Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
traxanos

Eigene RootCA in der AD bereitstellen.

Empfohlene Beiträge

Hallo Zusammen,

 

wir betreiben eine eigene (SelfSigned) Root CA mit mehren Intermediate-Zertifikate für verschiedene Dienste (z.B. VPN, SSL) Jetzt haben wir aktuell eine AD mit einer extra RootCA welche damals automatisch  generiert wurde. Jetzt stellt sich die Frage, ob wir für die AD ein eigenes Intermediate-Zertifikate auf Basis unserer Root CA erstellen und verwenden können. Auch ist die Fragen, ob ein Wechsel im laufenden Betrieb Probleme mit den Windowsrechner gibt (in AD eingebunden).

 

Suche schon seit einigen Wochen nach einer Möglichkeit und bin leider weger bei Google, MSDN noch hier im Forum fündig geworden. Vielleicht hat jemand einen Tipp / Idee.

 

Gruß

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also wir betreiben selber eine eigene RootCA und möchte das alles von dieser abgeleitet wird. Das Funktioniert auch wunderbar, z.B. hat unser OpenVPN-Server ein eigenes Intermediate-Zertifikate für die Verwaltung der Benutzerzertifikate. Oder für unseren ganzen Webanwendungen haben wir ebenfalls ein extra Intermediate-Zertifikate um eigene SSL-Zertifikate zu erstellen.

 

Die einzige Ausnahme ist aktuell unsere Windows AD. Diese hat automatisch bei der Einrichtung eine eigene RootCA erstellt bekommen. Jetzt möchten wir aber gerne das die Windows AD ein Intermediate-Zertifikate von unserer RootCA verwendet, so dass alle Zertifikate die in der AD ausgestellt werden, mit unserer RootCA verifiziert werden kann. Leider kann ich aber nirgends ein Zertifikat hochladen. Lediglich die Erstellung einer neuen CA kann ich veranlassen, aber ohne irgendwelche Parameter. 

 

Mir ist es dabei egal, ob die AD mir ein CSR bereitstellt oder ich selber direkt das Intermediate-Zertifikate erstelle. Nur finde weder für die eine noch für die andere Variante Option.

 

EDIT: Wir verwenden aktuell noch Windows Server 2008 R2

bearbeitet von traxanos

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also automatisch erstellt aber kein AD ne Root CA. Ich würd also erstmal nachschauen, welche Zertifikate die schon ausgestellt hat. Und ja, du kannst natürlich im AD eine untergeordnete (intermediate) AD-integrierte CA erstellen. Ich würd dafür übrigens nicht den DC empfehlen. ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Natürlich stellt eine AD immer eine RootCA aus (selfsigned) und erstellt auf Basis dieser z.B. Benutzer- und Computerzertifikate. Ggf. gibt es hier ein ein Problem was man unter einer RootCA versteht. Ich versteh darunter jede CA die keine übergeordnete CA mehr hat. Und nein ich möchte unter dieser WindowsCA kein Intermediate anlegen. Wir sind Provider und betreiben wie gesagt unsere eigene RootCA und möchte das diese WindowsCA als Intermediate unser RootCA läuft und nicht anders rum.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nein stellt sie nicht. Wenn ich eine Domain erstellt gibt's noch lange keine CA. Kannst du mir glauben. ;) Und ich benutze dazu keine Tricks und Kniffe. Und ja, eine Root-CA ist das, was eine Root-CA ist und die ist selbstverständlich selbstsigniert. ;) Und wenn ihr die Windows CA als Sub-CA haben wollt, dann müßt ihr die so konfigurieren. Nur kannst du nachträglich meines Wissens nach keine Root-CA unter eine andere hängen. Wäre dann nicht sehr vertrauenswürdig.

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also ich habe die aber die CA nie angelegt! Sie war vom ersten Tag da. Und alle Rechner haben direkt Zertifkate nach dem einhängen bekommen. Ob das durch den Wizard damals von MS mit angelegt wurde oder so - keine Ahnung. Aber es spielt ja auch keine Rolle. Die CA ist ja nun da. Und die Frage ist wie kann ich diese austauschen gegen eine von unser CA ist bzw. signiert wurden?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die nicht mehr erwünschte Root CA sollte sauber stillgelegt werden

http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx

 

Vorher, parallel oder ggf. später könnte man eine AD-integrierte Sub CA in Betrieb nehmen. Den idealen Zeitpunkt und das genaue Vorgehen müsste man im Zuge der Projektierung ermitteln.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@dunkelmann

das hilft mir weiter.

 

Mal so eine zusätzliche Frage, kann die AD auch direkt einen SCEP Server ansprechen? Weil dann Spare ich mich mir den Aufwand und könnte direkt unsere eigene CA-Verwaltung ansteuern.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Aha, lies dir mal den Artikel genau durch. 

Und ein ein AD erstellt nicht von alleine eine CA.

Vielleicht sortierst Du nochmal und beschreibst exakt  eine Ausgangssituation uns  das Zielzenario.

Eine Root-CA von   den Windows CA-Diensten ist nicht "SelfSigned".

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×