Eigene RootCA in der AD bereitstellen.

[traxanos 10]

Hallo Zusammen,

 

wir betreiben eine eigene (SelfSigned) Root CA mit mehren Intermediate-Zertifikate für verschiedene Dienste (z.B. VPN, SSL) Jetzt haben wir aktuell eine AD mit einer extra RootCA welche damals automatisch  generiert wurde. Jetzt stellt sich die Frage, ob wir für die AD ein eigenes Intermediate-Zertifikate auf Basis unserer Root CA erstellen und verwenden können. Auch ist die Fragen, ob ein Wechsel im laufenden Betrieb Probleme mit den Windowsrechner gibt (in AD eingebunden).

 

Suche schon seit einigen Wochen nach einer Möglichkeit und bin leider weger bei Google, MSDN noch hier im Forum fündig geworden. Vielleicht hat jemand einen Tipp / Idee.

 

Gruß

[Dunkelmann 96]

Moin,

 

kannst Du die Situation vielleicht etwas strukturierter beschreiben?

 

Ich zitiere mal Deine Signatur "...ÄH was???..." ;)

[traxanos 10]

Also wir betreiben selber eine eigene RootCA und möchte das alles von dieser abgeleitet wird. Das Funktioniert auch wunderbar, z.B. hat unser OpenVPN-Server ein eigenes Intermediate-Zertifikate für die Verwaltung der Benutzerzertifikate. Oder für unseren ganzen Webanwendungen haben wir ebenfalls ein extra Intermediate-Zertifikate um eigene SSL-Zertifikate zu erstellen.

 

Die einzige Ausnahme ist aktuell unsere Windows AD. Diese hat automatisch bei der Einrichtung eine eigene RootCA erstellt bekommen. Jetzt möchten wir aber gerne das die Windows AD ein Intermediate-Zertifikate von unserer RootCA verwendet, so dass alle Zertifikate die in der AD ausgestellt werden, mit unserer RootCA verifiziert werden kann. Leider kann ich aber nirgends ein Zertifikat hochladen. Lediglich die Erstellung einer neuen CA kann ich veranlassen, aber ohne irgendwelche Parameter. 

 

Mir ist es dabei egal, ob die AD mir ein CSR bereitstellt oder ich selber direkt das Intermediate-Zertifikate erstelle. Nur finde weder für die eine noch für die andere Variante Option.

 

EDIT: Wir verwenden aktuell noch Windows Server 2008 R2

bearbeitet 14. Juni 2016 von traxanos

[NorbertFe 2.034]

Also automatisch erstellt aber kein AD ne Root CA. Ich würd also erstmal nachschauen, welche Zertifikate die schon ausgestellt hat. Und ja, du kannst natürlich im AD eine untergeordnete (intermediate) AD-integrierte CA erstellen. Ich würd dafür übrigens nicht den DC empfehlen. ;)

[traxanos 10]

Natürlich stellt eine AD immer eine RootCA aus (selfsigned) und erstellt auf Basis dieser z.B. Benutzer- und Computerzertifikate. Ggf. gibt es hier ein ein Problem was man unter einer RootCA versteht. Ich versteh darunter jede CA die keine übergeordnete CA mehr hat. Und nein ich möchte unter dieser WindowsCA kein Intermediate anlegen. Wir sind Provider und betreiben wie gesagt unsere eigene RootCA und möchte das diese WindowsCA als Intermediate unser RootCA läuft und nicht anders rum.

[NorbertFe 2.034]

Nein stellt sie nicht. Wenn ich eine Domain erstellt gibt's noch lange keine CA. Kannst du mir glauben. ;) Und ich benutze dazu keine Tricks und Kniffe. Und ja, eine Root-CA ist das, was eine Root-CA ist und die ist selbstverständlich selbstsigniert. ;) Und wenn ihr die Windows CA als Sub-CA haben wollt, dann müßt ihr die so konfigurieren. Nur kannst du nachträglich meines Wissens nach keine Root-CA unter eine andere hängen. Wäre dann nicht sehr vertrauenswürdig.

bearbeitet 14. Juni 2016 von NorbertFe

[traxanos 10]

Also ich habe die aber die CA nie angelegt! Sie war vom ersten Tag da. Und alle Rechner haben direkt Zertifkate nach dem einhängen bekommen. Ob das durch den Wizard damals von MS mit angelegt wurde oder so - keine Ahnung. Aber es spielt ja auch keine Rolle. Die CA ist ja nun da. Und die Frage ist wie kann ich diese austauschen gegen eine von unser CA ist bzw. signiert wurden?

[NorbertFe 2.034]

Deinstallieren und eine neue hochziehen.

[traxanos 10]

Die komplette AD?

[NorbertFe 2.034]

Nee die CA. Worüber reden wir hier überhaupt? ;)

[Dunkelmann 96]

Die nicht mehr erwünschte Root CA sollte sauber stillgelegt werden

http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx

 

Vorher, parallel oder ggf. später könnte man eine AD-integrierte Sub CA in Betrieb nehmen. Den idealen Zeitpunkt und das genaue Vorgehen müsste man im Zuge der Projektierung ermitteln.

[traxanos 10]

@dunkelmann

das hilft mir weiter.

 

Mal so eine zusätzliche Frage, kann die AD auch direkt einen SCEP Server ansprechen? Weil dann Spare ich mich mir den Aufwand und könnte direkt unsere eigene CA-Verwaltung ansteuern.

[zahni 554]

Du hast eine "SelfSigned) Root CA mit mehren Intermediate-Zertifikate"  ß

Wie  soll das  denn  gehen? Was ist ein SCEP?

[traxanos 10]

@zahni

 

Warum soll das nicht gehen, jede große CA macht das auch?

 

EDIT: Hier eine Erklärung was SCEP ist.

https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol

bearbeitet 14. Juni 2016 von traxanos

[zahni 554]

Aha, lies dir mal den Artikel genau durch. 

Und ein ein AD erstellt nicht von alleine eine CA.

Vielleicht sortierst Du nochmal und beschreibst exakt  eine Ausgangssituation uns  das Zielzenario.

Eine Root-CA von   den Windows CA-Diensten ist nicht "SelfSigned".