2K8 - Erzählt mal von Eurer Erfahrung mit der Zertifizierungsstelle

[m43stro]

Hallo Leute,

habe vor kurzem eine Zertifizierungsstelle aufgesetzt und nun läuft sie.
Ich frage mich jedoch, wie man mit Hilfe derer ein Zertifikat selber ausstellen kann? Nach dem ich die Hilfe durchgestöbert habe, wurde mir das auch nicht klar. Für den Server (Domänencontroller) wurde z.B. ein Zertifikat automatisch ausgestellt. Für ein Client in der Domöne wiederum nicht.
Auf welcher Grundlage werden sie ausgestellt? Habe gehört, dass auch Drittanbieterapplikationen teilweise die Zertifizierungsstelle benötigen. Mich würde freuen, wenn jemand von seiner Erfahrung erzählen könnte. Wie warum weshalb?

Grüße

[ChristianHemker]

Hallo,

eine CA stellt Zertifikate nur auf Anforderung aus.
Diese Anforderung muss vom Client gemacht werden.
Was für eine CA hast du installiert? Enterprise oder Standalone?
–
Für die Absicherung einer IIS Seite mit einem SSL Zertifikat siehe auch hier:
Blogcast Teil 1: Absicherung von OWA mit SSL und SecurID | Christian Hemker

[m43stro]

Also das sind Active Directory-Zertifikatsdienste auf einem s2k8 Std. Ich gehe von Standalone aus. Bzw. woran erkenn man das? Bei den Rollen im Server-Manager ist es nicht ersichtlich. Bzw. bei Microsoft UC wird die Kommunikation via Verschlüsselung über Zertifikate realisiert. Dort muss man ein Zertifikat wirklich angeben. Heißt es, dass ich es mit der MS-CA nicht machen kann?

[ChristianHemker]

Was möchtest du genau machen? Ich habe das nicht so ganz verstanden.

[m43stro]

Also die Telefonielösung von Microsoft beruht auf der Verschlüsselung via. Zertifikate. Die Zertifikate werden auf allen Clients, die mit dem Microsoft Office Communicator arbeiten verteilt. Ich wollte eben ein 1024Bit-Zertifikat via die CA generieren.

[ChristianHemker]

Hallo,

ich bin jetzt mit der Windows Server 2008 CA noch nicht so vertraut. Es sollte aber möglich sein, alle Rechner per GPO dazu zu bringen ein Zertifikat anzufordern:
Active Directory Certificate Services

Deploying certificates
User and computer certificates can be deployed by using a number of mechanisms, including autoenrollment, the Certificate Request Wizard, and Web enrollment. But deploying other types of certificates to a large number of computers can be challenging. In Windows Server 2003 it was possible to distribute trusted root CA certificates and enterprise trust certificates by using Group Policy. In Windows Server 2008 all of the following types of certificates can be distributed by placing them in the appropriate certificate store in Group Policy:
• Trusted root CA certificates
• Enterprise trust certificates
• Intermediate CA certificates
• Trusted publisher certificates
• Untrusted certificates
• Trusted people (peer trust certificates)
(Quelle: Microsoft Corporation)

[m43stro]

dass alle ein Anfordern ist ja evtl. kein Problem.
Das Problem was ich habe ist, dass ich dem Office Communication Server beim Aufsetzen ein Zertifikat direkt angeben muss. Er zieht sich also keins über die CA, sondern braucht direkt eine *.cer Datei. Wie erstellt man nun ein eigenes Zertifikat?

[Christoph35]

Zitat von m43stro Wie erstellt man nun ein eigenes Zertifikat?

Du kannst z.B. mit dem Commandline Programm Certreq eine solche Datei anfordern:

Microsoft Corporation

Das gibts auch für W2K3

Christoph

[ChristianHemker]

Wenn der Client ein Zertifikat hat kannst du es in einer *.cer Datei exportieren.
Kann der Office Communication Server das Zertifikat nicht aus AD ziehen?