OCSP auf Server in einer DMZ

[mathschut 0]

Hi,

 

ich habe eine offline Root PKI am laufen,diese ist nicht im AD. Im AD habe ich eine SUB-CA am laufen. In einer DMZ steht der IIS worauf die Sperrlisten veröffentlicht werden. Der IIS Server befindet sich nicht im AD wie die Sub-Ca. Wo muss ich denn nun den OCSP Dienst intallieren, auf dem externen IIS Server mit den Sperrlisten oder auf der internen Sub-Ca.

 

Ich dank euch schon mal für die Antworten.

 

Mfg

 

Mathias

[zahni 587]

Die Frage ist: Wer soll den Online Responder erreichen können. Das "Internet" oder nur interne Geräte.

[mathschut 0]

Clients aus der DMZ und aus dem internen LAN. Deswegen steht der Server zum verteilen auch in der DMZ. Sollte ich dafür den Online Responder auf dem Server in der DMZ installieren wo auch schon der IIS für die Sperrlisten läuft?

[mathschut 0]

Hi,

 

kann mir keiner helfen?

[zahni 587]

Nicht ohne das Konzept genau zu kennen. An Besten sucht Du Dir einen kompetenten Berater.

[mathschut 0]

Das Konzept ist, eine interne PKI zu betreiben, was Zertifikate für interne sowie externe Clients in einer DMZ bereitstellt. Ich möchte das gerne in einer Testumgebung aufbauen, ohne gleich einen externen Berater zu bestellen und zu bezahlen.

[zahni 587]

Aber was sollten wir denn nun raten: Bei der einen Variante müsse interne Clients auf den Online Responder in der DMZ zugreifen, bei der anderen Variante die DMZ nach intern. Oder Du installierst 2 von der Sorte, eventuell mit SPLIT-DNS. Ob  man einen OSCP ohne AD-Anbindung installieren kann, entzieht  sich meiner Kenntnis.

Ob die überhaupt einen Online Responder brauchst, kann ich Dir auch nicht sagen. Das  muss in Deinem Konzept stehen.