Jump to content

Zertifizierungsstelle - CRL-Verteilungspunkte für Internet


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo!

 

Ich habe im Netzwerk (Server 2k3) eine eigenständige Stammzertifizierungsstelle im Intranet und eine untergeordnete Organisations-CA in der DMZ eingerichtet. Ziel ist es, Zertifikate für Internetdienste auszustellen.

Nun habe ich mir ein solches Zertifikat der untergeordneten CA, ausgestellt für eine URL, angesehen und finde darin keine vernünftige Internet-Adresse zu den CRL-Verteilungspunkten.

Muss man diese selbst konfigurieren und im IIS eine Website dafür einrichten? Und muss man auch die CRL-Verteilungspunkte öffentlich der Stamm-CA zugänglich machen und wird dafür eine eigene Website benötigt?

 

Nachdem für die Installation der Zertifikatsdienste die Internetdienste nötig waren, dachte ich das wird automatisch eingerichtet.

 

Bin für jeden Rat sehr dankbar. Habe im Netz zu diesem komplexen Thema nur spärliche Infos gefunden und zu obigen Fragen überhaupt nichts.

 

Richard

Link to comment
Ich habe im Netzwerk (Server 2k3) eine eigenständige Stammzertifizierungsstelle im Intranet und eine untergeordnete Organisations-CA in der DMZ eingerichtet

Das ist alles andere als trivial.

Muss man diese selbst konfigurieren und im IIS eine Website dafür einrichten?

Yep und Yep.

Und muss man auch die CRL-Verteilungspunkte öffentlich der Stamm-CA zugänglich machen

Wie meinst du das jetzt? Die CRL der ausstellenden CA der RootCA zugänglich machen? Nein!

Die CRL der RootCA zugänglich machen? Ja.

 

und wird dafür eine eigene Website benötigt?

Nein.

Nachdem für die Installation der Zertifikatsdienste die Internetdienste nötig waren, dachte ich das wird automatisch eingerichtet.

Abgesehen davon, dass die Internetdienste für die Installation einer CA nicht nötig sind, nur für das Webenrollment, wird da nichts automatisch eingerichtet.

 

Habe im Netz zu diesem komplexen Thema nur spärliche Infos gefunden

Die Infos sind eher das Gegenteil von spärlich.

Nur, ich glaube, du suchst ganz speziell nur zu diesem einen Punkt was, das wird schwierig, weil das - wie schon gesagt - ein ziemlich komplexes Thema ist und die meisten Sachen, so auch das Thema, AIA, CDP nur immer im Zusammenhang gesehen und beschrieben werden.

 

Nun, den CDP passt du am besten über die MMC in den Eigenschaften der CA im Reiter "Erweiterungen" an deine speziellen Gegebenheiten und Bedürfnisse an.

 

grizzly999

Link to comment
Das ist alles andere als trivial.

Ich hatte gelesen und gehört, dass man das so macht.

 

Wie meinst du das jetzt? Die CRL der ausstellenden CA der RootCA zugänglich machen? Nein!

Die CRL der RootCA zugänglich machen? Ja.

Hatte mich etwas verstolpert beim schreiben. Ich wollte wissen, ob man die CRL der Root-CA auch ins Web stellen muss. Aber die Antwort hast du ja gegeben.

 

Abgesehen davon, dass die Internetdienste für die Installation einer CA nicht nötig sind, nur für das Webenrollment, wird da nichts automatisch eingerichtet.

Was dazu gelernt.

 

Die Infos sind eher das Gegenteil von spärlich.

Nur, ich glaube, du suchst ganz speziell nur zu diesem einen Punkt was, das wird schwierig

So hab ich das gemeint. Zum Thema CDP-Konfiguration hatte ich in keiner Anleitung diese Infos gefunden.

 

 

Vielen Dank!

 

LG,

Richard

Link to comment

Ich gestehe, viele Artikel und Anleitung dazu gibt es nicht mehr auf der MS-Homepage. Die besten Teile dazu haben die inzwiscchen vom Netz genommen. Hier ist noch was: Specify certificate revocation list distribution points in issued certificates

 

Und ein sehr ausführliches Paper zu PKI hier (wenn auch nicht so gut wie das Paper von vor 3 Jahren):

Download details: Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure

 

 

grizzly999

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...