AD Zertifizierungsstelle Nachträglich installieren.

[Olise 0]

Hallo,

ich möchte in unserem Netzwerk die AD Zertifizierungsstelle installieren.

Noch läuft keine ... Welche Probleme sind zu erwarten?

 

Dankeschön

 

[NorbertFe 2.027]

vor 14 Minuten schrieb Olise:

Welche Probleme sind zu erwarten?

Äh... Kommt darauf an. Wieviel Know How hast du denn?

Ich würde ja bei "Was ist die Anforderung, die ich mit einer Zertifizierungsstelle lösen möchte?" beginnen und alles weitere hängt dann davon mehr oder weniger ab. :)

[Olise 0]

vor 2 Minuten schrieb NorbertFe:

Äh... Kommt darauf an. Wieviel Know How hast du denn?

Ich würde ja bei "Was ist die Anforderung, die ich mit einer Zertifizierungsstelle lösen möchte?" beginnen und alles weitere hängt dann davon mehr oder weniger ab. :)

Ich weis was eine PKI ist  wie zertifikate funktionieren.

Ich möchte einen https Proxy einrichten, transparent, und über die pki das zertifikat vom proxy bekannt machen.

Generell würde ich ja sagen, das eine pki im AD Netzwerk von vorteil ist.

(Ich habe ne 2012 Zertifizieren, arbeite als admin in einem Internen Netz, nicht als Dienstleister, deshalb frage ich lieber nach

Andere Medien einfügen

[NorbertFe 2.027]

vor 2 Minuten schrieb Olise:

Ich möchte einen https Proxy einrichten, transparent, und über die pki das zertifikat vom proxy bekannt machen.

 

Welchen möchtest du denn einsetzen? Einige Lösungen bieten eine eigene CA (Sub-CA) an. Je nachdem was da möglich ist, wird die Antwort anders ausfallen.

 

vor 3 Minuten schrieb Olise:

Generell würde ich ja sagen, das eine pki im AD Netzwerk von vorteil ist.

 

Nicht unbedingt, aber möglich.

 

 

[Olise 0]

vor 2 Minuten schrieb NorbertFe:

Welchen möchtest du denn einsetzen? Einige Lösungen bieten eine eigene CA (Sub-CA) an. Je nachdem was da möglich ist, wird die Antwort anders ausfallen.

 

Nicht unbedingt, aber möglich.

 

 

Wir haben eine Securepoint UMA die einen Transparenten Proxy anbietet über https. genannt SSL-Interception. Sonst würde ich das vert per gpo verteilen ... dachte nur, eine PKI ist besser

 

[NorbertFe 2.027]

Ich gehe mal davon aus, dass die ja auch als Sub-CA arbeiten würde, und mal davon ab, wäre das der einzige Vorteil, dass das Root-Zert bei Domain Members automatisch verfügbar wäre. Ich würde mir das in dem Anwendungsfall vermutlich einfach ersparen. Es sei denn, es gibt weitere Anforderungen.

[tesso 375]

Um ein Zertifikat per GPO zu verteilen (zu habe ich es verstanden) brauchst du keine CA.

[daabm 1.348]

...und um eine CA zu betreiben, braucht man wesentlich mehr als nur die CA Stichwort AIA/CPS/xyz, da gibt's jede Menge zu beachten, wenn das Bestand haben soll.

[NorbertFe 2.027]

vor 9 Stunden schrieb daabm:

wenn das Bestand haben soll.

Das will doch niemand hören. ;)

[NilsK 2.930]

Moin,

 

um das mal einzuordnen: Es gibt eine Menge zu berücksichtigen, wenn man eine PKI sinnvoll einrichten und betreiben will. Mit kundiger und erfahrener Beratung ist das aber auch kein Hexenwerk. Eine "normale" mittelständische Umgebung braucht einen bis drei Tage Planung und einen bis drei Tage Einrichtung. Dazu vielleicht bzw. sinnvollerweise noch Einweisung/Schulung der Admins. Für typische interne Zwecke ist man dann gut gerüstet.

 

Da die ganze Technik aber leider seit Ende der Neunziger praktisch nicht weiterentwickelt wurde, ist sie wenig intuitiv. Ohne Erfahrung läuft man also Gefahr, Wichtiges zu übersehen.

 

Gruß, Nils