viper990 10 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Hallo zusammen, ich stehe vor der Einführung unserer Zertifikatsserver und hätte da nochmal ne Frage: Vorhanden ist eine Ca-Root und eine untergeordnete Ca (UG-Ca). Letztere stellt natürlich die Zertifikate aus. Das signieren und verschlüsseln von Mails funktioniert wunderbar. Die Root-Ca kann auch abgeschaltet werden, verschl. Mails versenden geht immer noch, soweit so gut. Wenn ich den Spieß jetzt jedoch umdrehe und die Root-Ca eingeschaltet und die UG-Ca abschaltet ist, dann kann ich auch keine Mails mehr verschlüsseln. Ist bei dieser Konstellation nicht genau dieses gewünscht? Wenn ich später schließlich Zertifikate für VPN und die Anmeldung einsetze muß das doch dann auch noch funktionieren...? Muß ich dabei noch irgendwas beachten? Gruß |ViPeR|
grizzly999 11 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Wieso willst du die Sub-CA abschalten, und die Root CA laufen lassen? Wenn das beide Online CAs sind, dann sollten beide auch laufen. Ist bei dieser Konstellation nicht genau dieses gewünscht? Nein, wieso auch? Wenn man eine Offline CA aufsetzt, dann meistens die Root-CA, dann muss man diese aber auch als solche einrichten. grizzly999
viper990 10 Geschrieben 18. Januar 2008 Autor Melden Geschrieben 18. Januar 2008 Hallo Grizzly, was mache ich denn wenn mir die UG-Ca wegfliegt? Heißt das, das alle Smartcards die dann im Umlauf sind unbrauchbar sind und sich niemand am System mehr anmelden kann? Wenn man eine Offline CA aufsetzt, dann meistens die Root-CA, dann muss man diese aber auch als solche einrichten. Welche Parameter meinst du damit genau? Danke & Gruß |ViPeR|
grizzly999 11 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Hallo Grizzly, was mache ich denn wenn mir die UG-Ca wegfliegt? Wiederherstellen aus der Sicherung. Heißt das, das alle Smartcards die dann im Umlauf sind unbrauchbar sindund sich niemand am System mehr anmelden kann? So lange die CRL abrufbar ist, ist alles ok. Aber im Standardfall wird's dann nach einer Woche schwierig. Welche Parameter meinst du damit genau? Das sind keine speziellen Paramrter. Eine Standalone CA, deren Zertifikate und CRL manuell ins AD bringt, und sie dann für eine Weile offline nimmt, das ist im Prinzip alles. Bei Microsoft gibt es ein größeres Whitepaper, das alle möglichen Szenarien mit Step-by-Step Anleitungen beschreibt. grizzly999
viper990 10 Geschrieben 23. Januar 2008 Autor Melden Geschrieben 23. Januar 2008 Ich glaube es nach längeren Suchen gefunden zu haben, hier der Link: Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure Ist zwar ne Menge Text zu lesen, doch wird alles ziemlich gründlich erklärt. Meintest du diesen Link, oder hast du noch nen anderen? :) Gruß ViPeR
grizzly999 11 Geschrieben 23. Januar 2008 Melden Geschrieben 23. Januar 2008 Ja, genau das meinte ich. In der Technet ist das immer etwas schwierig zu lesen, weil die einzelnen Kapitel immer separat angezeigt werden müssen. Ich habe mir das mal ausgedruckt, weil hier gibt es das als komplettes Dokument: http://www.microsoft.com/downloads/details.aspx?familyid=0BC67F4E-4FCF-4717-89E8-D0EE5E23A242&displaylang=en Ja, ist wirklich eine Menge Text, aber wie schon sagtest, sehr ausführlich und sehr gut. Zuasmmen mit Brian Komar's Standardlektüre zur PKI ist man da gut gerüstet ;) grizzly999
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden