teletubbieland 215 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 Moin, ich habe eine Grundsätzliche Frage zu den Zertifikatsdiensten: Wenn ich 3 Standorte mit einer Domain habe, ist es sinnvoll, eine Stammzertifizierungsstelle und an den beiden anderen Standorten eine untergeordnete Zertifizierungsstelle einzurichten?
NilsK 3.046 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 Moin, nein. Das hat nichts miteinander zu tun. Gruß, Nils
teletubbieland 215 Geschrieben 12. Mai 2023 Autor Melden Geschrieben 12. Mai 2023 Also einer für Alle ? Danke
NorbertFe 2.283 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 Consultantantwort: Das kommt darauf an. :p
NilsK 3.046 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 Moin, eine PKI hat einfach mit Standorten nichts zu tun. Üblicherweise nicht mal mit einer Organisationsstruktur. Für die Details siehe Norberts Antwort. Was ist denn die Anforderung oder das zu lösende Problem? Gruß, Nils
teletubbieland 215 Geschrieben 12. Mai 2023 Autor Melden Geschrieben 12. Mai 2023 Anforderung ist, dass eine einfache Zertifikatsverteilung in der Domäne stattfinden soll.
NilsK 3.046 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 Moin, dann braucht ihr evtl. eine PKI (je nachdem, was da genau verteilt werden soll; vielleicht braucht ihr auch keine, sondern nur Zertifikate) und GPOs. Die PKI sollte zweistufig sein, wenn es keine spezielleren Anforderungen gibt, es geht aber auch einstufig. Also minimal ein CA-Server, typischerweise zwei. Und dann - siehe Norbert. Gruß, Nils 1
teletubbieland 215 Geschrieben 12. Mai 2023 Autor Melden Geschrieben 12. Mai 2023 Erstmal nur Zertifikate. PKI später. vor 3 Minuten schrieb NilsK: Also minimal ein CA-Server, typischerweise zwei Wegen Ausfallsicherheit oder Lastenausgleich?
NorbertFe 2.283 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 (bearbeitet) vor einer Stunde schrieb teletubbieland: Anforderung ist, dass eine einfache Zertifikatsverteilung in der Domäne stattfinden soll. Merke: Das ist zwar eine Anforderung, aber da fehlen die ganzen Bedingungen und Voraussetzungen, die eine CA/PKI ggf. erfüllen muss. ;) Verfügbarkeit, Was passiert beim Ausfall der CA? Was passiert bei einer Kompromittierung der CA? Gibt es Leute die sich dann damit "hauptamtlich" befassen können und wollen? Was passiert, wenn die PKI/CRL usw. nicht zur Verfügung steht. Alles Punkte, über die man VORHER zumindest gesprochen und nachgedacht haben sollte. Man kann das natürlich alles ignorieren und einfach setup Enter drücken, aber dann wird man früher oder später Probleme haben, die man nicht haben will. Bye Norbert bearbeitet 12. Mai 2023 von NorbertFe 3
NilsK 3.046 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 (bearbeitet) Moin, vor 17 Minuten schrieb teletubbieland: Erstmal nur Zertifikate. PKI später. dann verteilt erst mal nur Zertifikate. Baut die PKI erst dann, wenn ihr sie braucht. Kann gut sein, dass ihr keine braucht. vor 17 Minuten schrieb teletubbieland: Wegen Ausfallsicherheit oder Lastenausgleich? Weder noch. Die beiden Server haben unterschiedliche Aufgaben. Eine Root-CA, die offline bleibt, eine Issuing-CA, die die Zertifikate verteilt ausstellt. Ihr bietet ja keine kommerziellen Zertifikatsdienste an, daher werdet ihr mit großer Sicherheit nur minimale Last haben und einen möglichen Ausfall per Recovery beantworten können. Siehe Norberts Antwort von vorhin. Gruß, Nils PS. ich hab oben den Ausdruck noch mal korrigiert: Die Issuing-CA stellt die Zertifikate aus, sie verteilt sie aber nicht. bearbeitet 12. Mai 2023 von NilsK
NorbertFe 2.283 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 vor 43 Minuten schrieb teletubbieland: dass eine einfache Zertifikatsverteilung in der Domäne stattfinden soll. Für welche Zwecke überhaupt? :)
cj_berlin 1.508 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 vor 6 Minuten schrieb NorbertFe: Für welche Zwecke überhaupt? :) DAS ist die wichtigste Frage. Beispiel, wann eine CA pro Site durchaus zu überlegen wäre: es wird 802.1X eingesetzt und die eingesetzten Zertifikate sind relativ kurzlebig WAN-Leitungen zwischen den Sites sind manchmal unterbrochen, und zwar so lange, dass die Downtime des WAN durchaus den Renewal-Zeitraum eines 802.1X-Zertifikats überschreiten kann (ich denke da an Schiffe, Ölbohrplattformen an Land oder im Wasser etc.) Sites sind soweit autark, dass auch ohne WAN irgendeine Art sinnvolles Arbeiten möglich ist. inklusive Authentifizierung. Aber in 99% aller typischen Fälle ist es nicht erforderlich und steigert nur den Verwaltungsaufwand unnötig. Wo man sich sehr wohl Gedanken über Verfügbarkeit und Erreichbarkeit machen sollte, ist die Validierung der Zertifikate, also CDP/OCSP.
teletubbieland 215 Geschrieben 12. Mai 2023 Autor Melden Geschrieben 12. Mai 2023 vor 28 Minuten schrieb NorbertFe: Für welche Zwecke überhaupt? :) Ich will eine RDS-Farm platzieren und dafür eben die Zertifikate in der Domain verteilen vor 18 Minuten schrieb cj_berlin: WAN-Leitungen zwischen den Sites sind manchmal unterbrochen, und zwar so lange, dass die Downtime des WAN durchaus den Renewal-Zeitraum eines 802.1X-Zertifikats überschreiten kann (ich denke da an Schiffe, Ölbohrplattformen an Land oder im Wasser etc.) Keine Ölplattformen
cj_berlin 1.508 Geschrieben 12. Mai 2023 Melden Geschrieben 12. Mai 2023 vor 2 Minuten schrieb teletubbieland: Ich will eine RDS-Farm platzieren und dafür eben die Zertifikate in der Domain verteilen Na *dafür* reicht Dir ein selbstsigniertes Zertifikat, wenn alle potentiellen Clients im AD sind und diesen in ihren Root Store per GPO reinbekommen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden