Jump to content

Active Directory-Zertifikatsdienste installieren - Kein Problem?

Thomas Maggnussen

Von Thomas Maggnussen
in Windows Server Forum

Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Thomas Maggnussen Proficient

Thomas Maggnussen   2

Geschrieben
Geschrieben

Liebe alle,

 

ich habe mich noch nie mit den Microsoft Zertifikatsdiensten beschäftig, aber jetzt hat mich das Thema eingeholt und ich müsste für einen Webserver diese Dienste installieren.

Frage: Kann es mir da irgendwas zerhauen? Also dass sich Clients nicht mehr anmelden können, weil ich denen noch kein Zertifikat ausgestellt habe, dass sich Exchange und Co. nicht anmelden können weil sie kein Computerzertifikat der Domäne haben etc oder die Domäne nicht mehr funktioniert weil ich beim Setup etwas falsch mache?

 

DANKE!

 

 

Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.137

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

Du kannst das immer "absichern", indem Du keine Enterprise-, sondern eine Standalone-CA implementierst. Im Gegensatz zur im Internet oft geäußerten Meinung kann eine Standalone-CA durchaus auf einem Domain Member laufen. Dann hat Deine PKI gar keine Durchwirkung auf andere Systeme im AD und kann trotzdem intern vertrauenswürdige Zertifikate ausstellen. 

Wenn Du den Komfort einer Enterprise-CA haben möchtest, geh den empfohlenen Weg über die CAPolicy.inf und setze dort LoadDefaultTemplates=False. Damit vermeidest Du, dass unbeabsichtigt irgendwelche Zertifikate ausgestellt werden, z.B. für Domain Controller.

Und a propos - bitte installiere keine CA auf einem DC und installiere auch nicht das Web Enrollment!

bearbeitet von cj_berlin
Link zu diesem Kommentar
  • Beste Lösung
NilsK Grand Master

NilsK   2.784

Geschrieben
  • Beste Lösung
Geschrieben

Moin,

 

dass du dir in der Form etwas "zerhaust", ist eher unwahrscheinlich. Aber wenn du einfach so ohne weitere Kenntnisse loslegst, ist es sehr wahrscheinlich, dass deine PKI eine schlechte wird.

 

Was heißt denn das genau?

vor 10 Minuten schrieb Thomas Maggnussen:

ich müsste für einen Webserver diese Dienste installieren

Soll das ein interner oder ein externer Webserver sein?

 

Gruß, Nils

 

  • Like 1
Link zu diesem Kommentar
Thomas Maggnussen Proficient

Thomas Maggnussen   2

Geschrieben
  • Autor
Geschrieben

Wie immer, Recht herzlichen Dank!!!

 

Die Anfrage kam heute von der Firma, die die ERP Server installiert, das sich die User nicht doppelt anmelden müssen. Der ERP steht nur intern im Netz.


Ist immer Schwierig wenn ne externe Firma etwas macht, die sind auch jetzt erst drauf gekommen dass sie das wollen/brauchen und nicht bei den Prerequests...
Dann werde ich den mal installieren


Bewundere euch ja echt ihr zwei. Ihr scheint wirklich ALLES zu wissen ;-)

Danke nochmal & LG

Thomas

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.799

Geschrieben
Geschrieben
vor 26 Minuten schrieb Thomas Maggnussen:

Die Anfrage kam heute von der Firma, die die ERP Server installiert, das sich die User nicht doppelt anmelden müssen. Der ERP steht nur intern im Netz.

 

ISt ja die Frage, wie das umgesetzt werden soll. Grundsätzlich könnte man das auch mit einem "selfsigned" Zertifikat erstmal "hinpfuschen", oder falls eure interne Domain einen "externen Namen" nutzt, kann man das natürlich auch mit einem gekauften Zertifikat regeln. Ohne Anforderungen und BEdingungen würde ich jedenfalls nicht empfehlen eine CA hochzuziehen, um mal eben ein Zertifikat auszustellen.

 

Bye

Norbert

  • Danke 1
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.784

Geschrieben
Geschrieben

Moin,

 

freut mich, danke für die Rückmeldung.

 

vor 53 Minuten schrieb Thomas Maggnussen:

von der Firma, die die ERP Server installiert, das sich die User nicht doppelt anmelden müssen.

Das versteh ich nicht ganz. Die Anmeldung hat mit dem Zertifikat jetzt aber nichts zu tun, oder?

 

vor 54 Minuten schrieb Thomas Maggnussen:

Ihr scheint wirklich ALLES zu wissen

Das kommt hin, aber Evgenij weiß noch mehr. ;-)

 

Wenn es wirklich nur um den einen Server geht, stimme ich Norbert zu - dann ist ein Selfsigned-Zertifikat evtl. sogar die bessere Wahl. Unterschätze nicht den Aufwand, den eine PKI drumrum macht. Und verteilen musst du dein PKI-Zertifikat auch, da hast du gegenüber Selfsigned (oder einer einfachen OpenSSL-Lösung per Kommandozeile) keinen Vorteil. Der folgende Artikel ist alt, könnte aber im Prinzip noch hinhauen:

 

[SSL-Zertifikate für den IIS mit OpenSSL | faq-o-matic.net]
https://www.faq-o-matic.net/2008/11/14/ssl-zertifikate-fr-den-iis-mit-openssl/

 

Gruß, Nils

 

  • Like 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...