Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
traxanos

Eigene RootCA in der AD bereitstellen.

Empfohlene Beiträge

> Und ein ein AD erstellt nicht von alleine eine CA.

das haben wir doch schon geklärt

 

> Aha, lies dir mal den Artikel genau durch. 

Der über SCEP? oder den aus dem Technet?

 

> Vielleicht sortierst Du nochmal und beschreibst exakt  eine Ausgangssituation uns  das Zielzenario.

Habe ich doch oben.

 

> Eine Root-CA von   den Windows CA-Diensten ist nicht "SelfSigned".

Spielt überhaupt keine Rolle in meinem Fall.

 

Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie. Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen.

 

Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie.

Natürlich geht das. Du mußt es nur so konfigurieren! Das geht aber nicht nachträglich mit deiner bereits bestehenden Root-CA, weil das dem Gedanken einer PKI (vertrauenswürdiges Ausstellen von Zertifikaten) entgegen steht. BEdeutet für dich also , dass du eine zusätzliche CA im AD installieren mußt. Ob du deine bestehende Root-CA unter Windows bestehen läßt ist egal. Du kannst im AD mehrere AD-integrierte CAs haben.

 

Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen.

Mußt du ja nicht. Hab ich dir oben ja auch schon geschrieben.

 

Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.

Wofür willst du den denn nutzen?

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du hast immer noch nicht beantwortet, was bei Euch der SCEP-Server ist. Wenn Du eine neue RootCA erstellt, müssen alle Zertifikate von dieser CA abgeleitet werden (ist ja logisch, oder?). "SelfSigned" hats Du selber geschrieben. Einer der Gründe, warum wir nur Bahnhof verstehen.

In dem von Dir verlinkten Artikel steht, dass auch eine Windows-CA das SCEP-Protokoll unterstützt (wenn man die Option mit installiert).

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Grundsätzlich kann Windows SCEP.

 

@TraxanoS

Es wird hier im Thread gerade etwas unübersichtlich. Du würfelst einiges an Begrifflichkeiten durcheinander bzw. formulierst missverständlich.

Bei einer PKI ist die Technik selten der problematische Teil. Viel wichtiger sind klar definierte Anforderungen und die zugehörigen Prozesse.

 

Ich würde so ein Projekt mit einem Lastenheft starten.

 

Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben:

Windows Server 2008 PKI and Certificate Security

  • ISBN-10: 0735625166
  • ISBN-13: 978-0735625167

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben:

Windows Server 2008 PKI and Certificate Security

  • ISBN-10: 0735625166
  • ISBN-13: 978-0735625167

 

 

Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@zahni

SelfSigned schreibe ich nur dazu weil in der Vergangenheit alle immer glauben wir wären eine offizielle CA, wenn wir von RootCA sprechen. Sorry für meine unglückliche Ausdrucksweise.

 

Zu Thema SCEP:

Wir planen intern einen SCEP-Server aufzustellen, da wir hunderte Geräte (Router, Switche, Firewalls, Server) manuell mit Zertifikaten ausstellen. Jetzt kam die Idee auf, ob die AD bzw. die Domänenmitglieder nicht auch direkt die Zertifkate beim zentralen SCEP-Server beantragen kann. (Sprich also ohne Windows CA). Das die Windows Zertifikatsdienste SCEP selber anbieten können, hatte ich bereits gelesen gehabt. Meine Frage zielte auf das Konsumieren eines anderen SCEP-Servers.

 

@dunkelmann

Am liebsten würde ich überhaupt keine Windows CA mehr verwenden, da wir selber alles mit OpenSSL verwalten und darin auch Experten sind. Dennoch danke für den Tipp mit den Büchern.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du könntest Dir vielleicht mal SSCEP anschauen.

https://github.com/certnanny/sscep

 

Wie gut das funktioniert und wie Aufwändig die Implementierung im Vergleich zu einer Windows Sub CA mit Autoenrollment per Gruppenrichtlinie ist kann ich objektiv nicht bewerten. Vom Gefühl her behaupte ich mal: deutlich aufwändiger

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@dunkelmann,

 

sscep kenne ich. Als Gegenstück ist OpenSCEP (Server) in Prüfung.

 

 

 

Wie gut das funktioniert und wie Aufwändig die Implementierung im Vergleich zu einer Windows Sub CA mit Autoenrollment per Gruppenrichtlinie ist kann ich objektiv nicht bewerten. Vom Gefühl her behaupte ich mal: deutlich aufwändiger

 

Ja das vermute ich auch, daher werde ich wohl auch wie ursprünglich geplant auf eine Sub CA direkt in der AD setzen. Mal schauen, ggf. nutzen wir sogar die SCEP Funktion von MS statt OpenSCEP.

 

Wenn ich das richtig verstanden habe benötigt ja per Default die AD überhaupt kein eigene CA. So dass ich die aktuelle CA erstmal entfernen werden (inkl. Deprovisionierung) Sind aktuell nur 10 Zertifkate überhaupt noch gültig die ausgestellt wurden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde schon vorher schauen was für Zertifikate existieren und wofür sie genutzt werden.

 

Das AD funktioniert ohne CA. Ich kenne auch keine AD-Installation bei der eine CA mit installiert wird. Das kenne ich nur vom SBS und ich meine das Foundation-Feature macht das auch.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi, die Bücher sind leider kaum noch zu bekommen, hat jemand einen Nachfolger auf Lager? Suche gerade für unseren ausgelernten Azubi Lektüre zusammen.Ich

 

Ich kann dir meine Onlinelinks geben, unter denen es, jedenfalls meiner Meinung nach, ebenfalls hervorragende Papers gibt

 

www.faqs.org/faqs/cryptography-faq  (!)

www.schneier.com/paper-pki.html

www.verisign.com/enterprise/library

www.entrust.com/resourcecenter

 

Eine schöne Aufgabe für einen Azubi, sich da durchzuwühlen biggrin.gif

 

Sofern jemand weitere gute Links zum Thema PKI/ Crypto kennt oder findet, immer her damit!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×