PKI Server aufsetzen und Zertifikate erstellen

[Thomas F. 10]

Hallo,

 

ich habe hier ein Windows2003 Server auf dem ein Domainserver läuft. Nun möchte ich auf diesen gerne ein PKI-Server aufsetzen um Zertifikate zu erstellen.

 

Ich habe im Internet folgende Anleitung gefunden:

 

A Microsoft PKI Quick Guide – Part 3: Installation

 

und nach dieser Anleitung einen offline root CA aufgesetzt. Nun schaffe ich es aber nicht neue Zertifikate zu erstellen. Ich habe hier gelesen, dass dies sehr einfach über ein Webinterface gehen soll.

 

Aber dafür benötige ich sicherlich einen online root CA, oder?

Kann mir jemand sagen, oder mir ein Tutorial empfehlen, mit was ich die certreq.exe füttern muss um mir Zertifikate zu erstellen?

 

Grüße & Danke im Vorraus

Thomas

[HPrass 10]

Hallo,

 

der Artikel bezieht sich auf eine zweistufige Infrastruktur, Du musst also noch eine ausstellende CA installieren:

 

For the rest of this article, we will show you how to install a 2-level hierarchy consisting of an offline root CA and an online issuing CA in the same PKI using best practice methods.

[Thomas F. 10]

Hi,

 

danke für die schnelle Antwort!

 

Kann die ausstellende CA auf dem selben Rechner laufen?

Bzw. was muss ich ändern um eine einstufige Infrastruktur zu erstellen?

[HPrass 10]

Hallo,

 

nein, auf dem gleichen Rechner können nicht zwei laufen (höchstens virtuell, dann ist aber Essig mit Offline-CA).

 

Willst Du das testen oder produktiv einsetzen? Wenn nicht unbedingt eine Offline-CA benötigt wird sondern Du nur Zertifikate ausstellen möchtest, reicht für eine einstufige CA am einfachsten eine Enterprise-Root-CA. Alles andere wäre halt je nach gewünschter Sicherheitsstufe etc.pp. :)

[Thomas F. 10]

Hallo,

 

die PKI soll nicht produktiv genutzt werden. Ich möchte lediglich Zertifikate ausstellen und mit diesen ein wenig "rumspielen" und testen.

 

Werde es es mal mit einer Enterprise Root CA testen.

 

–

 

Hi,

 

ich habe nun ein Enterprise Root CA mit den oben verlinkten Einstellungen aufgesetzt.

Dennoch finde ich keine zusätzlichen Möglichkeiten Zertifikate zu erstellen.

 

MfG

Thomas

 

–

 

Add:

Um Missverstände zu vermeiden, auf dem Server läuft zwar zusätzlich ein Domainserver, die Clients sind aber nicht Mitglieder dieser Domain.

[olc 18]

Hi,

 

wenn die Zertifikate über die Webseite angefordert werden, dann muß der Client die entsprechenden Rechte für das Template haben. Nicht-Domänenclients haben standardmäßig nicht die Rechte, ein Zertifikat zu beantragen.

 

Ich meine mich zu erinnern, daß später in dem von Dir genannten Guide von MS auch darauf eingegangen wird.

 

Zusätzlicher Hinweis: Eine Enterprise-CA in die Produktionsumgebung zu installieren, kann Probleme machen - unter Umständen werden im Moment munter Zertifikate von den Domänenclients und -servern angefordert. Du solltest das ganze also eher in einer abgeschotteten Testumgebung ausprobieren.

 

Wenn Du die CA entfernst, sollte dies ebenfalls "sauber" passieren, nicht einfach "abschalten", siehe dazu auch How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows 2000 Server

 

Viele Grüße

olc

[Thomas F. 10]

Die Netzwerkumgebung ist momentan ein abgeschottetes Netzwerk.

 

Was die Zertifikaterstellung angeht, so kann dies nicht automatisch geschehen, da unter den Clients auch exotischere Dinge wie VOIP-Hardphones oder ähnliche Dinge exisitieren.

 

Ich hatte gehofft, mittels Konsole oder Webinterface zu sagen "Erstell mir bitte ein Zertifikat" und schwupp bekomm ich es als Datei ausgehändigt.

 

MfG

Thomas

[Thomas F. 10]

Habe mich nun an folgende Anleitung gehalten:

Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de

und alles funktioniert wie es soll.