exchange 2013 migrieren wollen und eigene Webserver (nur im internen Netz) mit SSL-Zertifikaten ausstatten wollen – so der Plan. Wir wollen die CA auf einen 2012R2 DC (Domänenfunktionsebene ist 2008) installieren, der noch andere Dienste wie DNS, DHCP, Netzwerkrichtlinienserver inne hat. Dazu habe ich einige Fragen: Welche Rollendienste werden meine Anforderungen (erstmal Exchange 2013 und interne Webdienste über ssl) benötigt? Bei der Installation kann man unter Sicherheit z.B. „Authentifizierung über Clientzertifikatzuordnung“, „Standardauthentifizierung“ oder „Unterstützung zentraler SSL-Zertifikate“ und noch einiges mehr anhaken. Bei der Option Kryptografieoption kann man unter zig Kryptografieanbieter auswählen. Sollte man hier den Defaultwert „ RSA#Microsoft Softwaer Key Storage Provider“ mit einen Keylänge von 2048 lassen? Sollte der Haken bei „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen“ wegelassen werden? Sollte der Servername in dem Allgemeinen Namen der CA stehen oder nimmt man lieber etwas Allgemeingültiges wie FIRMA-CA? Die Gültigkeitsdauer beträgt laut Default 5 Jahre. Spricht was dagegen diesen Wert auf z.B. 10 Jahre zu erhöhen? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 1. Ein CA Server sollte keine anderen Rollen innehaben. 2. Wie sind die _genauen_ Anforderungen an die PKI? 3. Holt euch jemanden zur Unterstützung. Ein CA Server ist schnell installiert aber um das richtig zu machen sollte man wissen was man tut. Das ist auch kein Thema für ein Forum. 1 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Hallo, Schau dir mal diesen Artikel an, da sind einige deiner Fragen beantwortet: https://technet.microsoft.com/en-us/library/hh831574.aspx Nach etwa einem Drittel des Artikels findest du eine Tabelle mit alle Cryptographic Providers. Du solltest z.b. nur einen Provider auswählen, der SHA256 unterstützt. Der Defaultwert ist OK. Auch für die anderen Fragen findest du zumindest Hinweisee.g. see: "Allow administrator interaction when the private key is accessed by the CA" "Establish a CA Name" "Verify the validity period" blub Zitieren Link zu diesem Kommentar
Peterzz 11 Geschrieben 6. Juli 2015 Autor Melden Teilen Geschrieben 6. Juli 2015 @Dukel Sollte er CA Server auch nicht auf einen DC laufen? @Blub Vielen dank für den Link, werde ich mir ansehen. Grundsätzlich sollte man doch so etwas selber konfigurieren können, mit etwas Hilfe ;-) Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Es gibt keinen "Der" CA Server. Es kommt auf die Infrastruktur an, wie viele CA Server man installiert und wo. Prinzipiell sollte man jede Funktion auf einen eigenen Server installieren. Wenn das nicht geht, dann kann man manche Maschinen mischen. DC's und CA sollte man aber nicht mit anderen Funktionen mischen. Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Hi, grundsätzlich kannst du dich auch selber operieren oder den Air Bag in deinem Auto tauschen ;) Ließ dir den Post von Dunkelmann mal durch: http://www.mcseboard.de/topic/203887-netzwerk-absichern-welche-methoden-habt-ihr-im-einsatz-8021x-dom%C3%A4nen-isolierung-mac-filter/?do=findComment&comment=1272948 Gruß Jan Zitieren Link zu diesem Kommentar
Peterzz 11 Geschrieben 6. Juli 2015 Autor Melden Teilen Geschrieben 6. Juli 2015 @Dukel Den Ausdruck CA-Server habe ich von dir übernommen ;-) Wenn ich eine CA auf einem DC installiere, dann ist meistens mindesten noch ein DNS Dienst mit drauf und für ein "saubere" Trennung von Service und Server haben wir leider nicht genug Ressourcen (jeglicher Art). @testperson Danke für den Link. Da es dort um allgemeine Netzwerksicherheit geht passt er nicht so ganz in meine Ausgangssituation. Ich benötige die CA für den zukünftigen EXCH2013 und für interne Webservices. Ob ich z.B. einen Netzwerkrichtlinienserver mal betreiben werden kann ich noch nicht sagen, möchte es aber auch nicht ausschließen. So kann sich die Anforderung an eine CA doch sehr schnell ändern und dies muss doch auch möglich sein (das Anpassen der CA an geänderter Anforderungen). Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Es ging mir da auch mehr um: ... ist es wie mit fast jeder Technik - wenn es läuft ist alles toll, wenn es Probleme gibt, sollte das notwendige Know How kurzfristig verfügbar sein... Grade bei Exchange würde ich eh ein vertrauenswürdiges gekauftes (SAN) Zertifikat nehmen (ab ca. 99€ / 3 Jahre) und je nach Anzahl der internen Webserver würde ich mir überlegen, ob ich mir die Arbeit mit einer eigenen PKI antue oder mehrere einzelne Zertifikate (ab ca. 39€ / 3 Jahre) / ein Wildcard kaufe (ab ca. 279€ / 3 Jahre). Gruß Jan Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 So kann sich die Anforderung an eine CA doch sehr schnell ändern und dies muss doch auch möglich sein (das Anpassen der CA an geänderter Anforderungen). Moin, ganz so trivial ist es nicht. Eine PKI wird auf 10 oder mehr Jahre geplant. Es sollte vorher genau überlegt werden, welche Teilnehmer aktuell und zukünftig die PKI nutzen sollen bzw. nutzen werden. Ein falscher Hashalgorythmus der Root CA ist schnell gewählt und in ein paar Wochen oder Jahren sitzt man da und darf noch mal von vorne anfangen. Bei der Laufzeit sollten auch Migrationen von Hardware und OS betrachtet werden. Wenn es nur um ein Zertifikat für den Exchange geht, würde ich das Thema lassen und einfach ein paar Euros für ein kommerzielles Zertifikat ausgeben. Die Betriebskosten einer PKI liegen deutlich über den € 30,- bis € 60,- p.a. Zitieren Link zu diesem Kommentar
Peterzz 11 Geschrieben 7. Juli 2015 Autor Melden Teilen Geschrieben 7. Juli 2015 Ok, vielen Dank an alle. Ich werde noch mal darüber nachdenken. :confused: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.