Jump to content

AD-Zertifikatsdienste mehrere Standorte

teletubbieland

Von teletubbieland
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

dann braucht ihr evtl. eine PKI (je nachdem, was da genau verteilt werden soll; vielleicht braucht ihr auch keine, sondern nur Zertifikate) und GPOs. Die PKI sollte zweistufig sein, wenn es keine spezielleren Anforderungen gibt, es geht aber auch einstufig. Also minimal ein CA-Server, typischerweise zwei. Und dann - siehe Norbert. ;-)

 

Gruß, Nils

 

  • Like 1
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.799

Geschrieben
Geschrieben (bearbeitet)
vor einer Stunde schrieb teletubbieland:

Anforderung ist, dass eine einfache Zertifikatsverteilung in der Domäne stattfinden soll.

Merke: Das ist zwar eine Anforderung, aber da fehlen die ganzen Bedingungen und Voraussetzungen, die eine CA/PKI ggf. erfüllen muss. ;) Verfügbarkeit, Was passiert beim Ausfall der CA? Was passiert bei einer Kompromittierung der CA? Gibt es Leute die sich dann damit "hauptamtlich" befassen können und wollen? Was passiert, wenn die PKI/CRL usw. nicht zur Verfügung steht.

Alles Punkte, über die man VORHER zumindest gesprochen und nachgedacht haben sollte. Man kann das natürlich alles ignorieren und einfach setup Enter drücken, aber dann wird man früher oder später Probleme haben, die man nicht haben will.

 

Bye

Norbert

bearbeitet von NorbertFe
  • Danke 3
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

vor 17 Minuten schrieb teletubbieland:

Erstmal nur Zertifikate. PKI später.

 

dann verteilt erst mal nur Zertifikate. Baut die PKI erst dann, wenn ihr sie braucht. Kann gut sein, dass ihr keine braucht.

 

vor 17 Minuten schrieb teletubbieland:

Wegen Ausfallsicherheit oder Lastenausgleich?

 

Weder noch. Die beiden Server haben unterschiedliche Aufgaben. Eine Root-CA, die offline bleibt, eine Issuing-CA, die die Zertifikate verteilt ausstellt. Ihr bietet ja keine kommerziellen Zertifikatsdienste an, daher werdet ihr mit großer Sicherheit nur minimale Last haben und einen möglichen Ausfall per Recovery beantworten können. Siehe Norberts Antwort von vorhin. ;-)

 

Gruß, Nils

PS. ich hab oben den Ausdruck noch mal korrigiert: Die Issuing-CA stellt die Zertifikate aus, sie verteilt sie aber nicht. 

bearbeitet von NilsK
Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.137

Geschrieben
Geschrieben
vor 6 Minuten schrieb NorbertFe:

Für welche Zwecke überhaupt? :)

DAS ist die wichtigste Frage. Beispiel, wann eine CA pro Site durchaus zu überlegen wäre:

  1. es wird 802.1X eingesetzt und die eingesetzten Zertifikate sind relativ kurzlebig
  2. WAN-Leitungen zwischen den Sites sind manchmal unterbrochen, und zwar so lange, dass die Downtime des WAN durchaus den Renewal-Zeitraum eines 802.1X-Zertifikats überschreiten kann (ich denke da an Schiffe, Ölbohrplattformen an Land oder im Wasser etc.)
  3. Sites sind soweit autark, dass auch ohne WAN irgendeine Art sinnvolles Arbeiten möglich ist. inklusive Authentifizierung.

Aber in 99% aller typischen Fälle ist es nicht erforderlich und steigert nur den Verwaltungsaufwand unnötig.

 

Wo man sich sehr wohl Gedanken über Verfügbarkeit und Erreichbarkeit machen sollte, ist die Validierung der Zertifikate, also CDP/OCSP.

Link zu diesem Kommentar
teletubbieland Experienced

teletubbieland   138

Geschrieben
  • Autor
Geschrieben
vor 28 Minuten schrieb NorbertFe:

Für welche Zwecke überhaupt? :)

Ich will eine RDS-Farm platzieren und dafür eben die Zertifikate in der Domain verteilen

vor 18 Minuten schrieb cj_berlin:

WAN-Leitungen zwischen den Sites sind manchmal unterbrochen, und zwar so lange, dass die Downtime des WAN durchaus den Renewal-Zeitraum eines 802.1X-Zertifikats überschreiten kann (ich denke da an Schiffe, Ölbohrplattformen an Land oder im Wasser etc.)

Keine Ölplattformen :lol2:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...