Jump to content

Two tier CA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Board!

 

Ich versuche gerade eine two tier CA aufzusetzen.

 

Es sind folgende anforderungen gestellt:

 

  1. Das überprüfen und zurückziehen von Zertifikaten muss funktionieren.
  2. Die Root CA darf keinerlei CRL Funktionalitäten haben.
  3. Computer und Benutzer der Domäne sollen automatisch zertifiziert werden.
  4. Ebenso Computer die sich nicht in der Domäne befinden.
  5. Der Webserver benötigt ein Wildcard Zertifikat.
  6. Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen.
  7. Die Root CA gegen Missbrauch absichern.

Tow tier funkt schon so weit:

 

RootCA hat keinerlei CRL Funktionalitäten.

Ich habe ein Zertikat das der Selbständigen CA vertraut, welche ausserhalb der Doäne steht.

Ich habe ein rootCA.

Computer und Benutzer in der Domäne bekommen automatisch Zertikate ( GPO )

Wildcard klappt nicht, weil : The rvocation function was unable to check revocation for the certificate. 0x80092012 ( -2146885614 CRYPT_E_NO_REVOCATION_CHECK ):

 

Bei punkten 1,4, 5, stehe ich voll an.

Punkt 6 habe ich mir noch nicht genau angesehen. Mache ich zwischendurch.

1,4,5 sind wichtiger.

 

Wie kann ich diese erledigen.

 

Bitte euch um Hilfe.

Meine Internetsuche ist ausgeschöpft.

 

Vielen Dank im Voraus.

 

Link zu diesem Kommentar

Moin,

 

na, du bist aber ungeduldig. Es gehört nicht grad zum guten Ton, schon nach wenigen Stunden zu maulen. Du weißt schon, dass das hier ein ehrenamtliches Board ist?

 

Deine Anforderungsliste ist teilweise unrealistisch, in anderen Teilen handelt es sich um Selbstverständlichkeiten. Handelt es sich um einen Testaufbau, oder soll das was Produktives werden?

 

 

  1. Das überprüfen und zurückziehen von Zertifikaten muss funktionieren.

 

selbstverständlich irgendwie. Nur beißt sich das mit dem zweiten Punkt:

 

 

2. Die Root CA darf keinerlei CRL Funktionalitäten haben.

 

CRL-Funktionen sind unabdingbar. Was du wahrscheinlich meinst, ist ein Speicherort für die CRL, der nicht auf demselben Server liegt. Das berücksichtigt man bereits beim Design. Anscheinend hast du erst angefangen und machst dir währenddessen Gedanken - das wird bei einer PKI-Struktur nicht funktionieren.

 

 

4. Ebenso Computer die sich nicht in der Domäne befinden.

 

Geht so nicht, jedenfalls nicht ohne Weiteres. Anhand wessen sollte die CA entscheiden, ob sie dem Computer ein Zertifikat geben darf?

 

 

6. Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen.

7. Die Root CA gegen Missbrauch absichern.

 

Beides völlig unabdingbar. Ohne einen Plan dafür fängt man sowas nicht an. Informationen dazu gibt es genug, auch kostenlos im Web.

Ansonsten empfehle ich das Buch von Brian Komar, gibt es nur noch gebraucht oder als E-Book, ist aber immer noch die beste Quelle zu dem Thema.

 

Gruß, Nils

Link zu diesem Kommentar

@ Duke:

 

Damit man alle Subdomains unter einer Hauptdomain abzusichern kann.

 

@Nils:

 

Danke für die Tipps.

 

7. Die Root CA gegen Missbrauch absichern  -  Wird abgeschaltet ( = ganz sicher vom Netz aus )

4. Ebenso Computer die sich nicht in der Domäne befinden - das macht jemand beim ersten verbinden vor ort. Dann sollte es von alleine funktionieren.

2. Die Root CA darf keinerlei CRL Funktionalitäten haben - diese ist ja extern und dann offline. Wird nicht funktkionieren. Aber es muss doch möglich sein, CRLs auf der Internen CA zu erzeugen und abzulegen?

 

Von Brian Komar gibt es auf Amazon einiges.

Deutsch wäre mir lieber.

Könntst Du da etwas empfehlen?

 

 

Danke.

Link zu diesem Kommentar

Moin,

 

naja, ein bisschen mehr muss man schon tun, um eine PKI abzusichern. Die besteht ja nicht nur aus der Root-CA. Und auch für die Root braucht es noch ein paar Dinge - gesicherter Zugriff, Update-Verfahren usw.

 

Computer außerhalb der Domäne - klar, wenn man das manuell macht, kann man Zertifikate anfordern und einbinden. (Wozu sollen die denn eigentlich dienen?) Danach geschieht da aber auch nichts von selbst. Das ginge nur mit Domänenmitgliedern.

 

Und die CRL muss eine Root-CA selbstverständlich veröffentlichen und aktualisieren können. Das gehört zum Betriebskonzept der PKI und muss schon im Design berücksichtigt werden. Üblich ist ein Webserver, der intern wie extern erreichbar ist. Ohne CRL-Check werden Zertifikate nicht akzeptiert.

 

Das Buch von Brian Komar (es gibt nur eins, was da in Frage kommt) ist das einzige wirklich empfehlenswerte, das ich kenne. Auch wenn es nicht schön ist, kommt man bei solchen Spezialthemen leider ohne Englisch nicht weit.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo und gutn Morgen!

 

@ Tesso/Nils :  Wenn ihr mir den Titel des Buches verraten könntent wäre es super.

 

Die Anforderungen die dieses Projekt hat, habe ich schon angegeben.

 

Meine Überlelgungen dazu wären diese:

 

Eine domäne mit mehreren sub-Domänen:

dev., test, prod, ....   .

Deswegen ein wildcart-zertifikat

 

Ca. 2 Tsd Kassen in ganz Österreich. Kassen sollen eine gesicherte Verbindung aufbauen und keinen Tunnel über diverse Hardware bis jetzt.

Shops werden in der Zentrale ausgerollt und würdendas Zertifikat schon vorinstalliert bekommen. Dieses würde sich auf einer extra Platine mit extra Schutz befinden.

Aufgestellt und eingeschaltet können sich diese gleich mit der Zentralle verbinden.

 

Aussenstehende CA aus folgenden Gründen:

 

wird das Zertifikat veruntreut genügt es die externe CA hoch zu fahren und das alte Zert wieder auszustellen. Somit müsste ich nicht bei den Kassen das Zerifikat "zu Fuss ausrollen".

Externe CA vor Missbrauch schützen ist einfach:
Nachdem das RootCA und das intermediate Zertifkat ausgestellt ist, kann ich diese herunterfahren, vom Netz nehmen und sogar ev. noch wo versperren.

 

Deswegen keine CRLs. Weil ja die CA nicht mehr da ist.

 

Ich habe mal eine Testumgebung nach diesem Beispiel aufgebaut:

 

 

two-tier-pki-hierarchy
 

 

Zu Punkt 6 und 7:

 

Deasaster Recovery:

Tägliches Backup der hier vorkommenden Server auf ein Store in Aussenstelle zu ziehen und im Deasaster-Fall diese vier Server schnell wiederstellen. Damit könnten die Kassen connecten und wieder arbeiten.

Bzw. diese Vier Server auf einem anderen Standort redundant halten.


Das ganze sollte meiner Meinung nach lösbar sein.

 

Bei dem oben angeführten LAB-Beispiel schmeisst es mich auf bei fehlenden CRLs.

 

Wie bekomme ich die in der Domäne wieder zum Laufen?

Link zu diesem Kommentar

Ich habe in diversen Artikeln gelesen, dass das wildcart certifcate für domäne mit subdomains geeignet sei.

 

Das mit den CRLs weiss ich selber noch nicht.

 

Auf der externen CA brauche ich diese nicht.

Auf der Internen mit dem issuing certifcate müsste ich ev. für die Domain ein eigenes erstellen?


Dürfte ich bitte noch den Titel von dem Buch erfahren?

 

Danke

Link zu diesem Kommentar

Ok.

Super,

Vielen Dank Orangenjunge.

 

 

 

===========================================================================================================================

 

 

 


Hi Board!

 

Das Buch ist toll.

 

Tortzdem bräuchte ich bitte noch etwas eurer Hilfe.

 

Wie kann ich Zertifikate überprüfen und zurückziehen.

 

Und wie kann ich die Clients ausserhab der Domäne zertifizieren. Ist das überhaupt möglich?

 

Ach, noch was:

 

Wie kann ich Zertifikate aus den Vorlagen issuen?

 

 

Danke jetzt schon.

bearbeitet von smigi
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...