Zum Inhalt wechseln


Foto

PKI erstellen für Intranet und DMZ


  • Bitte melde dich an um zu Antworten
9 Antworten in diesem Thema

#1 mathschut

mathschut

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Dezember 2015 - 09:30

Hallo,

 

ich plane aktuell eine interne PKI für unser Haus. Diese PKi soll im Intranet/AD betrieben werden. Darüber sollen Zertifikate für interne Server ausgerollt werden und sie soll auch Zertifikate für unser neue VPN-Lösung bereitstellen. Da sich in unserer DMZ-Zone viele Clients/Server befinden, haben wir dort ein eigenes AD. Ich wollte jetzt eine offline Root-CA bauen und eine SUB-Ca im AD, damit ich Vorlagen für Zertifikate bauen kann. Was mir noch nicht so klar ist, wo veröffentliche in die Sperrlisteninformationen, dass auch die Clients aus der DMZ daran kommen. Macht es Sinn die gesamte PKI in der DMZ zu bauen und die internen Clients auf die externe CA/Sperrlisten zu lassen? 

 

Ich danke euch schon mal für die Hilfe und ich hoffe ihr könnt mir ein bisschen helfen.



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 08. Dezember 2015 - 09:38

Eine CA hat meiner Meinung nach nichts in einer DMZ zu suchen. Jedenfalls nicht bei deiner Struktur. Die SPerrliste veröffentlichst du dort, wo interne und externe hinkommen. WO das ist, kannst du ja in die "Vorlage" schreiben. ;)

Make something i***-proof and they will build a better i***.


#3 mathschut

mathschut

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Dezember 2015 - 10:11

Hi und danke für deine Antwort. Wie kann ich die Sperrlisten dann in die DMZ replizieren oder wie verteile ich die Sperrlisten in der DMZ?



#4 NilsK

NilsK

    Expert Member

  • 12.466 Beiträge

 

Geschrieben 08. Dezember 2015 - 10:34

Moin,

 

da es sich dann um eine Datei handelt, richtest du einen Job ein, der diese an den Zielort kopiert.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 mathschut

mathschut

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Dezember 2015 - 10:43

Trage ich dann zwei Zielserver auf der Root-PKI zur Verteilung ein und betreibe einen extra Webserver in der DMZ, wo ich diese Datei hinkopiere? 



#6 NilsK

NilsK

    Expert Member

  • 12.466 Beiträge

 

Geschrieben 08. Dezember 2015 - 11:18

Moin,

 

das ist eine Designfrage, die zu 100% von deinen Anforderungen abhängt. Designfragen lassen sich in einem Forum nicht sinnvoll klären.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 mathschut

mathschut

    Newbie

  • 15 Beiträge

 

Geschrieben 08. Dezember 2015 - 12:11

Danke für deine Antwort. Gibt es dazu irgendwo Beispiele oder Anleitung wie man welchen Weg am besten gehen kann?

 

Grüße

 

Mathias



#8 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 08. Dezember 2015 - 21:05

Moin,

 

es gibt von Brian Komar ein schönes Buch: PKI & Certificate Security

ISBN-10: 0735625166
ISBN-13: 978-0735625167


Keep It Small - Keep It Simple


#9 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 08. Dezember 2015 - 21:39

Buch==Wälzer ;)

Make something i***-proof and they will build a better i***.


#10 ChrisRa

ChrisRa

    Senior Member

  • 414 Beiträge

 

Geschrieben 09. Dezember 2015 - 15:25   Lösung

Hier mal ein schickes Video:

 

http://ichkanngarnix...e-3-stufige-pki


Keep IT simple.  ;)