kaineanung 14 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Hallo, wir haben hier einen Terminalserver der hauptsächlich Workressources in eine andere Domain remote zur verfügung stellt. Die von uns selbst erzeugte und selbst signierte Zertifikate laufen bald ab und wir finden es öde daß wir die Zertifikate letztes Jahr neu erstellen mussten und, in diesem entfernten Netzwerk, manuell verteilen mussten. Dort ist ein uralter SBS2003 im Einsatz und ich glaube das, auch wenn wir Zugriff auf diesen hätten, mit GPO und Zertifikatsverteilung nichts gehen würde. Also müssten wir wieder hinfahren und die Zertifikate manuell an vielen Clients verteilen. Daher die Frage: kann man selbst signierte Zertifikate auf dem Server einfach verlängern? Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Hi, vor 5 Minuten schrieb kaineanung: Die von uns selbst erzeugte und selbst signierte Zertifikate laufen bald ab und wir finden es öde daß wir die Zertifikate letztes Jahr neu erstellen mussten und, in diesem entfernten Netzwerk, manuell verteilen mussten. klingt jetzt b***d, aber hättet Ihr es besser letztes Jahr schon richtig gemacht und auf selfsigned Zertifikate verzichtet. vor 6 Minuten schrieb kaineanung: Dort ist ein uralter SBS2003 im Einsatz Dann könnt Ihr, wenn Ihr hinfahrt, den doch gleich gegen ein modernes, supportetes OS austauschen. Gruß Jan Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 vor 33 Minuten schrieb kaineanung: kann man selbst signierte Zertifikate auf dem Server einfach verlängern? Nein vor 33 Minuten schrieb kaineanung: Also müssten wir wieder hinfahren und die Zertifikate manuell an vielen Clients verteilen. Bei der Gelegenheit könntet Ihr eins kaufen. Für den Rest schließe ich mich @testperson an. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 24. Juli 2019 Autor Melden Teilen Geschrieben 24. Juli 2019 Schade das man die Zertifikate nicht einfach verlängern kann. Ist das bei den, ich sag mal 'Bezahl-Zertifikaten' denn auch so? Es ist in Planung den SBS2003 zu erneuern und zwar durch ein W2K16. Aber wann und wie steh noch in den Sternen :( Hat jemand eine Idee wie man die Zertifikate verteilen könnte? Geht GPO vielleicht doch mit einem SBS2003? Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 vor 29 Minuten schrieb kaineanung: Ist das bei den, ich sag mal 'Bezahl-Zertifikaten' denn auch so? Ja. Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Gekaufte Zertifikate musst du dann nicht mehr verteilen. Das wäre auf jeden Fall ein Vorteil für Dich Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Ich weise mal auf Time Stamping Zertifikate hin - da muß man nicht verlängern, nur das Timestamp Zertifikat muß noch gültig sein. Und das kann separat erneuert werden. Dürfte aber nicht ganz billig sein... Findet man dann unter "Gegensignaturen". Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Und ist für Exchange auch nicht sinnvoll und vermutlich wertet Exchange das auch nicht aus. Kenn das eigentlich nur für code signing. Hab aber noch nirgendwo mal einen für Windows ca gefunden. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Macht man auch nur bei Codesigning, weil es nur da sinnvoll ist. Warum soll eine Exe, die seit Jahren rumliegt, plötzlich eine ungültige Signatur haben? Bei SSL gibt es das m.W. nicht. Und ich weiß auch nicht, ob das SSL-Protokoll das überhaupt vorsieht. MS hat es bei Windows 10 wohl aufgegeben, weil da ja eh alle paar Monate das komplette OS ausgetauscht wird. Bei Windows 7 war es gang und gäbe. Hab nur keines mehr da, wo ich mal kurz nen Screenshot ziehen könnte... Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Kennst du eine Möglichkeit timestamping mit der Windows ca zu nutzen? Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Ne, so tief steck ich da nicht drin. PKI kenn ich eh nur, weil MS das als "AD CS" verkauft - und wenn vorne AD steht, sind wir zuständig Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Hmm Schade. Ich überleg die ganze Zeit, wie man mit eigenen Code signing certs arbeiten kann ohne ständig neu zu signieren. ;) nein ich möchte keine 50 Jahre Zertifikatslaufzeit. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Dann brauchst Du ein Timestamp Zertifikat von einer ofiziellen CA. Level 100: https://www.thesslstore.com/knowledgebase/code-signing-time-stamping/time-stamping-matters/ Level 300: https://www.digicert.com/blog/best-practices-timestamping/ Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Wird langsam OT ;) aber das ist ja genau mein Problem. Wie kann man den timestamp bei signieren über eine Windows ca einbinden. Meines Wissens nach (hab noch nichts anderes gelesen) sollte das eben generell funktionieren, auch wenn man kein kommerzielles Code signing Zertifikat nutzt. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 24. Juli 2019 Melden Teilen Geschrieben 24. Juli 2019 Naja, daß er seine self signed Certs manuell verwalten muß, dürfte schon rübergekommen sein. Und daß das "automatisch" nur mit einer AD-integrierten CA oder jede Menge Skripting geht, dürfte auch klar sein. https://docs.microsoft.com/en-us/windows/win32/seccrypto/time-stamping-authenticode-signatures https://serverfault.com/questions/582554/time-stamped-digital-signatures-with-ad-cs Sieht so aus, als wenn AD CS kein Timestamp Server sein kann... :-( Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.