viragomann 10 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Hallo! Ich habe im Netzwerk (Server 2k3) eine eigenständige Stammzertifizierungsstelle im Intranet und eine untergeordnete Organisations-CA in der DMZ eingerichtet. Ziel ist es, Zertifikate für Internetdienste auszustellen. Nun habe ich mir ein solches Zertifikat der untergeordneten CA, ausgestellt für eine URL, angesehen und finde darin keine vernünftige Internet-Adresse zu den CRL-Verteilungspunkten. Muss man diese selbst konfigurieren und im IIS eine Website dafür einrichten? Und muss man auch die CRL-Verteilungspunkte öffentlich der Stamm-CA zugänglich machen und wird dafür eine eigene Website benötigt? Nachdem für die Installation der Zertifikatsdienste die Internetdienste nötig waren, dachte ich das wird automatisch eingerichtet. Bin für jeden Rat sehr dankbar. Habe im Netz zu diesem komplexen Thema nur spärliche Infos gefunden und zu obigen Fragen überhaupt nichts. Richard Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Ich habe im Netzwerk (Server 2k3) eine eigenständige Stammzertifizierungsstelle im Intranet und eine untergeordnete Organisations-CA in der DMZ eingerichtet Das ist alles andere als trivial. Muss man diese selbst konfigurieren und im IIS eine Website dafür einrichten? Yep und Yep. Und muss man auch die CRL-Verteilungspunkte öffentlich der Stamm-CA zugänglich machen Wie meinst du das jetzt? Die CRL der ausstellenden CA der RootCA zugänglich machen? Nein! Die CRL der RootCA zugänglich machen? Ja. und wird dafür eine eigene Website benötigt? Nein. Nachdem für die Installation der Zertifikatsdienste die Internetdienste nötig waren, dachte ich das wird automatisch eingerichtet. Abgesehen davon, dass die Internetdienste für die Installation einer CA nicht nötig sind, nur für das Webenrollment, wird da nichts automatisch eingerichtet. Habe im Netz zu diesem komplexen Thema nur spärliche Infos gefunden Die Infos sind eher das Gegenteil von spärlich. Nur, ich glaube, du suchst ganz speziell nur zu diesem einen Punkt was, das wird schwierig, weil das - wie schon gesagt - ein ziemlich komplexes Thema ist und die meisten Sachen, so auch das Thema, AIA, CDP nur immer im Zusammenhang gesehen und beschrieben werden. Nun, den CDP passt du am besten über die MMC in den Eigenschaften der CA im Reiter "Erweiterungen" an deine speziellen Gegebenheiten und Bedürfnisse an. grizzly999 Zitieren Link zu diesem Kommentar
viragomann 10 Geschrieben 17. Oktober 2008 Autor Melden Teilen Geschrieben 17. Oktober 2008 Das ist alles andere als trivial. Ich hatte gelesen und gehört, dass man das so macht. Wie meinst du das jetzt? Die CRL der ausstellenden CA der RootCA zugänglich machen? Nein!Die CRL der RootCA zugänglich machen? Ja. Hatte mich etwas verstolpert beim schreiben. Ich wollte wissen, ob man die CRL der Root-CA auch ins Web stellen muss. Aber die Antwort hast du ja gegeben. Abgesehen davon, dass die Internetdienste für die Installation einer CA nicht nötig sind, nur für das Webenrollment, wird da nichts automatisch eingerichtet. Was dazu gelernt. Die Infos sind eher das Gegenteil von spärlich.Nur, ich glaube, du suchst ganz speziell nur zu diesem einen Punkt was, das wird schwierig So hab ich das gemeint. Zum Thema CDP-Konfiguration hatte ich in keiner Anleitung diese Infos gefunden. Vielen Dank! LG, Richard Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Ich gestehe, viele Artikel und Anleitung dazu gibt es nicht mehr auf der MS-Homepage. Die besten Teile dazu haben die inzwiscchen vom Netz genommen. Hier ist noch was: Specify certificate revocation list distribution points in issued certificates Und ein sehr ausführliches Paper zu PKI hier (wenn auch nicht so gut wie das Paper von vor 3 Jahren): Download details: Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.