dan2511 10 Geschrieben 14. Juni 2012 Melden Teilen Geschrieben 14. Juni 2012 Hallo, ich möchte interne Mails gerne verschlüsseln. Hierzu habe ich eine Enterprise CA von Microsoft aufgesetzt. Das Verschlüsselungsverfahren ist soweit klar, jedoch ist mir nicht klar, wie innnerhalb einer Domäne die Public Keys zu den jeweiligen Personen/MA kommen?! Muss ich tatsächlich jedem mein Zertifikat mit angehängtem Public Key zukommen lassen, oder gibt es eine Möglichkeit alle Public Keys irgendwie über AD zu publizieren - oder geschieht das gar automatisch? Danke im Voraus Zitieren Link zu diesem Kommentar
Blackbit 10 Geschrieben 22. Juni 2012 Melden Teilen Geschrieben 22. Juni 2012 Hallo, du kannst die Zertifikate über ein GPO verteilen. Zitieren Link zu diesem Kommentar
dan2511 10 Geschrieben 22. Juni 2012 Autor Melden Teilen Geschrieben 22. Juni 2012 super, das macht das ganze natürlich einfacher :-) jetzt noch folgende design frage: ich möcht den/die Server gerne von extern und von intern erreichbar machen. Wenn ich das richtig versehe, dann baue ich einen Root-CA im internen Netz auf. dieser wird abgeschaltet und nur ab und zu wieder aktiviert. Dann installiere ich zwei SUB -CAs (einen in der DMZ für externe, und einen für interne MA's im internen Netz. Als letztes benötige ich noch einen Webserver, auf dem ich die CRL bereitstelle. Die ROOT-CA wird nicht in die Domäne integriert, die beiden SUB-CA schon... Korrekt oder verbesserungsvorschläge?? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 25. Juni 2012 Melden Teilen Geschrieben 25. Juni 2012 Ein schönes Zitat zur PKI: "Eine PKI besteht zu 95% aus Organisation und nur zu 5% aus Technik" Bevor du über die Platzierung der Server nachdenkst, solltest du zunächst festlegen wie Interne und Externe an ein Zertifikat kommen sollen. Eine CA - insbesondere wenn AD integriert - würde ich nicht in eine DMZ stellen und/oder von außen erreichbar machen. Wenn es sein muss, können Externe auch ihre Zertifikate von einer Stand Alone Issuing CA bekommen. Wichtig sind dabei nur die gemeinsame Root CA und der Verwendungszweck im Zertifikat. Bei einer PKI, die über die Unternehmensgrenzen hinweg eingesetzt wird, sollten unbedingt CP und CPS (Certificate Policies / Certificate Practice Statements) ausgearbeitet und veröffentlicht werden. Im Idealfall stehen dabei Hausjuristen, Datenschutz, Betriebsrat und Audit zur Verfügung. Nutzungverträge mit den externen Teilnehmern sind dabei auch nicht schädlich. Insbesondere Haftungs- und Schadensersatzfragen sollten unbedingt geregelt werden. Erst im Anschluss - nach der Definitionsphase - kann über geeignete technische Mittel zur Umsetzung und ggf. zur Erzwingung der definierten Prozesse nachgedacht werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.