Jump to content
Sign in to follow this  
apohl

alternative CA für X.509 ?

Recommended Posts

MoinMoin,

 

ich bin auf der Suche nach einer alternative Certificate Authority, die ich lokal auf meinem Client betreiben kann (bzw. idealerweise auf einen Stick oder in einer VM installieren kann) - ich möchte ungern eine CA offen im Firmennetz betreiben... zum einen gibt es keine Notwendigkeit, daß jeder Mitarbeiter da ran kommt und zum anderen find ich, daß so etwas nicht ins offene Firmenentz gehört.

 

Hat da irgendjemand eine Alternative ?

Share this post


Link to post
Share on other sites

Öhm, sorry - so etwas habe ich noch nie geschrieben, ist auch nicht böse gemeint. Aber ist das jetzt wirklich Dein Ernst...?

 

Eine CA

- auf einem USB-Stick (sic!)

- die Du nicht ins Firmennetz bringen willst, sondern lokal auf einem Client (sic!) betreiben willst (ich unterstelle jetzt mal, Du redest hier nicht von einer Offline-CA)

- keine Notwendigkeit, daß Benutzer / Clients "herankommen" (auch hier gibt es durchaus Szenarien, aber mit den wenigen Informationen von Dir schwierig einzugrenzen)

- die nicht ins "offene" Firmennetz gehört? (was bedeutet "offen"?)

 

Muß da mal nachhaken: Wie eine CA funktioniert bzw. was ihr Sinn und Zweck ist weißt Du?

 

Certificate authority - Wikipedia, the free encyclopedia

 

Vielleicht kannst Du ja noch einmal ein wenig genauer beschreiben, was Du eigentlich erreichen möchtest.

 

Gruß olc

Share this post


Link to post
Share on other sites

MoinMoin,

 

Eine CA

- auf einem USB-Stick (sic!)

- die Du nicht ins Firmennetz bringen willst, sondern lokal auf einem Client (sic!) betreiben willst (ich unterstelle jetzt mal, Du redest hier nicht von einer Offline-CA)

- keine Notwendigkeit, daß Benutzer / Clients "herankommen" (auch hier gibt es durchaus Szenarien, aber mit den wenigen Informationen von Dir schwierig einzugrenzen)

- die nicht ins "offene" Firmennetz gehört? (was bedeutet "offen"?)

 

Doch, ich rede von einer Offline-CA ... einer CA, die nur dazu dient, Zertifikate für bestimmte interne Dienste auszustellen, die nicht automatisiert läuft, deren Revocation Liste manuell an die entsprechenden "Server" verteilt wird und die, wenn Sie nicht gebraucht wird, so sicher wie möglich "weggeschlossen" wird.

 

Ich hoffe, Du verstehst, daß ich jetzt nicht alle Gründe aufliste, die mich dazu bewegen, eben keine Online-CA im Netz zu installieren - lange drüber nachgedacht und zu dem Schluss gekommen, daß diese vorgehensweise in diesem Szenario Sinn macht.

 

Muß da mal nachhaken: Wie eine CA funktioniert bzw. was ihr Sinn und Zweck ist weißt Du?

 

(Scherz)

Jep - ich weiß, daß es in Foren eher unüblich ist, daß User sich vorher mit einem Thema befassen - aber ich bin stolz darauf, hier die Ausnahme zu bilden :) (/Scherz)

 

Spaß beiseite... ich bin mit den Regelszenarien, den Anforderungen und what ever einer CA durchaus vertraut und nutze an anderer Stelle (im privaten Umfeld) selbst CaCert.org - was auch vollkommen reichen würde, wenn es nicht so ein Akt wäre, dort einen Firmenaccount samt entsprechender Punktanzahl zu bekommen.

 

Vielleicht kannst Du ja noch einmal ein wenig genauer beschreiben, was Du eigentlich erreichen möchtest.

 

Hmpf - kurz gesagt: Ich brauche für verschiedene Mitarbeiter, die Zugang zu verschiedenen Diensten haben, X.509-Zertifikate. Die Server, die diese dineste anbieten brauchen entsprechende Serverzertifikate; da die entsprechenden Softwarepakete nur offline eingespielte Revoc.-Listen bearbeiten, braucht die schon mal nicht Online zu sein.

 

Da bei uns in der Firma das Credo herrscht, daß Zugriffsrechte hinderlich sind und jeder alles darf, habe ich kein ruhiges Gewissen dabei, die irgendwo ins Netz zu stellen, da so einfach die Gefahr zu groß ist, daß das Root-Zertifikat kompromitiert wird - daher der "Stick" ... den kann ich einfach in meinen Safe stecken, wo auch die ganzen Lizenzen verwahrt werden.

 

Ich glaube auch, daß ich gestern abend was gefunden habe ... http://www.intrusion-lab.net/roca/

 

Ich gebe aber gerne zu, daß mir an dieser Stelle vom Handling her eine Win-Lösung lieber wäre.

Share this post


Link to post
Share on other sites

Eine Windows Lösung kannst du dafür schon machen. Du setzt einen 2003 Server in einer Arbeitsgruppe auf und installierst die Zertifikatsdienste mit den Einstellungen, die du benötigst (vorher IIS noch installieren).

 

 

grizzly999

Share this post


Link to post
Share on other sites

Hi Grizzly,

 

danke für die Antwort - ich hab leider keine Server-Lizenz mehr frei (meines Wissens ist der parallele Betrieb in einer VM ja kaut Eula nicht gestattet).... und extra eine neue anschaffen, wäre dann wohl die sprichwörtliche Kanonenkugel für den Spatz :-)

Share this post


Link to post
Share on other sites

Hi,

 

danke für Deine Ausführungen.

 

Auch für das von Dir beschriebene Szenario solltest Du keine CA auf einem Client oder Stick installieren. ;)

 

Wenn Du keine Lizenz für eine Windows CA (Offline Root-CA) mehr frei hast, wird es meines Wissens mit Windows Lösungen schwer. Du könntest Dir jedoch einmal OpenCA für Linux anschauen - obwohl ich selbst noch nicht damit gearbeitet habe, habe ich ab und an schon etwas davon gehört. Soll unter Linux die CA Lösung sein, schaut man von ein paar Kommandozeilentools einmal ab.

 

Unter Windows ist mir leider keine (gute) Lösung bekannt.

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites

Wobei zu sagen ist, dass die interdisziplinäre Nutzung von CAs bzw. deren Zertifikaten usw. also Linux, Windows u.a. trotz RFCs u.a. oftmals sehr müssig und viel Gebastel ist und dann vieles doch nicht funktioniert. Vor allem Zertifikate mit private Key aus dem einen System raus in ein anderes bekommen. :rolleyes:

Habe da schon leidvolle Erfahrungen gemacht, daher meine Empfehlung: innerhalb einer Familie bleiben, schont Nerven und spart eine Menge Zeit.

 

grizzly999

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...