Jump to content
Sign in to follow this  
langerLulatsch

Mehrer SubIssueCA auf einem Webserver

Recommended Posts

Hallo Zusammen,

 

gerade angemeldet und schon ein Problem:

 

Zur zeit versuche ich eine PKI aufzubauen, bestehend aus einer Root-Ca, einer SubCA und darunter mehrere SubIssueCA's.

Idee war jetzt, lediglich einen Webserver zur Entgegennahme der Zertifikatsanforderungen bzw zur Verteilung der Sperrlisten zu verwenden.

Nur wie bekomme ich auf dem Webserver eine Trennung für die verschiedenen CA's hin???

Habe zunächst versucht auf dem Webserver den Webrigistrierungssupportzu installieren. Tut soweit auch, aber nur mit einer CA. Jemand ne Idee, wie ich sowas bewerkstelligen kann bzw ob das überhaupt möglich ist??

 

Zweites Problem ist das Veröffentlichen der CRL's. Habe in den SubIssueCA's den Sperrlistenverteilungspunkt angepaßt, dass dieser in allen CA's auf die Freigabe CertEnroll des Webserver verweist. So steht es zumindest auch im TechNet.

Versuche ich nun die Sperrliste zu veröffentlichen bekomme ich immer die Fehlermeldung "Verzeichnisname ungültig". Händisches rüberkopieren der CRL's funktioniert aber.

 

Hatte jemand schon mal ein ähnliches problem oder kann mir da weiterhelfen?!

 

Viele Grüße

Uwe

Share this post


Link to post
Share on other sites

Hallo langerLulatsch und willkommen im bOard :)

 

gerade angemeldet und schon ein Problem:[/Quote]

soll vorkommen :D Aber dann schauen wir mal ....

 

Zur zeit versuche ich eine PKI aufzubauen, bestehend aus einer Root-Ca, einer SubCA und darunter mehrere SubIssueCA's.

Gehört nicht zum Problem, aber warum so komplex? eine zweistufige CA tut's in den allermeisten Fällen.

 

 

Nur wie bekomme ich auf dem Webserver eine Trennung für die verschiedenen CA's hin??? Habe zunächst versucht auf dem Webserver den Webrigistrierungssupportzu installieren. Tut soweit auch, aber nur mit einer CA. Jemand ne Idee, wie ich sowas bewerkstelligen kann bzw ob das überhaupt möglich ist??

Das geht nicht. Wenn du ein Webfrontend benutzt, dann muss dieses Mitglied des Forest sein, weil die INfos über CAs und CertTemplates aus dem AD gesaugt werden.

 

Zweites Problem ist das Veröffentlichen der CRL's. Habe in den SubIssueCA's den Sperrlistenverteilungspunkt angepaßt, dass dieser in allen CA's auf die Freigabe CertEnroll des Webserver verweist. So steht es zumindest auch im TechNet.

Versuche ich nun die Sperrliste zu veröffentlichen bekomme ich immer die Fehlermeldung "Verzeichnisname ungültig". Händisches rüberkopieren der CRL's funktioniert aber.

Abrufen von CRL über eine beliebeige (erreichbare) File-URL geht, aber veröffentlichen kann die CA nur auf dem lokalen Filesystem. So weit ich das weiß.

 

grizzly999

Share this post


Link to post
Share on other sites

Servus grizzly999,

 

zunächst vielen Dank für deine Info.

Die mehrfachen CA's hatten in meiner Überlegung den Hintergrund, jeweils pro einer unserer Niederlassung eine eigene CA zu haben, welche aber zentral verwaltet werden.

Sind übrigens nicht in AD eingebunden, sondern eigenständige CA's. Wollen die CA's für IPSec-Zertifikate nutzen und über den Aussteller filtern, wer wohin Zugriff haben darf.

 

Das geht nicht. Wenn du ein Webfrontend benutzt, dann muss dieses Mitglied des Forest sein, weil die INfos über CAs und CertTemplates aus dem AD gesaugt werden.

grizzly999

 

Mal ganz **** gefragt: Könnte man im Webbrowser nicht unterschiedliche virtuelle Verzeichnisse anlegen,die dann auf das certsrv der einzelnen CA's verweisen?

 

Abrufen von CRL über eine beliebeige (erreichbare) File-URL geht, aber veröffentlichen kann die CA nur auf dem lokalen Filesystem. So weit ich das weiß.

 

grizzly999

 

OK,zu dem Schluß bin ich nun auch gekommen. Dann hat der Sperrlistenverteilungspunkt nur Einfluß auf die im Zertifikat hinterlegten Infos zum Abrufen der Sperrlisten.

 

Viele Grüße

Uwe

Share this post


Link to post
Share on other sites

Hi,

 

Mal ganz **** gefragt: Könnte man im Webbrowser nicht unterschiedliche virtuelle Verzeichnisse anlegen,die dann auf das certsrv der einzelnen CA's verweisen?

 

Grundsätzlich ist es möglich, einen Front-End Server mit den WebEnrollment Seiten auszustatten. Dieser muß jedoch im selben Forest der CA sein --> ergo müssen die CAs als auch der Webserver Domain Member sein. Hintergrund dafür ist, daß der Computeraccount des Webservers "Trusted for Delegation" sein muß, d.h. die Client- oder Benutzeranfrage im Namen des Antragstellers weiterleiten darf. Dies ist ausschließlich in AD Umgebungen möglich. Damit wird dies für Dich also zum Problem.

 

Ob es rein grundsätzlich (wenn die Voraussetzung der AD Mitgliedschaft gegeben ist) möglich ist, mehrere virtuelle Verzeichnisse anzugeben, weiß ich nicht. Das ActiveX Plugin bzw. die CertEnroll.dll, die für für das WebEnrollment bis Windows Server 2003 / XP zuständig sind, müßten dies dann unterstützen --> eigentlich eine recht interessante Frage... :eek:

 

Zu Punkt 2)

Du solltest mehrere CDPs festlegen - das ist übrigens auch als Best-Practice von Microsoft immer wieder angegeben. Ansonsten bekommst Du mit der gesamten Struktur Probleme, wenn die CA ausfällt und damit auch die CRLs nicht mehr verfügbar sind.

Da die CAs bei Dir nicht AD-Member sind, könntest Du die CRLs manuell im AD veröffentlichen (Zugriffspunkt LDAP) oder die CRLs auf weiteren Webservern zur Verfügung stellen (z.B. per HTTP oder FTP).

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...