Jump to content
Sign in to follow this  
smigi

Two tier CA

Recommended Posts

Moin,

 

ganz ehrlich: Du brauchst mehr Grundlagen. Du gehst teilweise von völlig falschen Vorstellungen aus. Das ist OK, wenn man sich einarbeitet, aber überhaupt nicht OK, wenn man eine Umgebung designt, wie du sie beschreibst.

 

Bei dem Projektumfang ist es grob fahrlässig, sich keine externe Unterstützung ins Haus zu holen, wenn man selbst das nötige Wissen nicht hat. Wir reden hier nicht von Zehntausenden, sondern von einigen Tagen Beratung und Design. Daran sollte so ein Projekt nicht scheitern.

 

Da sich diese Fragen in einem Forum nicht sinnvoll behandeln lassen, klinke ich mich hier aus.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Hi Leute.

 

Natürlich bin ich noch sehr am Anfang, was Zertifikate betrifft.

Sonst würde ich hier nicht um Hilfe bitte.

 

Bis jetzt läuft alles super.

 

Wildcard certifcate ist schon da.

 

Fast alle Anforderungen sind erfüllt.

 

Was mir fehlt ist die automatische Zertifizierung externer Clients.

Edited by smigi

Share this post


Link to post
Share on other sites

wenn man schon die PKI komplett selber betreibt, wozu dann wildcardzertifikate? die sollten nur ein Notbehelf sein.Bei den externen xlients? naxh welchem Kriterium wird entschieden ob es ein Zertifilat gibt oder nicht und wer soll die Anforderung mit den entsprechenden Daten befüllen?

BTW: das alles super läuft sagen die am hiesigen Flughafen auch immer...

Share this post


Link to post
Share on other sites

Ein Wildcard Certifcate soll alle Subdomains der Domain mit SSL-Verschlüsselung versehen. Es lässt sich für alle vorhanden Subdomains einbinden.

Share this post


Link to post
Share on other sites

Ein Wildcard Certifcate soll alle Subdomains der Domain mit SSL-Verschlüsselung versehen. Es lässt sich für alle vorhanden Subdomains einbinden.

Wer will denn sowas? Abgesehen davon stimmt das eben nicht, sondern es geht nur für eine Ebene, was ich dir oben schon sagte. Wenn das in deinem Fall ausreichend ist, dann schön, aber so pauschal ist die Annahme eben falsch.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Alles klar.

 

Von Extern Zertifikate holen wird schwer bis unmöglich.

 

Auch ein wildcard certifcate macht keinen sinn.

 

Wie kann ich diese beiden Punkte vor dem Vorgesetzem sinnvol argumentieren?

So, dass ich ihn überzeugen kann. Leider hat er ein bisschen Ahnung von IT und weiss, dass Zertifikate gut und notwendig sind.

 

Deswegen stellt er auch solche Vorgaben,

Die versuche mit ihm dann zu besprächen und was nicht geht auch zu erklären.

 

Danke jetzt schon für eure Tipps

 

 

Danke jetzt schon.


===========================================================================================================================================

 

Andrererseits, wenn ich die Zertifkate auf die Kassenrechner in der Zentralle schon beim Installieren importiere können diese dann nach dem einschalten in den Shops gleich eine gesicherte Verbindung aufbauen.

Share this post


Link to post
Share on other sites

Guten Morgen Boardiana!

 

Muss schon sagen.

 

 

Solche Aussagen hätte ich von einem MVP nicht erwartet:

 

 


   .....

....klinke ich mich hier aus.

 

Gruß, Nils

 

 

Ein bisschen mehr Hilfe wäre schon fein.

 

 

Wie dem auch sei.

 

Das meiste habe ich schon.

 

Was mir noch fehlt. ist die automatische zertifizierung von Benutzern und Computern ausserhalb der Domäne.

 

Wenn ich auch das nocz hin bekomme, bzw. Den Chefs sinnvoll erklären kann warum es nicht geht, wäre die Welt wieder OK.

Share this post


Link to post
Share on other sites

Merkwürdige Anspruchshaltung, die nicht dazu führen wird, dass man dir helfen _will_. Und da wir das hier alle freiwillig machen, ist das auch jedem freigestellt, sich einfach auszuklinken. In diesem Fall trifft das für mich ebenfalls zu.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Moin,

 

Solche Aussagen hätte ich von einem MVP nicht erwartet:

...

Ein bisschen mehr Hilfe wäre schon fein..

 

na OK, dann wissen wir ja alle Bescheid.

In den Newsgroups pflegte man früher zu sagen: Plonk.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Denk doch mal nach.

Du willst externe  User und Computern automatisch ein Zertifikat ausstellen. An Hand welcher Kriterien entscheidet eine Maschine das ein User/Computer ein Zertifikat bekommt und ein anderer nicht?

 

BTW: Komar hat nicht viele Bücher zur PKI geschrieben.

Share this post


Link to post
Share on other sites

Muss schon sagen.

 

 

Solche Aussagen hätte ich von einem MVP nicht erwartet:

 

 

   .....

....klinke ich mich hier aus.

 

Gruß, Nils

 

 

Ein bisschen mehr Hilfe wäre schon fein.

 

Was hättest du denn von einem MVP erwartet und warum?

Share this post


Link to post
Share on other sites

 

Ca. 2 Tsd Kassen in ganz Österreich. Kassen sollen eine gesicherte Verbindung aufbauen und keinen Tunnel über diverse Hardware bis jetzt.

Shops werden in der Zentrale ausgerollt und würdendas Zertifikat schon vorinstalliert bekommen. Dieses würde sich auf einer extra Platine mit extra Schutz befinden.

Aufgestellt und eingeschaltet können sich diese gleich mit der Zentralle verbinden.

 

 

Abseits vom technischen Aspekt:

Dein Chef und du betretet offenbar den Bereich Zahlungsverkehr mit seinen ganzen juristischen Besonderheiten und Regelungen, auch für eine PKI. Seid ihr euch dessen bewusst? 

 

Ein aktuelles, vergleichbares Beispiel aus den USA mit 3300 Kassen zeigt, welcher Schaden entstehen kann.

https://krebsonsecurity.com/2017/02/fast-food-chain-arbys-acknowledges-breach/

Es gibt leider viele böse ITler draußen, die nur auf ähnliche Gelegenheiten warten!

Share this post


Link to post
Share on other sites

Hallo Board!

 

Vielen Dank für das Niedermachen.

Ist aber wirklich nicht notwendig.

 

@ Dr.Melzer:

Von einem MVP hätte ich erwahrtet, dass dieser als engagierte Experten mit herausragender technischer Kompetenz nicht einfach sagt, dass er sich ausklingt. Das ist eine Flucht vor Verantwortung. Ein Spezialst sollte eher sagen: Sehen wir mal ob sich da was machen lässt.

Und wenn er merkt, dass jemand mit dem Stoff nicht so vertraut ist, dann wird er als eine kompetente Person eher versuchen demjenigen zu helfen.

 

Bräuchte ich keine HIlfe, hätte ich mich hier nicht gemeldet.

 

@blub:

 

Danke für den Artikel.

Die kassen gibt es schon.

Das ganze System läuft seit vielen Jahren. Nur, dass bie jetzt jede Kassa einen Hardwaretunnel in die Firma geöffnet hat.

Die Harwarekosten will sich die Firma jetzt sparen und deswegen der SSL Gedanke.

 

Stellt euch vor, ich bin euer Chef und ihr versucht mir den Argumenten, die hier bis jetzt gefallen sind klar zu machen,dass es so nicht funken wird.

 

Habt ich kene Chefs?

 

Ich will mal auslotten, was geht und was nicht. Und wenn nicht, dann warum.

Ich dachte mir, dass hier ist ein Spezialisten-Forum und da kommen viele Ideen wie man was machen kann.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...