NilsK 2.781 Geschrieben 3. Juni 2022 Melden Teilen Geschrieben 3. Juni 2022 Moin, das Buch von Peter Kloep bei Rheinwerk ist empfehlenswert für das Thema. Zwar kommt da das PKI-Design etwas kurz, aber es ist sehr solide gemacht. Leider ist die ganze PKI-Technik in Windows nie wirklich schön entwickelt worden, sondern auf einem mühsamen 90er-Jahre-Stand verblieben. Daher kann man leider im Detail eine ganze Menge falsch machen. Und es gibt sehr viele Ebenen, auf denen etwas schief gehen kann - selbst in einer wunderschönen CA können einem z.B. Fehler in den Zertifikatsvorlagen (die ähnlich schlimm implementiert sind) sehr den Spaß verderben. Generell würde ich gerade bei solchen komplexen Sicherheitsthemen nie etwas Neues "in Produktion" testen, sondern nur im Labor. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 3. Juni 2022 Melden Teilen Geschrieben 3. Juni 2022 Hi, bei diesem Thema ist es sicherlich auch eine Idee, dass alles mit einem Dienstleister zu konzeptionieren und implementieren, der das halt häufiger macht. Sich vorher (währenddessen und nachher) mit dem Thema auseinanderzusetzen, kann aber sicherlich auch nicht schaden. Gruß Jan 1 Zitieren Link zu diesem Kommentar
Squire 211 Geschrieben 4. Juni 2022 Melden Teilen Geschrieben 4. Juni 2022 Wo bei das durchaus schwierig sein kann, einen DL zu finden, der sich mit PKI und CA Design auskennt. Für viele DLs is so was Teufelszeug. Nebenbei, es ist erstaunlich, wie vielen DLs für 3rd. Party Software versuchen einen riesengroßen Bogen um das Thema zu machen ... wäre ja alles so kompliziert und bis man dann ein Zertifikat hätte ... und das sei doch alles nicht nötig ... Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 4. Juni 2022 Melden Teilen Geschrieben 4. Juni 2022 vor 11 Minuten schrieb Squire: Für viele DLs is so was Teufelszeug. Dann sind viele DL einfach nicht die Richtigen. Die die sich dann damit auskennen kosten etwas mehr 1 Zitieren Link zu diesem Kommentar
Squire 211 Geschrieben 4. Juni 2022 Melden Teilen Geschrieben 4. Juni 2022 :D Drum machen wir sowas auch selbst Aber wie gesagt bei 3rd. Party ist das immer sehr schwierig ... Sehr prägnantes Beispiel ist bei Siemens NX und Teamcenter ... Vom DL kamen die Standardsprüche bzgl. SSL, von wegen braucht es nicht, umständlich, kompliziert ... wir haben dann ein Zert erzeugt, selbst eingebunden ... Thema war in 5min erledigt und wir hatten einen geknickten und verduzten DL "... aber meine Kollegen sagen immer, dass das so kompliziert und umständlich sein" ... Problem ist halt oft, dass viele "Scheuklappen-DLs" unterwegs sind oder andere Bezeichnung gerne auch "Fach***en", die ihr Produkt gut kennen, aber keine 5mm weit über den Tellerrand gucken können, geschweige dem was davon verstehen, was auf OS Ebene außerhalb ihrer Anwendung vor sich geht. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 7. Juni 2022 Autor Melden Teilen Geschrieben 7. Juni 2022 Eine PKI auf zu setzen scheint mir relativ einfach und schnell zu gehen. Ein Standard-Webzertifikat mit SAN-Attributen ging auch relativ einfach. Wahrscheinlich sind die vielen Probleme einfach im Detail versteckt und ehrlich gesagt habe ich schon große Sorge das ich nicht irgendwas 'zusammenfusche'. Wenn ich es aber nicht ausprobiere, dann werde ich es nie lernen und wenn es ein DL macht der wird ein Teufel tun um es mir vollumfänglich beizubringen denn niemand sägt an seinem Ast auf dem er sitzt... Daher werde ich mir auf jeden Fall das empfohlene Buch kaufen und es durchlesen. Ich muss jedoch in meiner Testumgebung irgendwas liefern damit man hier sieht das es möglich ist eigene Zertifikate zu erzeugen, domänenweit die vertrauenswürdigen Stammzertifikatsstellen an die Clients zu verteilen und z.B. die 2FA für den VPN-Zugang zu implementieren (das macht dann ein Dienstleister). Das es aber SO schlimm ist das gestandene und erfahrene DL ein Bogen um das Thema Zertifikate machen, macht mir ehrlich gesagt große Sorgen. Ich sehe die Probleme sicherlich noch nicht weil ich gerade an der Oberfläche 'kratze'. Ich hoffe das es nicht so schlimm wird. Bisher scheint es jedenfalls nicht zu kompliziert zu sein mit RootCA, SubCA erstellen, domänenweit bekannt machen und Webserverzertifkate zu erstellen... Mein nächster Schritt ist die Erstellung der Computerzertifikate. Ich hoffe das dies auch nicht anders ist als die Webserver-Zertifikate und das es der gleiche Vorgang ist... Die Webserver-Zertifikatsanfrage habe ich ja auf dem Webserver im IIS-Manager unter 'Zertifikate' erstellet um es dann auf der SubCA zu signieren und ein fertiges Zertifikat zum 'binden' zu erhalten. Die Frage die sich mir nun stellt ist: wo finde ich nun die Möglichkeit das Zertifikat (-Rrequest) für Computer ODER User zu erstellen? Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 7. Juni 2022 Melden Teilen Geschrieben 7. Juni 2022 vor 6 Stunden schrieb kaineanung: Eine PKI auf zu setzen scheint mir relativ einfach und schnell zu gehen. Das "Aufsetzen" der PKI war bei Windows noch nie das Problem - der Betrieb ist es 1 Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 7. Juni 2022 Melden Teilen Geschrieben 7. Juni 2022 (bearbeitet) Moin, vor 31 Minuten schrieb daabm: Das "Aufsetzen" der PKI war bei Windows noch nie das Problem das mag ich so nicht stehen lassen. Eine PKI ordentlich aufzusetzen, ist durchaus problematisch, weil es einige Schritte beinhaltet, die sich überhaupt nicht erschließen, die man aber nicht weglassen sollte. Das ist auf eine Weise umständlich, die man heute einfach nicht mehr erwartet. Leider, und da hast du natürlich Recht, wird es nach dem Aufsetzen nicht besser, sondern noch schlimmer. vor 7 Stunden schrieb kaineanung: wenn es ein DL macht der wird ein Teufel tun um es mir vollumfänglich beizubringen denn niemand sägt an seinem Ast auf dem er sitzt... Vereinzelt mag es solche Dienstleister geben, aber die meisten haben schon den Anspruch, ihren Kunden auch Know-how zu vermitteln, wenn die das wollen. Gruß, Nils bearbeitet 7. Juni 2022 von NilsK 2 Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 7. Juni 2022 Melden Teilen Geschrieben 7. Juni 2022 vor einer Stunde schrieb NilsK: Eine PKI ordentlich aufzusetzen, ist durchaus problematisch, weil es einige Schritte beinhaltet, die sich überhaupt nicht erschließen, Das gehört für mich schon zu den Betriebsaspekten, wir sind uns grundsätzlich einig Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 8. Juni 2022 Melden Teilen Geschrieben 8. Juni 2022 Moin, ja, eigentlich hab ich mir das auch gedacht. Ich wollt nur noch ein wenig schlaumeiern. Gruß, Ni"wer hat hier Besserwisse gesagt?"ls Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.