langerLulatsch 10 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Hallo Zusammen, gerade angemeldet und schon ein Problem: Zur zeit versuche ich eine PKI aufzubauen, bestehend aus einer Root-Ca, einer SubCA und darunter mehrere SubIssueCA's. Idee war jetzt, lediglich einen Webserver zur Entgegennahme der Zertifikatsanforderungen bzw zur Verteilung der Sperrlisten zu verwenden. Nur wie bekomme ich auf dem Webserver eine Trennung für die verschiedenen CA's hin??? Habe zunächst versucht auf dem Webserver den Webrigistrierungssupportzu installieren. Tut soweit auch, aber nur mit einer CA. Jemand ne Idee, wie ich sowas bewerkstelligen kann bzw ob das überhaupt möglich ist?? Zweites Problem ist das Veröffentlichen der CRL's. Habe in den SubIssueCA's den Sperrlistenverteilungspunkt angepaßt, dass dieser in allen CA's auf die Freigabe CertEnroll des Webserver verweist. So steht es zumindest auch im TechNet. Versuche ich nun die Sperrliste zu veröffentlichen bekomme ich immer die Fehlermeldung "Verzeichnisname ungültig". Händisches rüberkopieren der CRL's funktioniert aber. Hatte jemand schon mal ein ähnliches problem oder kann mir da weiterhelfen?! Viele Grüße Uwe Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Hallo langerLulatsch und willkommen im bOard :) gerade angemeldet und schon ein Problem:[/Quote]soll vorkommen :D Aber dann schauen wir mal .... Zur zeit versuche ich eine PKI aufzubauen, bestehend aus einer Root-Ca, einer SubCA und darunter mehrere SubIssueCA's. Gehört nicht zum Problem, aber warum so komplex? eine zweistufige CA tut's in den allermeisten Fällen. Nur wie bekomme ich auf dem Webserver eine Trennung für die verschiedenen CA's hin??? Habe zunächst versucht auf dem Webserver den Webrigistrierungssupportzu installieren. Tut soweit auch, aber nur mit einer CA. Jemand ne Idee, wie ich sowas bewerkstelligen kann bzw ob das überhaupt möglich ist?? Das geht nicht. Wenn du ein Webfrontend benutzt, dann muss dieses Mitglied des Forest sein, weil die INfos über CAs und CertTemplates aus dem AD gesaugt werden. Zweites Problem ist das Veröffentlichen der CRL's. Habe in den SubIssueCA's den Sperrlistenverteilungspunkt angepaßt, dass dieser in allen CA's auf die Freigabe CertEnroll des Webserver verweist. So steht es zumindest auch im TechNet. Versuche ich nun die Sperrliste zu veröffentlichen bekomme ich immer die Fehlermeldung "Verzeichnisname ungültig". Händisches rüberkopieren der CRL's funktioniert aber. Abrufen von CRL über eine beliebeige (erreichbare) File-URL geht, aber veröffentlichen kann die CA nur auf dem lokalen Filesystem. So weit ich das weiß. grizzly999 Zitieren Link zu diesem Kommentar
langerLulatsch 10 Geschrieben 14. Februar 2008 Autor Melden Teilen Geschrieben 14. Februar 2008 Servus grizzly999, zunächst vielen Dank für deine Info. Die mehrfachen CA's hatten in meiner Überlegung den Hintergrund, jeweils pro einer unserer Niederlassung eine eigene CA zu haben, welche aber zentral verwaltet werden. Sind übrigens nicht in AD eingebunden, sondern eigenständige CA's. Wollen die CA's für IPSec-Zertifikate nutzen und über den Aussteller filtern, wer wohin Zugriff haben darf. Das geht nicht. Wenn du ein Webfrontend benutzt, dann muss dieses Mitglied des Forest sein, weil die INfos über CAs und CertTemplates aus dem AD gesaugt werden. grizzly999 Mal ganz **** gefragt: Könnte man im Webbrowser nicht unterschiedliche virtuelle Verzeichnisse anlegen,die dann auf das certsrv der einzelnen CA's verweisen? Abrufen von CRL über eine beliebeige (erreichbare) File-URL geht, aber veröffentlichen kann die CA nur auf dem lokalen Filesystem. So weit ich das weiß. grizzly999 OK,zu dem Schluß bin ich nun auch gekommen. Dann hat der Sperrlistenverteilungspunkt nur Einfluß auf die im Zertifikat hinterlegten Infos zum Abrufen der Sperrlisten. Viele Grüße Uwe Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. Februar 2008 Melden Teilen Geschrieben 14. Februar 2008 Hi, Mal ganz **** gefragt: Könnte man im Webbrowser nicht unterschiedliche virtuelle Verzeichnisse anlegen,die dann auf das certsrv der einzelnen CA's verweisen? Grundsätzlich ist es möglich, einen Front-End Server mit den WebEnrollment Seiten auszustatten. Dieser muß jedoch im selben Forest der CA sein --> ergo müssen die CAs als auch der Webserver Domain Member sein. Hintergrund dafür ist, daß der Computeraccount des Webservers "Trusted for Delegation" sein muß, d.h. die Client- oder Benutzeranfrage im Namen des Antragstellers weiterleiten darf. Dies ist ausschließlich in AD Umgebungen möglich. Damit wird dies für Dich also zum Problem. Ob es rein grundsätzlich (wenn die Voraussetzung der AD Mitgliedschaft gegeben ist) möglich ist, mehrere virtuelle Verzeichnisse anzugeben, weiß ich nicht. Das ActiveX Plugin bzw. die CertEnroll.dll, die für für das WebEnrollment bis Windows Server 2003 / XP zuständig sind, müßten dies dann unterstützen --> eigentlich eine recht interessante Frage... :eek: Zu Punkt 2) Du solltest mehrere CDPs festlegen - das ist übrigens auch als Best-Practice von Microsoft immer wieder angegeben. Ansonsten bekommst Du mit der gesamten Struktur Probleme, wenn die CA ausfällt und damit auch die CRLs nicht mehr verfügbar sind. Da die CAs bei Dir nicht AD-Member sind, könntest Du die CRLs manuell im AD veröffentlichen (Zugriffspunkt LDAP) oder die CRLs auf weiteren Webservern zur Verfügung stellen (z.B. per HTTP oder FTP). Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.