traxanos 10 Geschrieben 14. Juni 2016 Autor Melden Teilen Geschrieben 14. Juni 2016 > Und ein ein AD erstellt nicht von alleine eine CA. das haben wir doch schon geklärt > Aha, lies dir mal den Artikel genau durch. Der über SCEP? oder den aus dem Technet? > Vielleicht sortierst Du nochmal und beschreibst exakt eine Ausgangssituation uns das Zielzenario. Habe ich doch oben. > Eine Root-CA von den Windows CA-Diensten ist nicht "SelfSigned". Spielt überhaupt keine Rolle in meinem Fall. Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie. Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen. Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie. Natürlich geht das. Du mußt es nur so konfigurieren! Das geht aber nicht nachträglich mit deiner bereits bestehenden Root-CA, weil das dem Gedanken einer PKI (vertrauenswürdiges Ausstellen von Zertifikaten) entgegen steht. BEdeutet für dich also , dass du eine zusätzliche CA im AD installieren mußt. Ob du deine bestehende Root-CA unter Windows bestehen läßt ist egal. Du kannst im AD mehrere AD-integrierte CAs haben. Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen. Mußt du ja nicht. Hab ich dir oben ja auch schon geschrieben. Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann. Wofür willst du den denn nutzen? Bye Norbert Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Du hast immer noch nicht beantwortet, was bei Euch der SCEP-Server ist. Wenn Du eine neue RootCA erstellt, müssen alle Zertifikate von dieser CA abgeleitet werden (ist ja logisch, oder?). "SelfSigned" hats Du selber geschrieben. Einer der Gründe, warum wir nur Bahnhof verstehen. In dem von Dir verlinkten Artikel steht, dass auch eine Windows-CA das SCEP-Protokoll unterstützt (wenn man die Option mit installiert). Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Grundsätzlich kann Windows SCEP. @TraxanoS Es wird hier im Thread gerade etwas unübersichtlich. Du würfelst einiges an Begrifflichkeiten durcheinander bzw. formulierst missverständlich. Bei einer PKI ist die Technik selten der problematische Teil. Viel wichtiger sind klar definierte Anforderungen und die zugehörigen Prozesse. Ich würde so ein Projekt mit einem Lastenheft starten. Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben: Windows Server 2008 PKI and Certificate Security ISBN-10: 0735625166 ISBN-13: 978-0735625167 Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben: Windows Server 2008 PKI and Certificate Security ISBN-10: 0735625166 ISBN-13: 978-0735625167 Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 Ich habe das Buch als PDF bei mspress gekauft. Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 15. Juni 2016 Autor Melden Teilen Geschrieben 15. Juni 2016 @zahni SelfSigned schreibe ich nur dazu weil in der Vergangenheit alle immer glauben wir wären eine offizielle CA, wenn wir von RootCA sprechen. Sorry für meine unglückliche Ausdrucksweise. Zu Thema SCEP: Wir planen intern einen SCEP-Server aufzustellen, da wir hunderte Geräte (Router, Switche, Firewalls, Server) manuell mit Zertifikaten ausstellen. Jetzt kam die Idee auf, ob die AD bzw. die Domänenmitglieder nicht auch direkt die Zertifkate beim zentralen SCEP-Server beantragen kann. (Sprich also ohne Windows CA). Das die Windows Zertifikatsdienste SCEP selber anbieten können, hatte ich bereits gelesen gehabt. Meine Frage zielte auf das Konsumieren eines anderen SCEP-Servers. @dunkelmann Am liebsten würde ich überhaupt keine Windows CA mehr verwenden, da wir selber alles mit OpenSSL verwalten und darin auch Experten sind. Dennoch danke für den Tipp mit den Büchern. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 15. Juni 2016 Melden Teilen Geschrieben 15. Juni 2016 Du könntest Dir vielleicht mal SSCEP anschauen. https://github.com/certnanny/sscep Wie gut das funktioniert und wie Aufwändig die Implementierung im Vergleich zu einer Windows Sub CA mit Autoenrollment per Gruppenrichtlinie ist kann ich objektiv nicht bewerten. Vom Gefühl her behaupte ich mal: deutlich aufwändiger Zitieren Link zu diesem Kommentar
traxanos 10 Geschrieben 15. Juni 2016 Autor Melden Teilen Geschrieben 15. Juni 2016 @dunkelmann, sscep kenne ich. Als Gegenstück ist OpenSCEP (Server) in Prüfung. Wie gut das funktioniert und wie Aufwändig die Implementierung im Vergleich zu einer Windows Sub CA mit Autoenrollment per Gruppenrichtlinie ist kann ich objektiv nicht bewerten. Vom Gefühl her behaupte ich mal: deutlich aufwändiger Ja das vermute ich auch, daher werde ich wohl auch wie ursprünglich geplant auf eine Sub CA direkt in der AD setzen. Mal schauen, ggf. nutzen wir sogar die SCEP Funktion von MS statt OpenSCEP. Wenn ich das richtig verstanden habe benötigt ja per Default die AD überhaupt kein eigene CA. So dass ich die aktuelle CA erstmal entfernen werden (inkl. Deprovisionierung) Sind aktuell nur 10 Zertifkate überhaupt noch gültig die ausgestellt wurden. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 15. Juni 2016 Melden Teilen Geschrieben 15. Juni 2016 Ich würde schon vorher schauen was für Zertifikate existieren und wofür sie genutzt werden. Das AD funktioniert ohne CA. Ich kenne auch keine AD-Installation bei der eine CA mit installiert wird. Das kenne ich nur vom SBS und ich meine das Foundation-Feature macht das auch. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen.Ich Ich kann dir meine Onlinelinks geben, unter denen es, jedenfalls meiner Meinung nach, ebenfalls hervorragende Papers gibt www.faqs.org/faqs/cryptography-faq (!) www.schneier.com/paper-pki.html www.verisign.com/enterprise/library www.entrust.com/resourcecenter Eine schöne Aufgabe für einen Azubi, sich da durchzuwühlen Sofern jemand weitere gute Links zum Thema PKI/ Crypto kennt oder findet, immer her damit! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 Moin, Marc hat auch schon einiges geschrieben: http://www.it-training-grote.de/blog/?cat=54 ;) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 Und die Installation und die "Best practice" sind bis zum erbrechen im Technet beschrieben... Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 Kein Buch, aber ein nettes Spielzeug: https://www.cryptool.org/de/cryptool2 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 Noch der Link: https://technet.microsoft.com/en-us/library/hh831574(v=ws.11).aspx Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.