Jump to content

Eigene RootCA in der AD bereitstellen.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

wir betreiben eine eigene (SelfSigned) Root CA mit mehren Intermediate-Zertifikate für verschiedene Dienste (z.B. VPN, SSL) Jetzt haben wir aktuell eine AD mit einer extra RootCA welche damals automatisch  generiert wurde. Jetzt stellt sich die Frage, ob wir für die AD ein eigenes Intermediate-Zertifikate auf Basis unserer Root CA erstellen und verwenden können. Auch ist die Fragen, ob ein Wechsel im laufenden Betrieb Probleme mit den Windowsrechner gibt (in AD eingebunden).

 

Suche schon seit einigen Wochen nach einer Möglichkeit und bin leider weger bei Google, MSDN noch hier im Forum fündig geworden. Vielleicht hat jemand einen Tipp / Idee.

 

Gruß

Link zu diesem Kommentar

Also wir betreiben selber eine eigene RootCA und möchte das alles von dieser abgeleitet wird. Das Funktioniert auch wunderbar, z.B. hat unser OpenVPN-Server ein eigenes Intermediate-Zertifikate für die Verwaltung der Benutzerzertifikate. Oder für unseren ganzen Webanwendungen haben wir ebenfalls ein extra Intermediate-Zertifikate um eigene SSL-Zertifikate zu erstellen.

 

Die einzige Ausnahme ist aktuell unsere Windows AD. Diese hat automatisch bei der Einrichtung eine eigene RootCA erstellt bekommen. Jetzt möchten wir aber gerne das die Windows AD ein Intermediate-Zertifikate von unserer RootCA verwendet, so dass alle Zertifikate die in der AD ausgestellt werden, mit unserer RootCA verifiziert werden kann. Leider kann ich aber nirgends ein Zertifikat hochladen. Lediglich die Erstellung einer neuen CA kann ich veranlassen, aber ohne irgendwelche Parameter. 

 

Mir ist es dabei egal, ob die AD mir ein CSR bereitstellt oder ich selber direkt das Intermediate-Zertifikate erstelle. Nur finde weder für die eine noch für die andere Variante Option.

 

EDIT: Wir verwenden aktuell noch Windows Server 2008 R2

bearbeitet von traxanos
Link zu diesem Kommentar

Natürlich stellt eine AD immer eine RootCA aus (selfsigned) und erstellt auf Basis dieser z.B. Benutzer- und Computerzertifikate. Ggf. gibt es hier ein ein Problem was man unter einer RootCA versteht. Ich versteh darunter jede CA die keine übergeordnete CA mehr hat. Und nein ich möchte unter dieser WindowsCA kein Intermediate anlegen. Wir sind Provider und betreiben wie gesagt unsere eigene RootCA und möchte das diese WindowsCA als Intermediate unser RootCA läuft und nicht anders rum.

Link zu diesem Kommentar

Nein stellt sie nicht. Wenn ich eine Domain erstellt gibt's noch lange keine CA. Kannst du mir glauben. ;) Und ich benutze dazu keine Tricks und Kniffe. Und ja, eine Root-CA ist das, was eine Root-CA ist und die ist selbstverständlich selbstsigniert. ;) Und wenn ihr die Windows CA als Sub-CA haben wollt, dann müßt ihr die so konfigurieren. Nur kannst du nachträglich meines Wissens nach keine Root-CA unter eine andere hängen. Wäre dann nicht sehr vertrauenswürdig.

bearbeitet von NorbertFe
Link zu diesem Kommentar

Also ich habe die aber die CA nie angelegt! Sie war vom ersten Tag da. Und alle Rechner haben direkt Zertifkate nach dem einhängen bekommen. Ob das durch den Wizard damals von MS mit angelegt wurde oder so - keine Ahnung. Aber es spielt ja auch keine Rolle. Die CA ist ja nun da. Und die Frage ist wie kann ich diese austauschen gegen eine von unser CA ist bzw. signiert wurden?

Link zu diesem Kommentar

Die nicht mehr erwünschte Root CA sollte sauber stillgelegt werden

http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx

 

Vorher, parallel oder ggf. später könnte man eine AD-integrierte Sub CA in Betrieb nehmen. Den idealen Zeitpunkt und das genaue Vorgehen müsste man im Zuge der Projektierung ermitteln.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...