bastianu

hallo... danke für eure Antworten. nein, steht nicht direkt online. sollte es über einen reverse-proxy ein sicherheitsproblem darstellen oder geht die verbindung https nach außen offen klar?

Erstmal Hallo an alle! Vorweg, ich bin mit WindowsCA noch nicht sehr vertraut, eher gerade beim einlesen. Ich stehe vor folgendem Problem: Wir benötigen die Möglichkeit Zertifikate (sei es für VPN, dot1x, TS-Access...) effektiv sperren zu können. Dies soll auch den Fall beinhalten dass sofern ein Client abhanden kommt sein Zertifikat gesperrt wird und er zB keine VPN mehr aufbauen kann. Aus diesem Grund muss ich meines Wissens die PKI auch online verfügbar machen. Ich habe nun schon einige Artikel gelesen, bin mir aber hier nicht ganz sicher was die Sicherheit und den Aufbau betrifft. Unsere Windows PKI soll sich dann aus einer RootCA und einen Online-Responder zusammensetzen. Online-Responder da wenn ich richtig informiert bin dies eine effektivere Methode ist um Zertifikate zu sperren (zumindes inbezugnahme auf Sperrlisten und deren Abrufintervall). Wo ich auch nicht ganz sicher bin, sollte man hier mit einem mehrstufigen Architektur arbeiten? Die RootCA steht ja im internen Netz, desweiteren möchte ich noch in einer DMZ einen Server platzieren der die Anfragen aus dem Internet annimmt und an die RootCA weitergibt. Oder kann dies evtl. schon der OnlineResponder?? Bzw. würde hier auch schon ein Reverse-Proxy ausreichen?? Ich danke euch für eure Unterstützung! Bastian