Jump to content

Root & Sub CA Zertifikatsverteilung über mehrere Domänen


Recommended Posts

Moin zusammen,

 

ich habe folgendes Problem. Ich betreue eine Zentrale Management Umgebung in der unter anderem eine Windows PKI aufgebaut wurde. Diese ist Domänen integriert, Root & Sub Zertifikate werden an alle Clients der Domäne verteilt. An dieser Zentralen Umgebung sind weitere Kunden Umgebungen per Trust angebunden. Jeder Kunde hat einen eigenen DC. Nun möchte ich Root und Sub CA Zertifikate über die DCs in der Kundenumgebung an die Clients dort verteilen jedoch ohne Import der Root und SUB CA Zertifikate und ohne Verteilung per GPO in den einzelnen Umgebungen. Ist das irgendwie möglich?

 

Danke und Gruß

Link to post
vor 6 Minuten schrieb jans1612:
 

jedoch ohne Import der Root und SUB CA Zertifikate und ohne Verteilung per GPO in den einzelnen Umgebungen

Moin,

 

damit ein Domänen-Rechner einer PKI vertraut, muss das Root-Zertifikat dieser PKI in seinem "Trusted Roots"-Store landen. Dafür gibt es vier Möglichkeiten:

image.png.f30fa33e4dca72205a7db4fa9b4a4cea.png

 

Registry = Du importierst einzeln

Third Party = Microsoft importiert

Group Policy = Group Policy

Enterprise = DU veröffentlichst im LDAP

 

Wenn also den Zertifikaten einer PKI in einem Forest vertraut werden soll, kannst Du zwischen den beiden unteren Varianten auswählen.

 

Um Zertifikate zu beantragen, kannst Du natürlich Webservices einsetzen. Aber das Vertrauen muss trotzdem irgendwie hergestellt werden.

 

In welche Richtung gehen denn die Trusts?

Link to post
Am 13.7.2021 um 17:36 schrieb cj_berlin:

Moin,

 

damit ein Domänen-Rechner einer PKI vertraut, muss das Root-Zertifikat dieser PKI in seinem "Trusted Roots"-Store landen. Dafür gibt es vier Möglichkeiten:

image.png.f30fa33e4dca72205a7db4fa9b4a4cea.png

 

Registry = Du importierst einzeln

Third Party = Microsoft importiert

Group Policy = Group Policy

Enterprise = DU veröffentlichst im LDAP

 

Wenn also den Zertifikaten einer PKI in einem Forest vertraut werden soll, kannst Du zwischen den beiden unteren Varianten auswählen.

 

Um Zertifikate zu beantragen, kannst Du natürlich Webservices einsetzen. Aber das Vertrauen muss trotzdem irgendwie hergestellt werden.

 

In welche Richtung gehen denn die Trusts?

 

Danke für die Antwort. Die Trust sind "Incoming Trusts" und dienen zur Authentifizierung in den Kunden Umgebungen. Wir veröffentlichen zurzeit schon im LDAP es gibt leider keine Option im LDAP von mehreren Domänen zu veröffentlichen.

Link to post

Moin,

 

spätestens an dieser Stelle sollte man konkret werden und genau beschreiben, was erreicht werden soll. Sonst werden ab  hier alle aneinander vorbeireden.

 

Fangen wir mal an:

  • Wozu sollen denn die Zertifikate verwendet werden?
  • Warum sollen die Root- und Sub-Zertifikate "ohne Import ... und ohne Verteilung per GPO" verteilt werden?

Über die Frage, ob es sinnvoll ist, Kunden-Domänen per Trust anzubinden, sprechen wir hier jetzt mal nicht.

 

Gruß, Nils

 

Link to post

Hallo,

 

die Zertifikate sollen verwendet werden damit die Server einem Web Server Zertifikate vom Windows Update Server vertrauen. 

Die Root und Sub Zertifikate sollen schon importiert werden aber am besten automatisch. Ich habe mich gefragt, ob es nicht eine Möglichkeit gibt, wie in der Domäne in der die CA steht, die Zertifikate automatisch im Active Directory und damit an allen Clients auszurollen. Damit müsste man bei einem erneuern des Sub CA Zertifikats nicht wieder alle Kunden DC anfassen.

 

Link to post

Moin,

 

gut, dann müssen die Zertifikate also im Store des Computers liegen. Alle simplen Verteilmechanismen scheiden damit aus - es muss im Systemkontext oder als Admin importiert werden.

 

Der kostengünstigste Weg wäre, dem WSUS ein kommerzielles Zertifikat zu geben, dem alle Clients von selbst vertrauen.

 

Soll es das nicht sein, dann führt kaum ein Weg daran vorbei, die beiden Zertifikate in den Kundendomains jeweils per GPO zu verteilen, weil es sich dort ja um separate Forests handelt. Man muss dazu nicht "alle Kunden-DCs" bearbeiten, sondern nur ein GPO pro Kunde.

 

Gruß, Nils

 

Link to post

Hi,

 

falls ein Endpoint- / Client-Management vorhanden ist, könnte man damit ebenfalls die Zertifikate auf die Clients bringen. Bei einem WSUS (oder generell bei Web Services) würde ich aber nicht lange nachdenken und ein Zertifikat einer kommerziellen CA bzw. "im Worst Case" von Let's Encrypt nutzen.

 

Gruß

Jan

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...