Jump to content

Eigene RootCA in der AD bereitstellen.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

> Und ein ein AD erstellt nicht von alleine eine CA.

das haben wir doch schon geklärt

 

> Aha, lies dir mal den Artikel genau durch. 

Der über SCEP? oder den aus dem Technet?

 

> Vielleicht sortierst Du nochmal und beschreibst exakt  eine Ausgangssituation uns  das Zielzenario.

Habe ich doch oben.

 

> Eine Root-CA von   den Windows CA-Diensten ist nicht "SelfSigned".

Spielt überhaupt keine Rolle in meinem Fall.

 

Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie. Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen.

 

Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.

Link zu diesem Kommentar

Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie.

Natürlich geht das. Du mußt es nur so konfigurieren! Das geht aber nicht nachträglich mit deiner bereits bestehenden Root-CA, weil das dem Gedanken einer PKI (vertrauenswürdiges Ausstellen von Zertifikaten) entgegen steht. BEdeutet für dich also , dass du eine zusätzliche CA im AD installieren mußt. Ob du deine bestehende Root-CA unter Windows bestehen läßt ist egal. Du kannst im AD mehrere AD-integrierte CAs haben.

 

Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen.

Mußt du ja nicht. Hab ich dir oben ja auch schon geschrieben.

 

Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.

Wofür willst du den denn nutzen?

 

Bye

Norbert

Link zu diesem Kommentar

Du hast immer noch nicht beantwortet, was bei Euch der SCEP-Server ist. Wenn Du eine neue RootCA erstellt, müssen alle Zertifikate von dieser CA abgeleitet werden (ist ja logisch, oder?). "SelfSigned" hats Du selber geschrieben. Einer der Gründe, warum wir nur Bahnhof verstehen.

In dem von Dir verlinkten Artikel steht, dass auch eine Windows-CA das SCEP-Protokoll unterstützt (wenn man die Option mit installiert).

Link zu diesem Kommentar

Grundsätzlich kann Windows SCEP.

 

@TraxanoS

Es wird hier im Thread gerade etwas unübersichtlich. Du würfelst einiges an Begrifflichkeiten durcheinander bzw. formulierst missverständlich.

Bei einer PKI ist die Technik selten der problematische Teil. Viel wichtiger sind klar definierte Anforderungen und die zugehörigen Prozesse.

 

Ich würde so ein Projekt mit einem Lastenheft starten.

 

Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben:

Windows Server 2008 PKI and Certificate Security

  • ISBN-10: 0735625166
  • ISBN-13: 978-0735625167
Link zu diesem Kommentar

Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben:

Windows Server 2008 PKI and Certificate Security

  • ISBN-10: 0735625166
  • ISBN-13: 978-0735625167

 

 

Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen.

Link zu diesem Kommentar

@zahni

SelfSigned schreibe ich nur dazu weil in der Vergangenheit alle immer glauben wir wären eine offizielle CA, wenn wir von RootCA sprechen. Sorry für meine unglückliche Ausdrucksweise.

 

Zu Thema SCEP:

Wir planen intern einen SCEP-Server aufzustellen, da wir hunderte Geräte (Router, Switche, Firewalls, Server) manuell mit Zertifikaten ausstellen. Jetzt kam die Idee auf, ob die AD bzw. die Domänenmitglieder nicht auch direkt die Zertifkate beim zentralen SCEP-Server beantragen kann. (Sprich also ohne Windows CA). Das die Windows Zertifikatsdienste SCEP selber anbieten können, hatte ich bereits gelesen gehabt. Meine Frage zielte auf das Konsumieren eines anderen SCEP-Servers.

 

@dunkelmann

Am liebsten würde ich überhaupt keine Windows CA mehr verwenden, da wir selber alles mit OpenSSL verwalten und darin auch Experten sind. Dennoch danke für den Tipp mit den Büchern.

Link zu diesem Kommentar

@dunkelmann,

 

sscep kenne ich. Als Gegenstück ist OpenSCEP (Server) in Prüfung.

 

 

 

Wie gut das funktioniert und wie Aufwändig die Implementierung im Vergleich zu einer Windows Sub CA mit Autoenrollment per Gruppenrichtlinie ist kann ich objektiv nicht bewerten. Vom Gefühl her behaupte ich mal: deutlich aufwändiger

 

Ja das vermute ich auch, daher werde ich wohl auch wie ursprünglich geplant auf eine Sub CA direkt in der AD setzen. Mal schauen, ggf. nutzen wir sogar die SCEP Funktion von MS statt OpenSCEP.

 

Wenn ich das richtig verstanden habe benötigt ja per Default die AD überhaupt kein eigene CA. So dass ich die aktuelle CA erstmal entfernen werden (inkl. Deprovisionierung) Sind aktuell nur 10 Zertifkate überhaupt noch gültig die ausgestellt wurden.

Link zu diesem Kommentar

Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen.Ich

 

Ich kann dir meine Onlinelinks geben, unter denen es, jedenfalls meiner Meinung nach, ebenfalls hervorragende Papers gibt

 

www.faqs.org/faqs/cryptography-faq  (!)

www.schneier.com/paper-pki.html

www.verisign.com/enterprise/library

www.entrust.com/resourcecenter

 

Eine schöne Aufgabe für einen Azubi, sich da durchzuwühlen biggrin.gif

 

Sofern jemand weitere gute Links zum Thema PKI/ Crypto kennt oder findet, immer her damit!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...