Jump to content

Zertifikatanforderung für Computer


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

folgendes:

 

Wenn ich eine Zertifizierungsstelle in meinem Unternehmen aufsetze, und später in der Lage sein will Vorlagen für Computerkonten zu erstellen benötige ich ja einen Server (2003 oder 2008 oder 2008R2) Enterprise Edition, soweit richtig?

 

Angenommen ich habe ein Netz mit 3 Servern -> 1 .DC (W2k3 Std) 2.DC (W2k8 Std) und 3. Member (W2k8R2).

 

Auf dem 3. Server wird nun die Rolle für die Zertifikatsdienste installiert, (ohne dass der Server DC ist) -> Kann ich dann Vorlagen erstellen?

 

Oder muss zwingend ein DC in der Enterprise Version laufen?

Kann ich den Server 3 auch zum DC promoten nachdem die Zertifizierungsstelle hinzugefügt wurde? Oder versau ich damit meine PKI ?

Link to comment

Das willst du aber so nicht machen.

 

Wenn man es richtig macht hat man min 2 Server.

1. Ist offline und nicht in der Domäne und stellt nur Zertifikate (5-10 Jahre) für Zertifizierungsstellen aus. Die zertifikate werden per Disk oder USB Stick auf den anderen Rechner transortiert.

2. Die eigendliche zertifizierungsstelle. Online und in der Domäne als Enterprise CA. Dieser Rechner stellt Zertifikate für die User / Computer aus.

 

Bei Bedarf hängt man noch 1-2 Ebenen dazwischen.

Link to comment

Hi Thomas,

 

Wenn ich eine Zertifizierungsstelle in meinem Unternehmen aufsetze, und später in der Lage sein will Vorlagen für Computerkonten zu erstellen benötige ich ja einen Server (2003 oder 2008 oder 2008R2) Enterprise Edition, soweit richtig?

 

Ab Windows Server 2008 R2 reicht auch eine Standard Version, um eigene Templates zu erstellen / bearbeiten. Siehe dazu auch Windows PKI blog : Active Directory Certificate Services Features by SKU

 

D.h. also, daß Du unter 2003 oder 2008 eine Enterprise Version für V2 Templates benötigst, unter 2008 R2 nicht mehr.

 

Version 1 Templates, die Du also nicht anpassen kannst, sind auch bis 2008 in der Standard Version möglich.

 

Angenommen ich habe ein Netz mit 3 Servern -> 1 .DC (W2k3 Std) 2.DC (W2k8 Std) und 3. Member (W2k8R2).

 

Auf dem 3. Server wird nun die Rolle für die Zertifikatsdienste installiert, (ohne dass der Server DC ist) -> Kann ich dann Vorlagen erstellen?

 

Korrekt, nur die CA selbst muß bis 2008 eine Enterprise Version sein. Die DC Versionen spielen dabei keine Rolle.

 

Oder muss zwingend ein DC in der Enterprise Version laufen?

 

Nein.

 

Kann ich den Server 3 auch zum DC promoten nachdem die Zertifizierungsstelle hinzugefügt wurde? Oder versau ich damit meine PKI ?

 

Mir wäre nicht bekannt, daß sich da etwas geändert hat - bis 2008 galt: Nein, ein DCPROMO nach Installation einer CA ist nicht supported (auch keine DEMOTION).

 

Siehe dazu auch:

http://technet.microsoft.com/en-us/library/cc875810.aspx

What Cannot Change After CA Deployment

 

* The preliminary information that you supply during setup, such as the name of the CA, cannot be changed after the CA setup is complete.

* The computer's domain settings, such as joining a domain or promoting a server to a domain controller, cannot be changed after the certification authority is installed.

* If you installed the enterprise CA as an Enterprise Admin or delegated user, then you must use the Enterprise Admin or delegated user account when you uninstall the enterprise CA.

 

Auch aus Sicherheitsgründen ist es nicht empfehlenswert, eine CA auf einem DC (oder einer anderen Serverrolle) laufen zu lassen. Ich würde also so oder so davon abraten.

 

Viele Grüße

olc

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...