Zum Inhalt wechseln


Foto

Eigene RootCA in der AD bereitstellen.


  • Bitte melde dich an um zu Antworten
29 Antworten in diesem Thema

#1 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 09:11

Hallo Zusammen,

 

wir betreiben eine eigene (SelfSigned) Root CA mit mehren Intermediate-Zertifikate für verschiedene Dienste (z.B. VPN, SSL) Jetzt haben wir aktuell eine AD mit einer extra RootCA welche damals automatisch  generiert wurde. Jetzt stellt sich die Frage, ob wir für die AD ein eigenes Intermediate-Zertifikate auf Basis unserer Root CA erstellen und verwenden können. Auch ist die Fragen, ob ein Wechsel im laufenden Betrieb Probleme mit den Windowsrechner gibt (in AD eingebunden).

 

Suche schon seit einigen Wochen nach einer Möglichkeit und bin leider weger bei Google, MSDN noch hier im Forum fündig geworden. Vielleicht hat jemand einen Tipp / Idee.

 

Gruß


Gruß TraxanoS
---------------------------
...ÄH was???...

#2 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 14. Juni 2016 - 12:22

Moin,

 

kannst Du die Situation vielleicht etwas strukturierter beschreiben?

 

Ich zitiere mal Deine Signatur "...ÄH was???..." ;)


Keep It Small - Keep It Simple


#3 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 12:41

Also wir betreiben selber eine eigene RootCA und möchte das alles von dieser abgeleitet wird. Das Funktioniert auch wunderbar, z.B. hat unser OpenVPN-Server ein eigenes Intermediate-Zertifikate für die Verwaltung der Benutzerzertifikate. Oder für unseren ganzen Webanwendungen haben wir ebenfalls ein extra Intermediate-Zertifikate um eigene SSL-Zertifikate zu erstellen.

 

Die einzige Ausnahme ist aktuell unsere Windows AD. Diese hat automatisch bei der Einrichtung eine eigene RootCA erstellt bekommen. Jetzt möchten wir aber gerne das die Windows AD ein Intermediate-Zertifikate von unserer RootCA verwendet, so dass alle Zertifikate die in der AD ausgestellt werden, mit unserer RootCA verifiziert werden kann. Leider kann ich aber nirgends ein Zertifikat hochladen. Lediglich die Erstellung einer neuen CA kann ich veranlassen, aber ohne irgendwelche Parameter. 

 

Mir ist es dabei egal, ob die AD mir ein CSR bereitstellt oder ich selber direkt das Intermediate-Zertifikate erstelle. Nur finde weder für die eine noch für die andere Variante Option.

 

EDIT: Wir verwenden aktuell noch Windows Server 2008 R2


Bearbeitet von traxanos, 14. Juni 2016 - 12:42.

Gruß TraxanoS
---------------------------
...ÄH was???...

#4 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 14. Juni 2016 - 12:44

Also automatisch erstellt aber kein AD ne Root CA. Ich würd also erstmal nachschauen, welche Zertifikate die schon ausgestellt hat. Und ja, du kannst natürlich im AD eine untergeordnete (intermediate) AD-integrierte CA erstellen. Ich würd dafür übrigens nicht den DC empfehlen. ;)

Make something i***-proof and they will build a better i***.


#5 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 12:50

Natürlich stellt eine AD immer eine RootCA aus (selfsigned) und erstellt auf Basis dieser z.B. Benutzer- und Computerzertifikate. Ggf. gibt es hier ein ein Problem was man unter einer RootCA versteht. Ich versteh darunter jede CA die keine übergeordnete CA mehr hat. Und nein ich möchte unter dieser WindowsCA kein Intermediate anlegen. Wir sind Provider und betreiben wie gesagt unsere eigene RootCA und möchte das diese WindowsCA als Intermediate unser RootCA läuft und nicht anders rum.


Gruß TraxanoS
---------------------------
...ÄH was???...

#6 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 14. Juni 2016 - 13:00

Nein stellt sie nicht. Wenn ich eine Domain erstellt gibt's noch lange keine CA. Kannst du mir glauben. ;) Und ich benutze dazu keine Tricks und Kniffe. Und ja, eine Root-CA ist das, was eine Root-CA ist und die ist selbstverständlich selbstsigniert. ;) Und wenn ihr die Windows CA als Sub-CA haben wollt, dann müßt ihr die so konfigurieren. Nur kannst du nachträglich meines Wissens nach keine Root-CA unter eine andere hängen. Wäre dann nicht sehr vertrauenswürdig.

Bearbeitet von NorbertFe, 14. Juni 2016 - 13:02.

Make something i***-proof and they will build a better i***.


#7 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 13:10

Also ich habe die aber die CA nie angelegt! Sie war vom ersten Tag da. Und alle Rechner haben direkt Zertifkate nach dem einhängen bekommen. Ob das durch den Wizard damals von MS mit angelegt wurde oder so - keine Ahnung. Aber es spielt ja auch keine Rolle. Die CA ist ja nun da. Und die Frage ist wie kann ich diese austauschen gegen eine von unser CA ist bzw. signiert wurden?


Gruß TraxanoS
---------------------------
...ÄH was???...

#8 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 14. Juni 2016 - 13:11

Deinstallieren und eine neue hochziehen.

Make something i***-proof and they will build a better i***.


#9 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 13:15

Die komplette AD?


Gruß TraxanoS
---------------------------
...ÄH was???...

#10 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 14. Juni 2016 - 13:33

Nee die CA. Worüber reden wir hier überhaupt? ;)

Make something i***-proof and they will build a better i***.


#11 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 14. Juni 2016 - 13:50

Die nicht mehr erwünschte Root CA sollte sauber stillgelegt werden

http://social.techne...ed-objects.aspx

 

Vorher, parallel oder ggf. später könnte man eine AD-integrierte Sub CA in Betrieb nehmen. Den idealen Zeitpunkt und das genaue Vorgehen müsste man im Zuge der Projektierung ermitteln.


Keep It Small - Keep It Simple


#12 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 14:05

@dunkelmann

das hilft mir weiter.

 

Mal so eine zusätzliche Frage, kann die AD auch direkt einen SCEP Server ansprechen? Weil dann Spare ich mich mir den Aufwand und könnte direkt unsere eigene CA-Verwaltung ansteuern.


Gruß TraxanoS
---------------------------
...ÄH was???...

#13 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 14. Juni 2016 - 14:39

Du hast eine "SelfSigned) Root CA mit mehren Intermediate-Zertifikate"  ß

Wie  soll das  denn  gehen? Was ist ein SCEP?


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#14 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 15:06

@zahni

 

Warum soll das nicht gehen, jede große CA macht das auch?

 

EDIT: Hier eine Erklärung was SCEP ist.

https://en.wikipedia...llment_Protocol


Bearbeitet von traxanos, 14. Juni 2016 - 15:07.

Gruß TraxanoS
---------------------------
...ÄH was???...

#15 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 14. Juni 2016 - 15:21

Aha, lies dir mal den Artikel genau durch. 

Und ein ein AD erstellt nicht von alleine eine CA.

Vielleicht sortierst Du nochmal und beschreibst exakt  eine Ausgangssituation uns  das Zielzenario.

Eine Root-CA von   den Windows CA-Diensten ist nicht "SelfSigned".


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!