Zum Inhalt wechseln


Foto

Two tier CA


  • Bitte melde dich an um zu Antworten
40 Antworten in diesem Thema

#16 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 01. März 2017 - 10:48

Das Buch ist toll.


Da stehen die Antworten auf deine Fragen bestimmt drin. ;)

Make something i***-proof and they will build a better i***.


#17 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 01. März 2017 - 12:23

Moin,

 

ganz ehrlich: Du brauchst mehr Grundlagen. Du gehst teilweise von völlig falschen Vorstellungen aus. Das ist OK, wenn man sich einarbeitet, aber überhaupt nicht OK, wenn man eine Umgebung designt, wie du sie beschreibst.

 

Bei dem Projektumfang ist es grob fahrlässig, sich keine externe Unterstützung ins Haus zu holen, wenn man selbst das nötige Wissen nicht hat. Wir reden hier nicht von Zehntausenden, sondern von einigen Tagen Beratung und Design. Daran sollte so ein Projekt nicht scheitern.

 

Da sich diese Fragen in einem Forum nicht sinnvoll behandeln lassen, klinke ich mich hier aus.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#18 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 01. März 2017 - 16:12

Hi Leute.

 

Natürlich bin ich noch sehr am Anfang, was Zertifikate betrifft.

Sonst würde ich hier nicht um Hilfe bitte.

 

Bis jetzt läuft alles super.

 

Wildcard certifcate ist schon da.

 

Fast alle Anforderungen sind erfüllt.

 

Was mir fehlt ist die automatische Zertifizierung externer Clients.


Bearbeitet von smigi, 01. März 2017 - 16:15.

LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#19 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 01. März 2017 - 18:11

wenn man schon die PKI komplett selber betreibt, wozu dann wildcardzertifikate? die sollten nur ein Notbehelf sein. Bei den externen xlients? naxh welchem Kriterium wird entschieden ob es ein Zertifilat gibt oder nicht und wer soll die Anforderung mit den entsprechenden Daten befüllen?
BTW: das alles super läuft sagen die am hiesigen Flughafen auch immer...

#20 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 02. März 2017 - 06:54

Ein Wildcard Certifcate soll alle Subdomains der Domain mit SSL-Verschlüsselung versehen. Es lässt sich für alle vorhanden Subdomains einbinden.


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#21 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 02. März 2017 - 08:32

Es gibt nur keinen Grund dazu wenn man doch kostenlos eigene Zertifikate erzeugen kann...



#22 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 02. März 2017 - 08:36

Ein Wildcard Certifcate soll alle Subdomains der Domain mit SSL-Verschlüsselung versehen. Es lässt sich für alle vorhanden Subdomains einbinden.


Wer will denn sowas? Abgesehen davon stimmt das eben nicht, sondern es geht nur für eine Ebene, was ich dir oben schon sagte. Wenn das in deinem Fall ausreichend ist, dann schön, aber so pauschal ist die Annahme eben falsch.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#23 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 02. März 2017 - 10:31

Alles klar.

 

Von Extern Zertifikate holen wird schwer bis unmöglich.

 

Auch ein wildcard certifcate macht keinen sinn.

 

Wie kann ich diese beiden Punkte vor dem Vorgesetzem sinnvol argumentieren?

So, dass ich ihn überzeugen kann. Leider hat er ein bisschen Ahnung von IT und weiss, dass Zertifikate gut und notwendig sind.

 

Deswegen stellt er auch solche Vorgaben,

Die versuche mit ihm dann zu besprächen und was nicht geht auch zu erklären.

 

Danke jetzt schon für eure Tipps

 

 

Danke jetzt schon.


===========================================================================================================================================

 

Andrererseits, wenn ich die Zertifkate auf die Kassenrechner in der Zentralle schon beim Installieren importiere können diese dann nach dem einschalten in den Shops gleich eine gesicherte Verbindung aufbauen.


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#24 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 03. März 2017 - 08:21

Guten Morgen Boardiana!

 

Muss schon sagen.

 

 

Solche Aussagen hätte ich von einem MVP nicht erwartet:

 

 


   .....

....klinke ich mich hier aus.

 

Gruß, Nils

 

 

Ein bisschen mehr Hilfe wäre schon fein.

 

 

Wie dem auch sei.

 

Das meiste habe ich schon.

 

Was mir noch fehlt. ist die automatische zertifizierung von Benutzern und Computern ausserhalb der Domäne.

 

Wenn ich auch das nocz hin bekomme, bzw. Den Chefs sinnvoll erklären kann warum es nicht geht, wäre die Welt wieder OK.


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.

 


#25 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 03. März 2017 - 08:42

Merkwürdige Anspruchshaltung, die nicht dazu führen wird, dass man dir helfen _will_. Und da wir das hier alle freiwillig machen, ist das auch jedem freigestellt, sich einfach auszuklinken. In diesem Fall trifft das für mich ebenfalls zu.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#26 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 03. März 2017 - 08:54

Moin,

 

Solche Aussagen hätte ich von einem MVP nicht erwartet:

...

Ein bisschen mehr Hilfe wäre schon fein..

 

na OK, dann wissen wir ja alle Bescheid.

In den Newsgroups pflegte man früher zu sagen: Plonk.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#27 tesso

tesso

    Board Veteran

  • 2.263 Beiträge

 

Geschrieben 03. März 2017 - 08:57

Denk doch mal nach.

Du willst externe  User und Computern automatisch ein Zertifikat ausstellen. An Hand welcher Kriterien entscheidet eine Maschine das ein User/Computer ein Zertifikat bekommt und ein anderer nicht?

 

BTW: Komar hat nicht viele Bücher zur PKI geschrieben.



#28 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.299 Beiträge

 

Geschrieben 03. März 2017 - 21:17

Muss schon sagen.

 

 

Solche Aussagen hätte ich von einem MVP nicht erwartet:

 

 


   .....

....klinke ich mich hier aus.

 

Gruß, Nils

 

 

Ein bisschen mehr Hilfe wäre schon fein.

 

Was hättest du denn von einem MVP erwartet und warum?


Never argue with an idíot, they drag you down to their level and beat you with experience!

#29 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 03. März 2017 - 23:07

 

Ca. 2 Tsd Kassen in ganz Österreich. Kassen sollen eine gesicherte Verbindung aufbauen und keinen Tunnel über diverse Hardware bis jetzt.

Shops werden in der Zentrale ausgerollt und würdendas Zertifikat schon vorinstalliert bekommen. Dieses würde sich auf einer extra Platine mit extra Schutz befinden.

Aufgestellt und eingeschaltet können sich diese gleich mit der Zentralle verbinden.

 

 

Abseits vom technischen Aspekt:

Dein Chef und du betretet offenbar den Bereich Zahlungsverkehr mit seinen ganzen juristischen Besonderheiten und Regelungen, auch für eine PKI. Seid ihr euch dessen bewusst? 

 

Ein aktuelles, vergleichbares Beispiel aus den USA mit 3300 Kassen zeigt, welcher Schaden entstehen kann.

https://krebsonsecur...wledges-breach/

Es gibt leider viele böse ITler draußen, die nur auf ähnliche Gelegenheiten warten!


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#30 smigi

smigi

    Senior Member

  • 508 Beiträge

 

Geschrieben 04. März 2017 - 08:32

Hallo Board!

 

Vielen Dank für das Niedermachen.

Ist aber wirklich nicht notwendig.

 

@ Dr.Melzer:

Von einem MVP hätte ich erwahrtet, dass dieser als engagierte Experten mit herausragender technischer Kompetenz nicht einfach sagt, dass er sich ausklingt. Das ist eine Flucht vor Verantwortung. Ein Spezialst sollte eher sagen: Sehen wir mal ob sich da was machen lässt.

Und wenn er merkt, dass jemand mit dem Stoff nicht so vertraut ist, dann wird er als eine kompetente Person eher versuchen demjenigen zu helfen.

 

Bräuchte ich keine HIlfe, hätte ich mich hier nicht gemeldet.

 

@blub:

 

Danke für den Artikel.

Die kassen gibt es schon.

Das ganze System läuft seit vielen Jahren. Nur, dass bie jetzt jede Kassa einen Hardwaretunnel in die Firma geöffnet hat.

Die Harwarekosten will sich die Firma jetzt sparen und deswegen der SSL Gedanke.

 

Stellt euch vor, ich bin euer Chef und ihr versucht mir den Argumenten, die hier bis jetzt gefallen sind klar zu machen,dass es so nicht funken wird.

 

Habt ich kene Chefs?

 

Ich will mal auslotten, was geht und was nicht. Und wenn nicht, dann warum.

Ich dachte mir, dass hier ist ein Spezialisten-Forum und da kommen viele Ideen wie man was machen kann.


LG aus Wien
MichL


Wer fragt ist ein Narr - für kurze Zeit. Wer nicht fragt ist ein Narr - sein Leben lang.