smigi 10 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Hallo Board! Ich versuche gerade eine two tier CA aufzusetzen. Es sind folgende anforderungen gestellt: Das überprüfen und zurückziehen von Zertifikaten muss funktionieren. Die Root CA darf keinerlei CRL Funktionalitäten haben. Computer und Benutzer der Domäne sollen automatisch zertifiziert werden. Ebenso Computer die sich nicht in der Domäne befinden. Der Webserver benötigt ein Wildcard Zertifikat. Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen. Die Root CA gegen Missbrauch absichern. Tow tier funkt schon so weit: RootCA hat keinerlei CRL Funktionalitäten. Ich habe ein Zertikat das der Selbständigen CA vertraut, welche ausserhalb der Doäne steht. Ich habe ein rootCA. Computer und Benutzer in der Domäne bekommen automatisch Zertikate ( GPO ) Wildcard klappt nicht, weil : The rvocation function was unable to check revocation for the certificate. 0x80092012 ( -2146885614 CRYPT_E_NO_REVOCATION_CHECK ): Bei punkten 1,4, 5, stehe ich voll an. Punkt 6 habe ich mir noch nicht genau angesehen. Mache ich zwischendurch. 1,4,5 sind wichtiger. Wie kann ich diese erledigen. Bitte euch um Hilfe. Meine Internetsuche ist ausgeschöpft. Vielen Dank im Voraus. Zitieren Link zu diesem Kommentar
smigi 10 Geschrieben 28. Februar 2017 Autor Melden Teilen Geschrieben 28. Februar 2017 Niemand eine Ahnung??? Habe das Thema zu Windows Server verschoben. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Moin, na, du bist aber ungeduldig. Es gehört nicht grad zum guten Ton, schon nach wenigen Stunden zu maulen. Du weißt schon, dass das hier ein ehrenamtliches Board ist? Deine Anforderungsliste ist teilweise unrealistisch, in anderen Teilen handelt es sich um Selbstverständlichkeiten. Handelt es sich um einen Testaufbau, oder soll das was Produktives werden? Das überprüfen und zurückziehen von Zertifikaten muss funktionieren. selbstverständlich irgendwie. Nur beißt sich das mit dem zweiten Punkt: 2. Die Root CA darf keinerlei CRL Funktionalitäten haben. CRL-Funktionen sind unabdingbar. Was du wahrscheinlich meinst, ist ein Speicherort für die CRL, der nicht auf demselben Server liegt. Das berücksichtigt man bereits beim Design. Anscheinend hast du erst angefangen und machst dir währenddessen Gedanken - das wird bei einer PKI-Struktur nicht funktionieren. 4. Ebenso Computer die sich nicht in der Domäne befinden. Geht so nicht, jedenfalls nicht ohne Weiteres. Anhand wessen sollte die CA entscheiden, ob sie dem Computer ein Zertifikat geben darf? 6. Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen. 7. Die Root CA gegen Missbrauch absichern. Beides völlig unabdingbar. Ohne einen Plan dafür fängt man sowas nicht an. Informationen dazu gibt es genug, auch kostenlos im Web. Ansonsten empfehle ich das Buch von Brian Komar, gibt es nur noch gebraucht oder als E-Book, ist aber immer noch die beste Quelle zu dem Thema. Gruß, Nils Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Hallo, Habe das Thema zu Windows Server verschoben. nur Moderatoren können Themen bei Bedarf verschieben, wir bleiben bitte mit dem Thema hier. Doppelte Beiträge zu einem Thema macht das Forum unübersichtlich. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Wieso benötigt der Webserver ein Wildcard Zertifikat? Nutze ein SAN Zertifikat oder SNI. Zitieren Link zu diesem Kommentar
smigi 10 Geschrieben 28. Februar 2017 Autor Melden Teilen Geschrieben 28. Februar 2017 @ Duke: Damit man alle Subdomains unter einer Hauptdomain abzusichern kann. @Nils: Danke für die Tipps. 7. Die Root CA gegen Missbrauch absichern - Wird abgeschaltet ( = ganz sicher vom Netz aus ) 4. Ebenso Computer die sich nicht in der Domäne befinden - das macht jemand beim ersten verbinden vor ort. Dann sollte es von alleine funktionieren. 2. Die Root CA darf keinerlei CRL Funktionalitäten haben - diese ist ja extern und dann offline. Wird nicht funktkionieren. Aber es muss doch möglich sein, CRLs auf der Internen CA zu erzeugen und abzulegen? Von Brian Komar gibt es auf Amazon einiges. Deutsch wäre mir lieber. Könntst Du da etwas empfehlen? Danke. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Moin, naja, ein bisschen mehr muss man schon tun, um eine PKI abzusichern. Die besteht ja nicht nur aus der Root-CA. Und auch für die Root braucht es noch ein paar Dinge - gesicherter Zugriff, Update-Verfahren usw. Computer außerhalb der Domäne - klar, wenn man das manuell macht, kann man Zertifikate anfordern und einbinden. (Wozu sollen die denn eigentlich dienen?) Danach geschieht da aber auch nichts von selbst. Das ginge nur mit Domänenmitgliedern. Und die CRL muss eine Root-CA selbstverständlich veröffentlichen und aktualisieren können. Das gehört zum Betriebskonzept der PKI und muss schon im Design berücksichtigt werden. Üblich ist ein Webserver, der intern wie extern erreichbar ist. Ohne CRL-Check werden Zertifikate nicht akzeptiert. Das Buch von Brian Komar (es gibt nur eins, was da in Frage kommt) ist das einzige wirklich empfehlenswerte, das ich kenne. Auch wenn es nicht schön ist, kommt man bei solchen Spezialthemen leider ohne Englisch nicht weit. Gruß, Nils Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 (bearbeitet) Das Buch von Brian Komar gibt es auch auf deutsch. Allerdings inzwischen nur noch als ebook, nicht mehr auf Papier. bearbeitet 28. Februar 2017 von tesso Zitieren Link zu diesem Kommentar
smigi 10 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 Hallo und gutn Morgen! @ Tesso/Nils : Wenn ihr mir den Titel des Buches verraten könntent wäre es super. Die Anforderungen die dieses Projekt hat, habe ich schon angegeben. Meine Überlelgungen dazu wären diese: Eine domäne mit mehreren sub-Domänen: dev., test, prod, .... . Deswegen ein wildcart-zertifikat Ca. 2 Tsd Kassen in ganz Österreich. Kassen sollen eine gesicherte Verbindung aufbauen und keinen Tunnel über diverse Hardware bis jetzt. Shops werden in der Zentrale ausgerollt und würdendas Zertifikat schon vorinstalliert bekommen. Dieses würde sich auf einer extra Platine mit extra Schutz befinden. Aufgestellt und eingeschaltet können sich diese gleich mit der Zentralle verbinden. Aussenstehende CA aus folgenden Gründen: wird das Zertifikat veruntreut genügt es die externe CA hoch zu fahren und das alte Zert wieder auszustellen. Somit müsste ich nicht bei den Kassen das Zerifikat "zu Fuss ausrollen". Externe CA vor Missbrauch schützen ist einfach:Nachdem das RootCA und das intermediate Zertifkat ausgestellt ist, kann ich diese herunterfahren, vom Netz nehmen und sogar ev. noch wo versperren. Deswegen keine CRLs. Weil ja die CA nicht mehr da ist. Ich habe mal eine Testumgebung nach diesem Beispiel aufgebaut: two-tier-pki-hierarchy Zu Punkt 6 und 7: Deasaster Recovery: Tägliches Backup der hier vorkommenden Server auf ein Store in Aussenstelle zu ziehen und im Deasaster-Fall diese vier Server schnell wiederstellen. Damit könnten die Kassen connecten und wieder arbeiten. Bzw. diese Vier Server auf einem anderen Standort redundant halten. Das ganze sollte meiner Meinung nach lösbar sein. Bei dem oben angeführten LAB-Beispiel schmeisst es mich auf bei fehlenden CRLs. Wie bekomme ich die in der Domäne wieder zum Laufen? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 (bearbeitet) Ein wildcard certificate greift für verschiedene hosts der selben Domain und nicht für verschiedene hosts von Diversen subdomains afaik. Crl: wenn für die Root keine crl so bekannt sind, wie sperrst du dann die sub-ca? bearbeitet 1. März 2017 von NorbertFe Zitieren Link zu diesem Kommentar
smigi 10 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 Ich habe in diversen Artikeln gelesen, dass das wildcart certifcate für domäne mit subdomains geeignet sei. Das mit den CRLs weiss ich selber noch nicht. Auf der externen CA brauche ich diese nicht. Auf der Internen mit dem issuing certifcate müsste ich ev. für die Domain ein eigenes erstellen? Dürfte ich bitte noch den Titel von dem Buch erfahren? Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Wieviele hat Brian komar denn geschrieben? Zitieren Link zu diesem Kommentar
smigi 10 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 Ja, sorry. Das waren die Vorschläge von Amazon, die ich als seine Bücher gehalten habe. Danke, das nich lieferbar Zitieren Link zu diesem Kommentar
Orangenjunge 2 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Hi, http://www.microsoft-press.de/product.asp?cnt=product&id=mse-5648 Grüße, Marc Zitieren Link zu diesem Kommentar
smigi 10 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 (bearbeitet) Ok. Super, Vielen Dank Orangenjunge. =========================================================================================================================== Hi Board! Das Buch ist toll. Tortzdem bräuchte ich bitte noch etwas eurer Hilfe. Wie kann ich Zertifikate überprüfen und zurückziehen. Und wie kann ich die Clients ausserhab der Domäne zertifizieren. Ist das überhaupt möglich? Ach, noch was: Wie kann ich Zertifikate aus den Vorlagen issuen? Danke jetzt schon. bearbeitet 1. März 2017 von smigi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.