Wie konfiguriere ich Active Directory Zertifikatsdienste richtig?

[maile3241 0]

Guten Abend,

 

ich bin ein IIS Neuling und möchte gerne für meine Webseiten eine Stammzertifizierungsstelle konfigurieren nur irgendwie bekomme ich das nicht zum laufen eventuell mache ich etwas falsch. 

Wie installiere ich Active Directory Zertifikatsdienste richtig und wie konfiguriere ich sie? Brauche ich einen zusätzlichen Server?

Ich möchte, dass das Root Zertifikat die Webseite mit dem Namen erkennt. 

Ich nutze Windows Server 2012 R2 Standard

 

Mit freundlichen Grüßen

[NorbertFe 2.034]

vor 15 Minuten schrieb maile3241:

mache ich etwas falsch. 

Vermutlich. Wo willst du die denn installieren?

 

vor 16 Minuten schrieb maile3241:

Ich möchte, dass das Root Zertifikat die Webseite mit dem Namen erkennt. 

Häh? Sicher, dass du das Prinzip mit den Zertifikaten usw. verstanden hast?

 

vor 17 Minuten schrieb maile3241:

Brauche ich einen zusätzlichen Server?

Sehr wahrscheinlich. Wieso willst du denn mit eigenen Zertifikaten arbeiten?

[testperson 1.677]

Hi,

 

wenn es hier um einen (Web)Server mit einer oder ein Hand voll Website geht, dann spar die die CA und alles was daran hängt und kauf ein Zertifikat einer öffentlichen Zertifizierungsstelle (bspw. bei der PWS Group). Wenn es absolut kein Geld - außer Manpower - kosten darf, schau dir Let's Encrypt o.ä. Anbieter an.

 

Gruß

Jan

[daabm 1.354]

Vielleicht will der TO nicht wirklich eine AD-integrierte CA aufsetzen - da gibt's etliche böse Fallen https://blog.harmj0y.net/activedirectory/certified-pre-owned/

[NilsK 2.934]

Moin,

 

auf Anforderung von Evgenij sagte ich vor ein paar Monaten: "PKI ist böse."

 

Wie die anderen vermute ich auch, dass der TO gar keine PKI will, sondern Webserver-Zertifikate. Die kann man einfacher, sicherer und günstiger haben, wie auch schon ausgeführt wurde. Ich empfehle das sehr.

 

Mit PKIs kann man so dermaßen viel falsch machen, dass man es lieber bleiben lässt, wenn man es nicht wirklich braucht.

 

Gruß, Nils

 

[cj_berlin 1.315]

vor 20 Stunden schrieb NilsK:

auf Anforderung von Evgenij sagte ich vor ein paar Monaten: "PKI ist böse."

[daabm 1.354]

Letzte Woche auf nem Talk aufgeschnappt: "We can invent things. But we cannot un-invent them". Anders formuliert: Die AD-integrierte PKI ist da, sie verschwindet nicht einfach wieder

[NorbertFe 2.034]

Muss sie ja auch nicht. Man könnte sie natürlich verbessern. ;) Vor allem im Handling und der Verwaltung. Aber das will ja offensichtlich auch niemand mehr bei MS. :/

[NilsK 2.934]

Moin,

 

Das bringt kein Geld mehr ein. Und es ist nicht zu erwarten, dass der Bedarf an lokalen PKIs noch deutlich steigt.

 

Gruß, Nils

[maile3241 0]

Am 29.7.2022 um 07:50 schrieb testperson:

Hi,

 

wenn es hier um einen (Web)Server mit einer oder ein Hand voll Website geht, dann spar die die CA und alles was daran hängt und kauf ein Zertifikat einer öffentlichen Zertifizierungsstelle (bspw. bei der PWS Group). Wenn es absolut kein Geld - außer Manpower - kosten darf, schau dir Let's Encrypt o.ä. Anbieter an.

 

Gruß

Jan

Ich habe es mit lets encrypt versucht, aber es kann kein Zertifikat erstellen, da der Webseitenname schon vergeben ist. Ich muss also ADCS verwenden. Ich habe einige Videos gesehen, die "Unternehmenszertifizierungsstelle" angewählt haben, bei mir ist diese Option ausgegraut.

[testperson 1.677]

vor 41 Minuten schrieb maile3241:

Ich habe es mit lets encrypt versucht, aber es kann kein Zertifikat erstellen, da der Webseitenname schon vergeben ist.

Das heißt jetzt genau was? Das wird sich aber mit Sicherheit lösen oder zumindest "umschiffen" lassen. Die Option ein Zertifikat bei einer öffentlichen CA zu erwerben ist ja auch noch da.

 

vor 42 Minuten schrieb maile3241:

Ich muss also ADCS verwenden.

Das denke ich nicht.

[NilsK 2.934]

Moin,

 

Ein einzelnes Webserver-Zertifikat (oder auch ein paar) kann man auch viel einfacher erzeugen als mit einer CA, die man nur für den Zweck einrichten würde. Das wäre nebenbei auch erheblich sicherer, weil man eben keine ganze PKI mit sich rumschleppt, die im Zweifel schlecht konfiguriert ist.

 

Hier ein Beispiel, das allerdings schon etwas älter ist:

https://www.faq-o-matic.net/2008/11/14/ssl-zertifikate-fr-den-iis-mit-openssl/

 

Gruß, Nils

bearbeitet 1. August 2022 von NilsK

[NorbertFe 2.034]

vor 4 Stunden schrieb NilsK:

Moin,

 

Das bringt kein Geld mehr ein. Und es ist nicht zu erwarten, dass der Bedarf an lokalen PKIs noch deutlich steigt.

 

Gruß, Nils

Ja ist mir klar, aber wenn’s danach geht, hat die Funktion in Windows noch nie Geld gebracht, denn seit 2003 haben sich nur die Vorlagen geändert afair. Alles andere war dann schon drin. Ocsp eventuell noch etwas später.

[NilsK 2.934]

Moin,

 

Tja, kann man mal sehen. Vielleicht hat Microsoft damals auch festgestellt, dass das ganze PKI-Gelöt von vorn bis hinten krank ist und lässt daher jetzt die Finger davon. 

 

Gruß, Nils

[NorbertFe 2.034]

dann hätten sie sicherlich andere Sachen wie WINS schon früher fallen gelassen. Ich verstehe deinen Grundgedanken dabei ja durchaus. Nur gibt es, wie schon öfter angesprochen, auch keine wirkliche Alternative, die derzeit Ersatz böte. Insofern kann man zwar immer von "Mach ich mit 3rd Party" oder Externen Zertifikaten sprechen, aber auch da muss sich ja mal jemand Gedanken gemacht haben. ;) Ich bin jedenfalls immer froh, wenn ich interne CAs zur Verfügung habe, weil sonst nicht mal LDAPs im AD funktioniert. Ich weiß, heutzutage braucht ja niemand mehr ein AD, aber ich bin halt Legacy Mensch. ;)