Jump to content

Zertifizierungsstelle einrichten

tSh-Floyd

Von tSh-Floyd
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NilsK Grand Master

NilsK   2.790

Geschrieben
Geschrieben

Moin,

 

das hängt davon ab, welchen CA-Typ du nutzt: Standalone oder AD-integriert. Eine Standalone-CA greift nur minimal bis gar nicht in die Umgebung ein. Bei einer AD-integrierten CA ist erheblich mehr Planungsaufwand nötig.

 

Grundsätzlich musst du konkreten Diensten ein Zertifikat ausdrücklich zuweisen; vorhandene Zertifikate sollten sich also nicht daran stören, wenn es eine neue CA gibt.

 

Vielleicht ist dies noch eine Alternative (weil einfacher aufgebaut):

faq-o-matic.net SSL-Zertifikate fr den IIS mit OpenSSL

 

Gruß, Nils

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Wie groß der Planungsaufwand ist, kommt darauf an, wieviele Stufen die CA hat. In dem Fall wohl nur eine. Da ist der Aufwand gering. Man überlegt, wo die CA laufen soll, wie lange das CA-Zertifikat gültig sein soll, und wie sie heißen soll.

 

Kann ich die, wenn ich damit nur ein Zertifikat für den Communications Server ausstelle die reltiv leicht wieder entfernen?
Öha?! Eine Unternehmens-CA ist nicht dazu da, dass man mit der ein Zertifikat ausstellt und sie dann wieder entfernt. :nene:

Da nimmst du dann besser ein Selbstsigniertes Cert oder ein Offline CA, zumal ja eine AD-integrierte CA ins AD schreibt, und danach auch Teile davon dort liegen bleiben würden. Die kann man zwar manuell wieder rausräumen, z.B. mit ADSIEdit, aber dafür ist das Ganze nicht gedacht.

 

grizzly999

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Wie kann ich mir ein selbstsigniertes Zertifikat bzw. ein Offline CA erstellen?

in dem Link von Nils bezieht sich das ja soweit ich das verstanden habe nur auf den IIS?

Der OCS braucht doch eh' ein IIS, oder?! Dann hat man das ja schon.

Offline CA, das schrieb ich, ja. Da waren die Finger schneller als die Gedanken. Ich meinte natürlich eine Eigenständige CA, also nicht ins AD integriert. Das geht genauso wie eine AD-integrierte, nur dass man im Wizard eine Eigenständige auswählt. Anm.: Die Vorlagen lassen sich da nicht konfigurieren, Computerzertifikate werden dort deshalb nur für 1 jahr ausgestellt und müssen dann erneuert oder nue ausgestellt werden.

 

 

grizzly999

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.790

Geschrieben
Geschrieben

Moin,

 

Jungs - eine AD-integrierte CA will wirklich gut geplant sein, gerade weil sie vom Anspruch her "für die Ewigkeit" gemacht ist. Gut geplant heißt dabei auch, dass man sich jemanden dazuholt, der die Materie kennt. Es geht ja nicht nur um die CA selber (bei einer AD-integrierten CA ist eine Stufe i.d.R. nicht sinnvoll), sondern auch um Themen wie Management, Backup, Recovery, Berechtigungen, Autorollout ...

 

Wenn es nur um ein einzelnes Zertifikat für einen einzelnen Dienst geht, ist eine Standalone-CA oder noch was Kleineres das Mittel der Wahl. Der von mir gepostete Link bezieht sich in der Tat nur auf SSL-Zertifikate, aber das reicht für die meisten Feld-, Wald- und Wiesen-Dienste eben auch aus.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...