Zum Inhalt wechseln


Foto

Eigene RootCA in der AD bereitstellen.


  • Bitte melde dich an um zu Antworten
29 Antworten in diesem Thema

#16 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 14. Juni 2016 - 15:37

> Und ein ein AD erstellt nicht von alleine eine CA.

das haben wir doch schon geklärt

 

> Aha, lies dir mal den Artikel genau durch. 

Der über SCEP? oder den aus dem Technet?

 

> Vielleicht sortierst Du nochmal und beschreibst exakt  eine Ausgangssituation uns  das Zielzenario.

Habe ich doch oben.

 

> Eine Root-CA von   den Windows CA-Diensten ist nicht "SelfSigned".

Spielt überhaupt keine Rolle in meinem Fall.

 

Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie. Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen.

 

Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.


Gruß TraxanoS
---------------------------
...ÄH was???...

#17 NorbertFe

NorbertFe

    Expert Member

  • 30.596 Beiträge

 

Geschrieben 14. Juni 2016 - 15:46

Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie.


Natürlich geht das. Du mußt es nur so konfigurieren! Das geht aber nicht nachträglich mit deiner bereits bestehenden Root-CA, weil das dem Gedanken einer PKI (vertrauenswürdiges Ausstellen von Zertifikaten) entgegen steht. BEdeutet für dich also , dass du eine zusätzliche CA im AD installieren mußt. Ob du deine bestehende Root-CA unter Windows bestehen läßt ist egal. Du kannst im AD mehrere AD-integrierte CAs haben.

Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen.


Mußt du ja nicht. Hab ich dir oben ja auch schon geschrieben.

Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.


Wofür willst du den denn nutzen?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#18 zahni

zahni

    Expert Member

  • 16.373 Beiträge

 

Geschrieben 14. Juni 2016 - 15:47

Du hast immer noch nicht beantwortet, was bei Euch der SCEP-Server ist. Wenn Du eine neue RootCA erstellt, müssen alle Zertifikate von dieser CA abgeleitet werden (ist ja logisch, oder?). "SelfSigned" hats Du selber geschrieben. Einer der Gründe, warum wir nur Bahnhof verstehen.

In dem von Dir verlinkten Artikel steht, dass auch eine Windows-CA das SCEP-Protokoll unterstützt (wenn man die Option mit installiert).


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#19 Dunkelmann

Dunkelmann

    Expert Member

  • 1.860 Beiträge

 

Geschrieben 14. Juni 2016 - 17:09

Grundsätzlich kann Windows SCEP.

 

@TraxanoS

Es wird hier im Thread gerade etwas unübersichtlich. Du würfelst einiges an Begrifflichkeiten durcheinander bzw. formulierst missverständlich.

Bei einer PKI ist die Technik selten der problematische Teil. Viel wichtiger sind klar definierte Anforderungen und die zugehörigen Prozesse.

 

Ich würde so ein Projekt mit einem Lastenheft starten.

 

Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben:

Windows Server 2008 PKI and Certificate Security

  • ISBN-10: 0735625166
  • ISBN-13: 978-0735625167

Keep It Small - Keep It Simple


#20 substyle

substyle

    Board Veteran

  • 1.842 Beiträge

 

Geschrieben 14. Juni 2016 - 18:35


Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben:

Windows Server 2008 PKI and Certificate Security

  • ISBN-10: 0735625166
  • ISBN-13: 978-0735625167

 

 

Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen.



#21 tesso

tesso

    Board Veteran

  • 2.232 Beiträge

 

Geschrieben 14. Juni 2016 - 19:22

Ich habe das Buch als PDF bei mspress gekauft.



#22 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 15. Juni 2016 - 06:38

@zahni

SelfSigned schreibe ich nur dazu weil in der Vergangenheit alle immer glauben wir wären eine offizielle CA, wenn wir von RootCA sprechen. Sorry für meine unglückliche Ausdrucksweise.

 

Zu Thema SCEP:

Wir planen intern einen SCEP-Server aufzustellen, da wir hunderte Geräte (Router, Switche, Firewalls, Server) manuell mit Zertifikaten ausstellen. Jetzt kam die Idee auf, ob die AD bzw. die Domänenmitglieder nicht auch direkt die Zertifkate beim zentralen SCEP-Server beantragen kann. (Sprich also ohne Windows CA). Das die Windows Zertifikatsdienste SCEP selber anbieten können, hatte ich bereits gelesen gehabt. Meine Frage zielte auf das Konsumieren eines anderen SCEP-Servers.

 

@dunkelmann

Am liebsten würde ich überhaupt keine Windows CA mehr verwenden, da wir selber alles mit OpenSSL verwalten und darin auch Experten sind. Dennoch danke für den Tipp mit den Büchern.


Gruß TraxanoS
---------------------------
...ÄH was???...

#23 Dunkelmann

Dunkelmann

    Expert Member

  • 1.860 Beiträge

 

Geschrieben 15. Juni 2016 - 08:18

Du könntest Dir vielleicht mal SSCEP anschauen.

https://github.com/certnanny/sscep

 

Wie gut das funktioniert und wie Aufwändig die Implementierung im Vergleich zu einer Windows Sub CA mit Autoenrollment per Gruppenrichtlinie ist kann ich objektiv nicht bewerten. Vom Gefühl her behaupte ich mal: deutlich aufwändiger


Keep It Small - Keep It Simple


#24 traxanos

traxanos

    Member

  • 141 Beiträge

 

Geschrieben 15. Juni 2016 - 11:30

@dunkelmann,

 

sscep kenne ich. Als Gegenstück ist OpenSCEP (Server) in Prüfung.

 

 

 

Wie gut das funktioniert und wie Aufwändig die Implementierung im Vergleich zu einer Windows Sub CA mit Autoenrollment per Gruppenrichtlinie ist kann ich objektiv nicht bewerten. Vom Gefühl her behaupte ich mal: deutlich aufwändiger

 

Ja das vermute ich auch, daher werde ich wohl auch wie ursprünglich geplant auf eine Sub CA direkt in der AD setzen. Mal schauen, ggf. nutzen wir sogar die SCEP Funktion von MS statt OpenSCEP.

 

Wenn ich das richtig verstanden habe benötigt ja per Default die AD überhaupt kein eigene CA. So dass ich die aktuelle CA erstmal entfernen werden (inkl. Deprovisionierung) Sind aktuell nur 10 Zertifkate überhaupt noch gültig die ausgestellt wurden.


Gruß TraxanoS
---------------------------
...ÄH was???...

#25 tesso

tesso

    Board Veteran

  • 2.232 Beiträge

 

Geschrieben 15. Juni 2016 - 17:26

Ich würde schon vorher schauen was für Zertifikate existieren und wofür sie genutzt werden.

 

Das AD funktioniert ohne CA. Ich kenne auch keine AD-Installation bei der eine CA mit installiert wird. Das kenne ich nur vom SBS und ich meine das Foundation-Feature macht das auch.



#26 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 17. Juni 2016 - 05:34

Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen.Ich

 

Ich kann dir meine Onlinelinks geben, unter denen es, jedenfalls meiner Meinung nach, ebenfalls hervorragende Papers gibt

 

www.faqs.org/faqs/cryptography-faq  (!)

www.schneier.com/paper-pki.html

www.verisign.com/enterprise/library

www.entrust.com/resourcecenter

 

Eine schöne Aufgabe für einen Azubi, sich da durchzuwühlen biggrin.gif

 

Sofern jemand weitere gute Links zum Thema PKI/ Crypto kennt oder findet, immer her damit!


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#27 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 17. Juni 2016 - 07:04

Moin,

 

Marc hat auch schon einiges geschrieben:

http://www.it-traini...de/blog/?cat=54

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#28 zahni

zahni

    Expert Member

  • 16.373 Beiträge

 

Geschrieben 17. Juni 2016 - 08:34

Und  die Installation und die "Best practice" sind bis zum erbrechen im Technet beschrieben...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#29 Dunkelmann

Dunkelmann

    Expert Member

  • 1.860 Beiträge

 

Geschrieben 17. Juni 2016 - 08:51

Kein Buch, aber ein nettes Spielzeug:

https://www.cryptool.org/de/cryptool2


Keep It Small - Keep It Simple


#30 zahni

zahni

    Expert Member

  • 16.373 Beiträge

 

Geschrieben 17. Juni 2016 - 09:24

Noch der Link:

https://technet.micr...4(v=ws.11).aspx


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!