Jump to content

Root & Sub CA Zertifikatsverteilung über mehrere Domänen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen,

 

ich habe folgendes Problem. Ich betreue eine Zentrale Management Umgebung in der unter anderem eine Windows PKI aufgebaut wurde. Diese ist Domänen integriert, Root & Sub Zertifikate werden an alle Clients der Domäne verteilt. An dieser Zentralen Umgebung sind weitere Kunden Umgebungen per Trust angebunden. Jeder Kunde hat einen eigenen DC. Nun möchte ich Root und Sub CA Zertifikate über die DCs in der Kundenumgebung an die Clients dort verteilen jedoch ohne Import der Root und SUB CA Zertifikate und ohne Verteilung per GPO in den einzelnen Umgebungen. Ist das irgendwie möglich?

 

Danke und Gruß

Link zu diesem Kommentar
vor 6 Minuten schrieb jans1612:
 

jedoch ohne Import der Root und SUB CA Zertifikate und ohne Verteilung per GPO in den einzelnen Umgebungen

Moin,

 

damit ein Domänen-Rechner einer PKI vertraut, muss das Root-Zertifikat dieser PKI in seinem "Trusted Roots"-Store landen. Dafür gibt es vier Möglichkeiten:

image.png.f30fa33e4dca72205a7db4fa9b4a4cea.png

 

Registry = Du importierst einzeln

Third Party = Microsoft importiert

Group Policy = Group Policy

Enterprise = DU veröffentlichst im LDAP

 

Wenn also den Zertifikaten einer PKI in einem Forest vertraut werden soll, kannst Du zwischen den beiden unteren Varianten auswählen.

 

Um Zertifikate zu beantragen, kannst Du natürlich Webservices einsetzen. Aber das Vertrauen muss trotzdem irgendwie hergestellt werden.

 

In welche Richtung gehen denn die Trusts?

Link zu diesem Kommentar
Am 13.7.2021 um 17:36 schrieb cj_berlin:

Moin,

 

damit ein Domänen-Rechner einer PKI vertraut, muss das Root-Zertifikat dieser PKI in seinem "Trusted Roots"-Store landen. Dafür gibt es vier Möglichkeiten:

image.png.f30fa33e4dca72205a7db4fa9b4a4cea.png

 

Registry = Du importierst einzeln

Third Party = Microsoft importiert

Group Policy = Group Policy

Enterprise = DU veröffentlichst im LDAP

 

Wenn also den Zertifikaten einer PKI in einem Forest vertraut werden soll, kannst Du zwischen den beiden unteren Varianten auswählen.

 

Um Zertifikate zu beantragen, kannst Du natürlich Webservices einsetzen. Aber das Vertrauen muss trotzdem irgendwie hergestellt werden.

 

In welche Richtung gehen denn die Trusts?

 

Danke für die Antwort. Die Trust sind "Incoming Trusts" und dienen zur Authentifizierung in den Kunden Umgebungen. Wir veröffentlichen zurzeit schon im LDAP es gibt leider keine Option im LDAP von mehreren Domänen zu veröffentlichen.

Link zu diesem Kommentar

Moin,

 

spätestens an dieser Stelle sollte man konkret werden und genau beschreiben, was erreicht werden soll. Sonst werden ab  hier alle aneinander vorbeireden.

 

Fangen wir mal an:

  • Wozu sollen denn die Zertifikate verwendet werden?
  • Warum sollen die Root- und Sub-Zertifikate "ohne Import ... und ohne Verteilung per GPO" verteilt werden?

Über die Frage, ob es sinnvoll ist, Kunden-Domänen per Trust anzubinden, sprechen wir hier jetzt mal nicht.

 

Gruß, Nils

 

Link zu diesem Kommentar

Hallo,

 

die Zertifikate sollen verwendet werden damit die Server einem Web Server Zertifikate vom Windows Update Server vertrauen. 

Die Root und Sub Zertifikate sollen schon importiert werden aber am besten automatisch. Ich habe mich gefragt, ob es nicht eine Möglichkeit gibt, wie in der Domäne in der die CA steht, die Zertifikate automatisch im Active Directory und damit an allen Clients auszurollen. Damit müsste man bei einem erneuern des Sub CA Zertifikats nicht wieder alle Kunden DC anfassen.

 

Link zu diesem Kommentar

Moin,

 

gut, dann müssen die Zertifikate also im Store des Computers liegen. Alle simplen Verteilmechanismen scheiden damit aus - es muss im Systemkontext oder als Admin importiert werden.

 

Der kostengünstigste Weg wäre, dem WSUS ein kommerzielles Zertifikat zu geben, dem alle Clients von selbst vertrauen.

 

Soll es das nicht sein, dann führt kaum ein Weg daran vorbei, die beiden Zertifikate in den Kundendomains jeweils per GPO zu verteilen, weil es sich dort ja um separate Forests handelt. Man muss dazu nicht "alle Kunden-DCs" bearbeiten, sondern nur ein GPO pro Kunde.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...