Zum Inhalt wechseln


Foto

Two tier CA


  • Bitte melde dich an um zu Antworten
40 Antworten in diesem Thema

#1 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 28. Februar 2017 - 07:54

Hallo Board!

 

Ich versuche gerade eine two tier CA aufzusetzen.

 

Es sind folgende anforderungen gestellt:

 

  1. Das überprüfen und zurückziehen von Zertifikaten muss funktionieren.
  2. Die Root CA darf keinerlei CRL Funktionalitäten haben.
  3. Computer und Benutzer der Domäne sollen automatisch zertifiziert werden.
  4. Ebenso Computer die sich nicht in der Domäne befinden.
  5. Der Webserver benötigt ein Wildcard Zertifikat.
  6. Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen.
  7. Die Root CA gegen Missbrauch absichern.

Tow tier funkt schon so weit:

 

RootCA hat keinerlei CRL Funktionalitäten.

Ich habe ein Zertikat das der Selbständigen CA vertraut, welche ausserhalb der Doäne steht.

Ich habe ein rootCA.

Computer und Benutzer in der Domäne bekommen automatisch Zertikate ( GPO )

Wildcard klappt nicht, weil : The rvocation function was unable to check revocation for the certificate. 0x80092012 ( -2146885614 CRYPT_E_NO_REVOCATION_CHECK ):

 

Bei punkten 1,4, 5, stehe ich voll an.

Punkt 6 habe ich mir noch nicht genau angesehen. Mache ich zwischendurch.

1,4,5 sind wichtiger.

 

Wie kann ich diese erledigen.

 

Bitte euch um Hilfe.

Meine Internetsuche ist ausgeschöpft.

 

Vielen Dank im Voraus.

 


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#2 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 28. Februar 2017 - 14:24

Niemand eine Ahnung???


Habe das Thema zu Windows Server verschoben.


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#3 NilsK

NilsK

    Expert Member

  • 12.347 Beiträge

 

Geschrieben 28. Februar 2017 - 14:39

Moin,

 

na, du bist aber ungeduldig. Es gehört nicht grad zum guten Ton, schon nach wenigen Stunden zu maulen. Du weißt schon, dass das hier ein ehrenamtliches Board ist?

 

Deine Anforderungsliste ist teilweise unrealistisch, in anderen Teilen handelt es sich um Selbstverständlichkeiten. Handelt es sich um einen Testaufbau, oder soll das was Produktives werden?

 

 

  1. Das überprüfen und zurückziehen von Zertifikaten muss funktionieren.

 

selbstverständlich irgendwie. Nur beißt sich das mit dem zweiten Punkt:

 

 

2. Die Root CA darf keinerlei CRL Funktionalitäten haben.

 

CRL-Funktionen sind unabdingbar. Was du wahrscheinlich meinst, ist ein Speicherort für die CRL, der nicht auf demselben Server liegt. Das berücksichtigt man bereits beim Design. Anscheinend hast du erst angefangen und machst dir währenddessen Gedanken - das wird bei einer PKI-Struktur nicht funktionieren.

 

 

4. Ebenso Computer die sich nicht in der Domäne befinden.

 

Geht so nicht, jedenfalls nicht ohne Weiteres. Anhand wessen sollte die CA entscheiden, ob sie dem Computer ein Zertifikat geben darf?

 

 

6. Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen.

7. Die Root CA gegen Missbrauch absichern.

 

Beides völlig unabdingbar. Ohne einen Plan dafür fängt man sowas nicht an. Informationen dazu gibt es genug, auch kostenlos im Web.

Ansonsten empfehle ich das Buch von Brian Komar, gibt es nur noch gebraucht oder als E-Book, ist aber immer noch die beste Quelle zu dem Thema.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 XP-Fan

XP-Fan

    Moderator

  • 11.238 Beiträge

 

Geschrieben 28. Februar 2017 - 16:21

Hallo,

 


Habe das Thema zu Windows Server verschoben.

 

nur Moderatoren können Themen bei Bedarf verschieben, wir bleiben bitte mit dem Thema hier.

Doppelte Beiträge zu einem Thema macht das Forum unübersichtlich.


Gruß und viel Erfolg !

www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt ist online!


#5 Dukel

Dukel

    Board Veteran

  • 9.265 Beiträge

 

Geschrieben 28. Februar 2017 - 16:25

Wieso benötigt der Webserver ein Wildcard Zertifikat?

Nutze ein SAN Zertifikat oder SNI.


Stop making stupid people famous.


#6 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 28. Februar 2017 - 16:40

@ Duke:

 

Damit man alle Subdomains unter einer Hauptdomain abzusichern kann.

 

@Nils:

 

Danke für die Tipps.

 

7. Die Root CA gegen Missbrauch absichern  -  Wird abgeschaltet ( = ganz sicher vom Netz aus )

4. Ebenso Computer die sich nicht in der Domäne befinden - das macht jemand beim ersten verbinden vor ort. Dann sollte es von alleine funktionieren.

2. Die Root CA darf keinerlei CRL Funktionalitäten haben - diese ist ja extern und dann offline. Wird nicht funktkionieren. Aber es muss doch möglich sein, CRLs auf der Internen CA zu erzeugen und abzulegen?

 

Von Brian Komar gibt es auf Amazon einiges.

Deutsch wäre mir lieber.

Könntst Du da etwas empfehlen?

 

 

Danke.


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#7 NilsK

NilsK

    Expert Member

  • 12.347 Beiträge

 

Geschrieben 28. Februar 2017 - 16:47

Moin,

 

naja, ein bisschen mehr muss man schon tun, um eine PKI abzusichern. Die besteht ja nicht nur aus der Root-CA. Und auch für die Root braucht es noch ein paar Dinge - gesicherter Zugriff, Update-Verfahren usw.

 

Computer außerhalb der Domäne - klar, wenn man das manuell macht, kann man Zertifikate anfordern und einbinden. (Wozu sollen die denn eigentlich dienen?) Danach geschieht da aber auch nichts von selbst. Das ginge nur mit Domänenmitgliedern.

 

Und die CRL muss eine Root-CA selbstverständlich veröffentlichen und aktualisieren können. Das gehört zum Betriebskonzept der PKI und muss schon im Design berücksichtigt werden. Üblich ist ein Webserver, der intern wie extern erreichbar ist. Ohne CRL-Check werden Zertifikate nicht akzeptiert.

 

Das Buch von Brian Komar (es gibt nur eins, was da in Frage kommt) ist das einzige wirklich empfehlenswerte, das ich kenne. Auch wenn es nicht schön ist, kommt man bei solchen Spezialthemen leider ohne Englisch nicht weit.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 tesso

tesso

    Board Veteran

  • 2.239 Beiträge

 

Geschrieben 28. Februar 2017 - 22:05

Das Buch von Brian Komar gibt es auch auf deutsch. Allerdings inzwischen nur noch als ebook, nicht mehr auf Papier.


Bearbeitet von tesso, 28. Februar 2017 - 22:05.


#9 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 01. März 2017 - 06:43

Hallo und gutn Morgen!

 

@ Tesso/Nils :  Wenn ihr mir den Titel des Buches verraten könntent wäre es super.

 

Die Anforderungen die dieses Projekt hat, habe ich schon angegeben.

 

Meine Überlelgungen dazu wären diese:

 

Eine domäne mit mehreren sub-Domänen:

dev., test, prod, ....   .

Deswegen ein wildcart-zertifikat

 

Ca. 2 Tsd Kassen in ganz Österreich. Kassen sollen eine gesicherte Verbindung aufbauen und keinen Tunnel über diverse Hardware bis jetzt.

Shops werden in der Zentrale ausgerollt und würdendas Zertifikat schon vorinstalliert bekommen. Dieses würde sich auf einer extra Platine mit extra Schutz befinden.

Aufgestellt und eingeschaltet können sich diese gleich mit der Zentralle verbinden.

 

Aussenstehende CA aus folgenden Gründen:

 

wird das Zertifikat veruntreut genügt es die externe CA hoch zu fahren und das alte Zert wieder auszustellen. Somit müsste ich nicht bei den Kassen das Zerifikat "zu Fuss ausrollen".

Externe CA vor Missbrauch schützen ist einfach:
Nachdem das RootCA und das intermediate Zertifkat ausgestellt ist, kann ich diese herunterfahren, vom Netz nehmen und sogar ev. noch wo versperren.

 

Deswegen keine CRLs. Weil ja die CA nicht mehr da ist.

 

Ich habe mal eine Testumgebung nach diesem Beispiel aufgebaut:

 

 

two-tier-pki-hierarchy
 

 

Zu Punkt 6 und 7:

 

Deasaster Recovery:

Tägliches Backup der hier vorkommenden Server auf ein Store in Aussenstelle zu ziehen und im Deasaster-Fall diese vier Server schnell wiederstellen. Damit könnten die Kassen connecten und wieder arbeiten.

Bzw. diese Vier Server auf einem anderen Standort redundant halten.


Das ganze sollte meiner Meinung nach lösbar sein.

 

Bei dem oben angeführten LAB-Beispiel schmeisst es mich auf bei fehlenden CRLs.

 

Wie bekomme ich die in der Domäne wieder zum Laufen?


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#10 NorbertFe

NorbertFe

    Expert Member

  • 30.609 Beiträge

 

Geschrieben 01. März 2017 - 06:51

Ein wildcard certificate greift für verschiedene hosts der selben Domain und nicht für verschiedene hosts von Diversen subdomains afaik.

Crl: wenn für die Root keine crl so bekannt sind, wie sperrst du dann die sub-ca?

Bearbeitet von NorbertFe, 01. März 2017 - 06:53.

Make something i***-proof and they will build a better i***.


#11 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 01. März 2017 - 07:02

Ich habe in diversen Artikeln gelesen, dass das wildcart certifcate für domäne mit subdomains geeignet sei.

 

Das mit den CRLs weiss ich selber noch nicht.

 

Auf der externen CA brauche ich diese nicht.

Auf der Internen mit dem issuing certifcate müsste ich ev. für die Domain ein eigenes erstellen?


Dürfte ich bitte noch den Titel von dem Buch erfahren?

 

Danke


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#12 NorbertFe

NorbertFe

    Expert Member

  • 30.609 Beiträge

 

Geschrieben 01. März 2017 - 07:12

Wieviele hat Brian komar denn geschrieben?

Make something i***-proof and they will build a better i***.


#13 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 01. März 2017 - 07:37

Ja, sorry.

Das waren die Vorschläge von Amazon, die ich als seine Bücher gehalten habe.

 

Danke, das nich lieferbar


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#14 Orangenjunge

Orangenjunge

    Newbie

  • 30 Beiträge

 

Geschrieben 01. März 2017 - 07:42

Hi,

 

http://www.microsoft...uct&id=mse-5648

 

Grüße, Marc



#15 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 01. März 2017 - 10:37

Ok.

Super,

Vielen Dank Orangenjunge.

 

 

 

===========================================================================================================================

 

 

 


Hi Board!

 

Das Buch ist toll.

 

Tortzdem bräuchte ich bitte noch etwas eurer Hilfe.

 

Wie kann ich Zertifikate überprüfen und zurückziehen.

 

Und wie kann ich die Clients ausserhab der Domäne zertifizieren. Ist das überhaupt möglich?

 

Ach, noch was:

 

Wie kann ich Zertifikate aus den Vorlagen issuen?

 

 

Danke jetzt schon.


Bearbeitet von smigi, 01. März 2017 - 10:38.

LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.