Roscoe 10 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 Hallo zusammen, ich bin auf der Suche nach ner Möglichkeit zentral in unserer Domäne eine zentrale Ablage für unsere Zertifikate zu erstellen. Eine eigene ein-/mehrstufige Microsoft PKI kommt nicht in Frage. Die Funktionalität sollte so sein, dass wenn ein Windows / Linux Server feststellt, dass ein bestimmtes Zertifikat abgelaufen ist, es neu angefordert werden soll, bzw. auf einem Share o.ä. nach einem aktuelleren Zertifikat suchen soll und dieses dann installiert. Jemand ne Idee? Zitieren
NorbertFe 2.255 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 Ja nennt sich Zertifizierungsstelle, oder was stellst du dir jetzt hier grad als Lösung vor? ;) Zitieren
Roscoe 10 Geschrieben 9. Juli 2015 Autor Melden Geschrieben 9. Juli 2015 Am 9.7.2015 um 11:51 schrieb NorbertFe: Ja nennt sich Zertifizierungsstelle, oder was stellst du dir jetzt hier grad als Lösung vor? ;) Kann von einer Microsoft Zertifizierungsstelle auch etwas von einem Linux-Server abrufen? Oder darf das heterogen sein? Zitieren
Nobbyaushb 1.571 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 (bearbeitet) Am 9.7.2015 um 11:48 schrieb Roscoe: Hallo zusammen, Eine eigene ein-/mehrstufige Microsoft PKI kommt nicht in Frage. Warum, was hast du dagegen? :rolleyes: Was verstehst du unter abrufen? ein Root-CA stellt aus, egal ob unter Windows oder was auch immer.. bearbeitet 9. Juli 2015 von Nobbyaushb Zitieren
NorbertFe 2.255 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 (bearbeitet) Zitat Kann von einer Microsoft Zertifizierungsstelle auch etwas von einem Linux-Server abrufen? Oder darf das heterogen sein? Häh, wie meinen? Bye Norbert bearbeitet 9. Juli 2015 von NorbertFe Zitieren
Roscoe 10 Geschrieben 9. Juli 2015 Autor Melden Geschrieben 9. Juli 2015 Sorry, ich war wohl unterzuckert ;-) Gegen eine Microsoft CA spricht meiner Ansicht nach nichts, nur ist das nicht gewünscht im Unternehmen. Deswegen versuche ich eine Alternative zu finden mit der ich das Ganze realisiere. Aber so wie ichs im Netz lese bzw. hier lese/höre, komme ich wohl nicht um eine eigene CA rum? Zitieren
Nobbyaushb 1.571 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 Am 9.7.2015 um 12:08 schrieb Roscoe: Sorry, ich war wohl unterzuckert ;-) Gegen eine Microsoft CA spricht meiner Ansicht nach nichts, nur ist das nicht gewünscht im Unternehmen. Deswegen versuche ich eine Alternative zu finden mit der ich das Ganze realisiere. Aber so wie ichs im Netz lese bzw. hier lese/höre, komme ich wohl nicht um eine eigene CA rum? Wer will das nicht? Einmal Gedanken dazu gemacht, sauber eingerichtet und für 10 Jahre Ruhe. Muss man aber zu Enden denken, gibt hier einen Thread mit einem Link dazu. Gerade weil PKI im Schnitt 10 Jahre (oder mehr...) läuft sollte man das sehr sorgfältig planen. ;) Zitieren
NorbertFe 2.255 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 Na dann nimm halt ne andere CA. :rolleyes: Die würd ich dann aber von dem planen, implementieren und betreuen lassen, der sich gegen eine Windows-basierte/-integrierte PKI sträubt. ;) Bye Norbert Zitieren
Dunkelmann 96 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 Moin, Am 9.7.2015 um 11:48 schrieb Roscoe: Hallo zusammen, ich bin auf der Suche nach ner Möglichkeit zentral in unserer Domäne eine zentrale Ablage für unsere Zertifikate zu erstellen. Warum? Am 9.7.2015 um 11:48 schrieb Roscoe: Eine eigene ein-/mehrstufige Microsoft PKI kommt nicht in Frage. Man kann eine PKI auch mit OpenSSL aufbauen. Am 9.7.2015 um 11:48 schrieb Roscoe: Die Funktionalität sollte so sein, dass wenn ein Windows / Linux Server feststellt, dass ein bestimmtes Zertifikat abgelaufen ist, es neu angefordert werden soll, bzw. auf einem Share o.ä. nach einem aktuelleren Zertifikat suchen soll und dieses dann installiert. Also ein Zertifikat inkl. privatem Schlüssel irgentwo ins Netzwerk packen?Dann kannst Du Dir das Verschlüsseln und Signieren gleich sparen. Bei einer PKI bzw. bei Zertifikaten geht es um Vertrauen; so einem Konstrukt würde ich definitiv nicht vertrauen. Am 9.7.2015 um 11:48 schrieb Roscoe: Jemand ne Idee? Beschäftige Dich mit den Grundlagen einer PKI bevor Du so ein Thema angehst. Zitieren
blub 115 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 Am 9.7.2015 um 12:08 schrieb Roscoe: Deswegen versuche ich eine Alternative zu finden mit der ich das Ganze realisiere. Aber so wie ichs im Netz lese bzw. hier lese/höre, komme ich wohl nicht um eine eigene CA rum? Wir haben in unserem Unternehmen mal die Kosten pro Zertifikat aus einer eigenen CA den Kosten eines Zertifikates aus einer externen CA gegenübergestellt. Die Kosten bei einer externen CA waren um einiges günstiger, wobei es nur um Userzertifikate ging. Für interne Maschinenzertifikate führt wohl kaum ein vernünftiger Weg an einer MS-CA vorbei. Dafür muss man auch nicht die absolute High-Secure Lösung aufbauen, wie ggf. für Userzertifikate. blub Zitieren
daabm 1.409 Geschrieben 9. Juli 2015 Melden Geschrieben 9. Juli 2015 (bearbeitet) Am 9.7.2015 um 13:05 schrieb Dunkelmann: Man kann eine PKI auch mit OpenSSL aufbauen. Viel Spaß beim Implementieren der erforderlichen Automation, die einem bei einer AD-integrierten PKI quasi "geschenkt" wird - und ja, ich weiß, wovon ich rede... :D bearbeitet 9. Juli 2015 von daabm Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.