Jump to content

Wie konfiguriere ich Active Directory Zertifikatsdienste richtig?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Abend,

 

ich bin ein IIS Neuling und möchte gerne für meine Webseiten eine Stammzertifizierungsstelle konfigurieren nur irgendwie bekomme ich das nicht zum laufen eventuell mache ich etwas falsch. 

Wie installiere ich Active Directory Zertifikatsdienste richtig und wie konfiguriere ich sie? Brauche ich einen zusätzlichen Server?

Ich möchte, dass das Root Zertifikat die Webseite mit dem Namen erkennt. 

Ich nutze Windows Server 2012 R2 Standard

 

Mit freundlichen Grüßen

Link zu diesem Kommentar
vor 15 Minuten schrieb maile3241:

mache ich etwas falsch. 

Vermutlich. Wo willst du die denn installieren?

 

vor 16 Minuten schrieb maile3241:

Ich möchte, dass das Root Zertifikat die Webseite mit dem Namen erkennt. 

Häh? Sicher, dass du das Prinzip mit den Zertifikaten usw. verstanden hast?

 

vor 17 Minuten schrieb maile3241:

Brauche ich einen zusätzlichen Server?

Sehr wahrscheinlich. Wieso willst du denn mit eigenen Zertifikaten arbeiten?

Link zu diesem Kommentar

Hi,

 

wenn es hier um einen (Web)Server mit einer oder ein Hand voll Website geht, dann spar die die CA und alles was daran hängt und kauf ein Zertifikat einer öffentlichen Zertifizierungsstelle (bspw. bei der PWS Group). Wenn es absolut kein Geld - außer Manpower - kosten darf, schau dir Let's Encrypt o.ä. Anbieter an.

 

Gruß

Jan

Link zu diesem Kommentar

Moin,

 

auf Anforderung von Evgenij sagte ich vor ein paar Monaten: "PKI ist böse."

 

Wie die anderen vermute ich auch, dass der TO gar keine PKI will, sondern Webserver-Zertifikate. Die kann man einfacher, sicherer und günstiger haben, wie auch schon ausgeführt wurde. Ich empfehle das sehr.

 

Mit PKIs kann man so dermaßen viel falsch machen, dass man es lieber bleiben lässt, wenn man es nicht wirklich braucht.

 

Gruß, Nils

 

Link zu diesem Kommentar
Am 29.7.2022 um 07:50 schrieb testperson:

Hi,

 

wenn es hier um einen (Web)Server mit einer oder ein Hand voll Website geht, dann spar die die CA und alles was daran hängt und kauf ein Zertifikat einer öffentlichen Zertifizierungsstelle (bspw. bei der PWS Group). Wenn es absolut kein Geld - außer Manpower - kosten darf, schau dir Let's Encrypt o.ä. Anbieter an.

 

Gruß

Jan

Ich habe es mit lets encrypt versucht, aber es kann kein Zertifikat erstellen, da der Webseitenname schon vergeben ist. Ich muss also ADCS verwenden. Ich habe einige Videos gesehen, die "Unternehmenszertifizierungsstelle" angewählt haben, bei mir ist diese Option ausgegraut.

Link zu diesem Kommentar
vor 41 Minuten schrieb maile3241:

Ich habe es mit lets encrypt versucht, aber es kann kein Zertifikat erstellen, da der Webseitenname schon vergeben ist.

Das heißt jetzt genau was? Das wird sich aber mit Sicherheit lösen oder zumindest "umschiffen" lassen. Die Option ein Zertifikat bei einer öffentlichen CA zu erwerben ist ja auch noch da.

 

vor 42 Minuten schrieb maile3241:

Ich muss also ADCS verwenden.

Das denke ich nicht. ;-)

Link zu diesem Kommentar

Moin,

 

Ein einzelnes Webserver-Zertifikat (oder auch ein paar) kann man auch viel einfacher erzeugen als mit einer CA, die man nur für den Zweck einrichten würde. Das wäre nebenbei auch erheblich sicherer, weil man eben keine ganze PKI mit sich rumschleppt, die im Zweifel schlecht konfiguriert ist.

 

Hier ein Beispiel, das allerdings schon etwas älter ist:

https://www.faq-o-matic.net/2008/11/14/ssl-zertifikate-fr-den-iis-mit-openssl/

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
vor 4 Stunden schrieb NilsK:

Moin,

 

Das bringt kein Geld mehr ein. Und es ist nicht zu erwarten, dass der Bedarf an lokalen PKIs noch deutlich steigt.

 

Gruß, Nils

Ja ist mir klar, aber wenn’s danach geht, hat die Funktion in Windows noch nie Geld gebracht, denn seit 2003 haben sich nur die Vorlagen geändert afair. Alles andere war dann schon drin. Ocsp eventuell noch etwas später.

Link zu diesem Kommentar

dann hätten sie sicherlich andere Sachen wie WINS schon früher fallen gelassen. Ich verstehe deinen Grundgedanken dabei ja durchaus. Nur gibt es, wie schon öfter angesprochen, auch keine wirkliche Alternative, die derzeit Ersatz böte. Insofern kann man zwar immer von "Mach ich mit 3rd Party" oder Externen Zertifikaten sprechen, aber auch da muss sich ja mal jemand Gedanken gemacht haben. ;) Ich bin jedenfalls immer froh, wenn ich interne CAs zur Verfügung habe, weil sonst nicht mal LDAPs im AD funktioniert. Ich weiß, heutzutage braucht ja niemand mehr ein AD, aber ich bin halt Legacy Mensch. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...