traxanos 10 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Hallo Zusammen, wir betreiben eine eigene (SelfSigned) Root CA mit mehren Intermediate-Zertifikate für verschiedene Dienste (z.B. VPN, SSL) Jetzt haben wir aktuell eine AD mit einer extra RootCA welche damals automatisch generiert wurde. Jetzt stellt sich die Frage, ob wir für die AD ein eigenes Intermediate-Zertifikate auf Basis unserer Root CA erstellen und verwenden können. Auch ist die Fragen, ob ein Wechsel im laufenden Betrieb Probleme mit den Windowsrechner gibt (in AD eingebunden). Suche schon seit einigen Wochen nach einer Möglichkeit und bin leider weger bei Google, MSDN noch hier im Forum fündig geworden. Vielleicht hat jemand einen Tipp / Idee. Gruß Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Moin, kannst Du die Situation vielleicht etwas strukturierter beschreiben? Ich zitiere mal Deine Signatur "...ÄH was???..." ;) Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 (bearbeitet) Also wir betreiben selber eine eigene RootCA und möchte das alles von dieser abgeleitet wird. Das Funktioniert auch wunderbar, z.B. hat unser OpenVPN-Server ein eigenes Intermediate-Zertifikate für die Verwaltung der Benutzerzertifikate. Oder für unseren ganzen Webanwendungen haben wir ebenfalls ein extra Intermediate-Zertifikate um eigene SSL-Zertifikate zu erstellen. Die einzige Ausnahme ist aktuell unsere Windows AD. Diese hat automatisch bei der Einrichtung eine eigene RootCA erstellt bekommen. Jetzt möchten wir aber gerne das die Windows AD ein Intermediate-Zertifikate von unserer RootCA verwendet, so dass alle Zertifikate die in der AD ausgestellt werden, mit unserer RootCA verifiziert werden kann. Leider kann ich aber nirgends ein Zertifikat hochladen. Lediglich die Erstellung einer neuen CA kann ich veranlassen, aber ohne irgendwelche Parameter. Mir ist es dabei egal, ob die AD mir ein CSR bereitstellt oder ich selber direkt das Intermediate-Zertifikate erstelle. Nur finde weder für die eine noch für die andere Variante Option. EDIT: Wir verwenden aktuell noch Windows Server 2008 R2 bearbeitet 14. Juni 2016 von traxanos Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Also automatisch erstellt aber kein AD ne Root CA. Ich würd also erstmal nachschauen, welche Zertifikate die schon ausgestellt hat. Und ja, du kannst natürlich im AD eine untergeordnete (intermediate) AD-integrierte CA erstellen. Ich würd dafür übrigens nicht den DC empfehlen. ;) Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 Natürlich stellt eine AD immer eine RootCA aus (selfsigned) und erstellt auf Basis dieser z.B. Benutzer- und Computerzertifikate. Ggf. gibt es hier ein ein Problem was man unter einer RootCA versteht. Ich versteh darunter jede CA die keine übergeordnete CA mehr hat. Und nein ich möchte unter dieser WindowsCA kein Intermediate anlegen. Wir sind Provider und betreiben wie gesagt unsere eigene RootCA und möchte das diese WindowsCA als Intermediate unser RootCA läuft und nicht anders rum. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 (bearbeitet) Nein stellt sie nicht. Wenn ich eine Domain erstellt gibt's noch lange keine CA. Kannst du mir glauben. ;) Und ich benutze dazu keine Tricks und Kniffe. Und ja, eine Root-CA ist das, was eine Root-CA ist und die ist selbstverständlich selbstsigniert. ;) Und wenn ihr die Windows CA als Sub-CA haben wollt, dann müßt ihr die so konfigurieren. Nur kannst du nachträglich meines Wissens nach keine Root-CA unter eine andere hängen. Wäre dann nicht sehr vertrauenswürdig. bearbeitet 14. Juni 2016 von NorbertFe Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 Also ich habe die aber die CA nie angelegt! Sie war vom ersten Tag da. Und alle Rechner haben direkt Zertifkate nach dem einhängen bekommen. Ob das durch den Wizard damals von MS mit angelegt wurde oder so - keine Ahnung. Aber es spielt ja auch keine Rolle. Die CA ist ja nun da. Und die Frage ist wie kann ich diese austauschen gegen eine von unser CA ist bzw. signiert wurden? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Deinstallieren und eine neue hochziehen. Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 Die komplette AD? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Nee die CA. Worüber reden wir hier überhaupt? ;) Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Die nicht mehr erwünschte Root CA sollte sauber stillgelegt werden http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx Vorher, parallel oder ggf. später könnte man eine AD-integrierte Sub CA in Betrieb nehmen. Den idealen Zeitpunkt und das genaue Vorgehen müsste man im Zuge der Projektierung ermitteln. Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 @dunkelmann das hilft mir weiter. Mal so eine zusätzliche Frage, kann die AD auch direkt einen SCEP Server ansprechen? Weil dann Spare ich mich mir den Aufwand und könnte direkt unsere eigene CA-Verwaltung ansteuern. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Du hast eine "SelfSigned) Root CA mit mehren Intermediate-Zertifikate" ß Wie soll das denn gehen? Was ist ein SCEP? Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 (bearbeitet) @zahni Warum soll das nicht gehen, jede große CA macht das auch? EDIT: Hier eine Erklärung was SCEP ist. https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol bearbeitet 14. Juni 2016 von traxanos Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Aha, lies dir mal den Artikel genau durch. Und ein ein AD erstellt nicht von alleine eine CA. Vielleicht sortierst Du nochmal und beschreibst exakt eine Ausgangssituation uns das Zielzenario. Eine Root-CA von den Windows CA-Diensten ist nicht "SelfSigned". Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.