pipen 0 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 Hallo, ich bin gerade dabei, bzw. ich habe einen neuen Server Forrest mit einer neuen Domäne aufgesetzt. Domäne ad.domain.com Die einzelnen VM’s laufen auf einem Server mit VMWare 6.7. - dc1 Server 2019 Standard als Domaincontroller mit DNS und DHCP - s1 Server 2019 Standard mit Exchange 2019 - s2 Server 2019 Standard als Dateiserver - s5 Server 2012r2 als Zertifizierungsstelle (nicht in der Domäne) Das externe Zertifikat für den Exchange habe ich. Es wurde für outlook.domain.com und autodiscover.domain.com ausgestellt und ist schon für unseren alten Exchange im Einsatz. Ich bin jetzt bei den Zertifikaten angekommen und bin mir hierbei nicht ganz sicher welche Zertifikate ich einbinden bzw. ausstellen soll. Da ich jetzt alles neu mache möchte ich mir hier keinen Fehler einbauen. Vielleicht könnt ihr mir hilfreiche Tipps geben. Dafür wäre ich Euch sehr dankbar. Gruß Christian Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 Moin, ist das für Produktion oder als Testumgebung? Wofür würdest du denn Zertifikate nutzen wollen? Und wenn du nur eine einstufige PKI hast, warum hast du die CA dann nicht in der Domäne? Gruß, Nils Zitieren Link zu diesem Kommentar
pipen 0 Geschrieben 17. Oktober 2019 Autor Melden Teilen Geschrieben 17. Oktober 2019 Der Forrest soll in naher Zukunft unsere alte Domäne mit altem Server ablösen… Bevor ich die Sub-CA in die Domäne integriere wollte ich mich zuerst doch nochmal schlau machen und mir Meinungen einholen wie ich es am besten anpacke. Genau beim Einsatz von Zertifikaten stellt sich mir die Frage wo sie intern wirklich Sinn machen. Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 Moin, und warum baust du einen neuen Forest? Das erfordert dann ja eine aufwändige Migration. Was ist der Grund dafür? Wofür du interne Zertifikate brauchen könntest, musst du schon selbst beantworten. Für Exchange brauchst du sie nicht. Falls es keinen Einsatzzweck gibt, lass die PKI weg. Die kann man bei Bedarf auch später einrichten, denn man sollte schon wissen, was man damit will, damit man das passende Design festlegen kann. Gruß, Nils Zitieren Link zu diesem Kommentar
pipen 0 Geschrieben 17. Oktober 2019 Autor Melden Teilen Geschrieben 17. Oktober 2019 Nach reichlicher Überlegung habe ich mich dazu entschieden nicht zu migrieren, sondern eine neue, saubere Umgebung zu schaffen. Außerdem wäre die Migration nicht ohne Zwischenschritt möglich gewesen. Wenn ich dann abwäge zwischen den Altlasten des SBS und der Arbeit für die Neuinstallation habe ich mich für letzteres entschieden. Ich möchte Software mit Windows Package Publisher über den WSUS verteilen lassen. Dafür benötige ich ein Zertifikat. Also brauche ich auch eine funktionierende PKI, oder kann ich das anders besser lösen? Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.786 Geschrieben 17. Oktober 2019 Beste Lösung Melden Teilen Geschrieben 17. Oktober 2019 Moin, ja, dafür kann ein internes Zertifikat interessant sein. Wenn es nur solche einfachen Zwecke (einzelne interne TLS-Zertifikate) in einer kleinen Umgebung sind, dann reicht eine einstufige PKI meist aus. Die würde ich dann direkt als Enterprise-CA in die Domäne installieren. Sollte sich später Bedarf an anderen Zwecken auftun (insbesondere Verschlüsselung zur Datenablage), dann kann man eine zweistufige PKI auch nachträglich neu einrichten. Gruß, Nils Zitieren Link zu diesem Kommentar
pipen 0 Geschrieben 17. Oktober 2019 Autor Melden Teilen Geschrieben 17. Oktober 2019 (bearbeitet) Für die Enterprise-CA in der Domäne sollte ja der Server 2012R2 Standard ausreichen, oder? What are some of the features now available in Windows Server 2012 Standard that were previously only available in Windows Server 2008 R2 Enterprise and Datacenter editions? There are a variety of new features in Windows Server 2012 Standard edition. Here are just a few examples of what was previously only available in the premium editions: · Windows Server Failover Clustering · BranchCache Hosted Cache Server · Active Directory Federated Services · Additional Active Directory Certificate Services capabilities · Distributed File Services (support for more than 1 DFS root) · DFS-R Cross-File Replication bearbeitet 17. Oktober 2019 von pipen Ergänzung Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 vor 33 Minuten schrieb pipen: Dafür benötige ich ein Zertifikat. Ja ein Codesigning Zertifikat. und da das wahrscheinlich eh nur für Domain Member relevant ist, wäre das auch einfacher per Selfsigned Cert zu regeln, welches du in dem Fall per GPO verteilen kannst. Ein von der CA ausgestelltes Zert bringt dir wenige Vorteile in diesem Fall, weil leider keine mir bekannte Timestamping Funktion für Codesigning Zertifikaten vorhanden ist. Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 Moin, vor 40 Minuten schrieb NorbertFe: Ja ein Codesigning Zertifikat. ach, schau an, das war mir gar nicht bewusst. Ich dachte, es ginge hier (wie meistens) nur um die TLS-Verbindung. Zitat und da das wahrscheinlich eh nur für Domain Member relevant ist, wäre das auch einfacher per Selfsigned Cert zu regeln, welches du in dem Fall per GPO verteilen kannst. Ein von der CA ausgestelltes Zert bringt dir wenige Vorteile in diesem Fall Das trifft in kleineren Umgebungen ja ohnehin oft zu, daher die Frage nach dem Einsatzzweck. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 vor 34 Minuten schrieb NilsK: ach, schau an, das war mir gar nicht bewusst. Ich dachte, es ginge hier (wie meistens) nur um die TLS-Verbindung. Jupp, die zu verteilenden Pakete müssen ja signiert werden. TLS für den Zugriff auf den WSUS kann und sollte man natürlich auch konfigurieren. Für interne TLS Verbindungen ist eine eigene CA (welchen Ausmaßes) auch immer schon nicht verkehrt. Für Codesigning finde ich sie im Allgemeinen überzogen. Da ists einfacher sich ein Codesigning Zertifikat zu kaufen. Habs aber nie probiert, ob das mit dem WSUS dann auch funktioniert. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 Moin, in dem Fall braucht man ja nur exakt ein Zertifikat für das Code Signing. Da könnte in so einer Umgebung ein selbstsigniertes durchaus interessant sein. Definiert man eine längere Laufzeit, kann man auf das Timestamping verzichten. Möchte man hingegen Timestamping, um von der Laufzeit des Zertifikats dauerhaft unabhängig zu sein, ist ein kommerzielles Zertifikat tatsächlich besser - kostet dann aber auch etwas. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 sag ich ja. Und das Zertifikat generiert der WPP auch für einen. 10 Jahre Laufzeit glaub ich. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 17. Oktober 2019 Melden Teilen Geschrieben 17. Oktober 2019 (bearbeitet) vor 2 Stunden schrieb pipen: Ich möchte Software mit Windows Package Publisher über den WSUS verteilen lassen. Dafür benötige ich ein Zertifikat. Also brauche ich auch eine funktionierende PKI, oder kann ich das anders besser lösen? Der WPP generiert ein Zertifikat, wenn Du möchtest. Das kannst Du dann via GPO verteilen. Ja, 10 Jahre Laufzeit. EDIT: Steht auch hier im HowTo: https://www.wsus.de/installation-und-konfiguration-vom-wsus-package-publisher/ bearbeitet 17. Oktober 2019 von Sunny61 Zitieren Link zu diesem Kommentar
pipen 0 Geschrieben 18. Oktober 2019 Autor Melden Teilen Geschrieben 18. Oktober 2019 Ich möchte mich recht herzlich für Eure Beiträge bedanken. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.