jans1612 0 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 Moin zusammen, ich habe folgendes Problem. Ich betreue eine Zentrale Management Umgebung in der unter anderem eine Windows PKI aufgebaut wurde. Diese ist Domänen integriert, Root & Sub Zertifikate werden an alle Clients der Domäne verteilt. An dieser Zentralen Umgebung sind weitere Kunden Umgebungen per Trust angebunden. Jeder Kunde hat einen eigenen DC. Nun möchte ich Root und Sub CA Zertifikate über die DCs in der Kundenumgebung an die Clients dort verteilen jedoch ohne Import der Root und SUB CA Zertifikate und ohne Verteilung per GPO in den einzelnen Umgebungen. Ist das irgendwie möglich? Danke und Gruß Zitieren Link zu diesem Kommentar
cj_berlin 1.339 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 vor 6 Minuten schrieb jans1612: jedoch ohne Import der Root und SUB CA Zertifikate und ohne Verteilung per GPO in den einzelnen Umgebungen Moin, damit ein Domänen-Rechner einer PKI vertraut, muss das Root-Zertifikat dieser PKI in seinem "Trusted Roots"-Store landen. Dafür gibt es vier Möglichkeiten: Registry = Du importierst einzeln Third Party = Microsoft importiert Group Policy = Group Policy Enterprise = DU veröffentlichst im LDAP Wenn also den Zertifikaten einer PKI in einem Forest vertraut werden soll, kannst Du zwischen den beiden unteren Varianten auswählen. Um Zertifikate zu beantragen, kannst Du natürlich Webservices einsetzen. Aber das Vertrauen muss trotzdem irgendwie hergestellt werden. In welche Richtung gehen denn die Trusts? Zitieren Link zu diesem Kommentar
jans1612 0 Geschrieben 15. Juli 2021 Autor Melden Teilen Geschrieben 15. Juli 2021 Am 13.7.2021 um 17:36 schrieb cj_berlin: Moin, damit ein Domänen-Rechner einer PKI vertraut, muss das Root-Zertifikat dieser PKI in seinem "Trusted Roots"-Store landen. Dafür gibt es vier Möglichkeiten: Registry = Du importierst einzeln Third Party = Microsoft importiert Group Policy = Group Policy Enterprise = DU veröffentlichst im LDAP Wenn also den Zertifikaten einer PKI in einem Forest vertraut werden soll, kannst Du zwischen den beiden unteren Varianten auswählen. Um Zertifikate zu beantragen, kannst Du natürlich Webservices einsetzen. Aber das Vertrauen muss trotzdem irgendwie hergestellt werden. In welche Richtung gehen denn die Trusts? Danke für die Antwort. Die Trust sind "Incoming Trusts" und dienen zur Authentifizierung in den Kunden Umgebungen. Wir veröffentlichen zurzeit schon im LDAP es gibt leider keine Option im LDAP von mehreren Domänen zu veröffentlichen. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 15. Juli 2021 Melden Teilen Geschrieben 15. Juli 2021 Moin, spätestens an dieser Stelle sollte man konkret werden und genau beschreiben, was erreicht werden soll. Sonst werden ab hier alle aneinander vorbeireden. Fangen wir mal an: Wozu sollen denn die Zertifikate verwendet werden? Warum sollen die Root- und Sub-Zertifikate "ohne Import ... und ohne Verteilung per GPO" verteilt werden? Über die Frage, ob es sinnvoll ist, Kunden-Domänen per Trust anzubinden, sprechen wir hier jetzt mal nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
jans1612 0 Geschrieben 15. Juli 2021 Autor Melden Teilen Geschrieben 15. Juli 2021 Hallo, die Zertifikate sollen verwendet werden damit die Server einem Web Server Zertifikate vom Windows Update Server vertrauen. Die Root und Sub Zertifikate sollen schon importiert werden aber am besten automatisch. Ich habe mich gefragt, ob es nicht eine Möglichkeit gibt, wie in der Domäne in der die CA steht, die Zertifikate automatisch im Active Directory und damit an allen Clients auszurollen. Damit müsste man bei einem erneuern des Sub CA Zertifikats nicht wieder alle Kunden DC anfassen. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 15. Juli 2021 Melden Teilen Geschrieben 15. Juli 2021 Moin, gut, dann müssen die Zertifikate also im Store des Computers liegen. Alle simplen Verteilmechanismen scheiden damit aus - es muss im Systemkontext oder als Admin importiert werden. Der kostengünstigste Weg wäre, dem WSUS ein kommerzielles Zertifikat zu geben, dem alle Clients von selbst vertrauen. Soll es das nicht sein, dann führt kaum ein Weg daran vorbei, die beiden Zertifikate in den Kundendomains jeweils per GPO zu verteilen, weil es sich dort ja um separate Forests handelt. Man muss dazu nicht "alle Kunden-DCs" bearbeiten, sondern nur ein GPO pro Kunde. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 16. Juli 2021 Melden Teilen Geschrieben 16. Juli 2021 Hi, falls ein Endpoint- / Client-Management vorhanden ist, könnte man damit ebenfalls die Zertifikate auf die Clients bringen. Bei einem WSUS (oder generell bei Web Services) würde ich aber nicht lange nachdenken und ein Zertifikat einer kommerziellen CA bzw. "im Worst Case" von Let's Encrypt nutzen. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.