Eigenständige Zertifizierungsstelle

[raptor0001 10]

Hi,

Habe ein grosses Problem. Ich versuche eine Authentifizierung eines Linux Clients per SSH an einem LDAP Server. Da SSH ja nur mitteles Zertifikaten möglich muss also eine Zertifizierungsstelle vorhanden sein. Hier bietet Win die Möglichkeit eine Eigenständige oder eine ADS integrierte zu erstellen. Mit der ADS integiertenLösung funktioniert alles bestens ohne irgendein zutun eines Admins. Da aber leider die Unternehmenstruktur es nicht gestattet eine Organisations Zertifizierungsstelle einzusetzen muss ich das mit einer Eigenständigen versuchen. ich bekomm das leider überhaupt nicht zum Laufen. Bei einer Anmeldung am LDAP Server bekomme ich auf der Linux Seite nur mit "Login incorrect". Wenn ich mit Ethereal den Versuch der Anmeldung mitverfolge sehe ich lediglich das der Bind erfolgreich verläuft. Allerdings sofort im Anschluss an den bind erfolgt ein unbind.

Hat jemand vielleicht zufällig schon mal ähnliche Erfahrungen mit einer Eigenständigen Zertifizierungsstelle gemacht? Ist es überhaupt ratsam eine Eigenständige Zertifizierungsstelle in einer größeren Umgebung in Betrib zu nehmen?

Danke für eure Antworten

 

Gruß

raptor

[raptor0001 10]

Sorry, ein Schreibfehler soll natürlich SSL heißen nicht SSH.

[BuzzeR 10]

... verschwindet, werde ich mal versuchen was zu erzählen. Gerade bei

gößeren Unternehmen machen eigenständige Stamm-CA Sinn, sofern Du

auch Zugriffe außerhalb der Domäne zu verzeichnen hast. Du kannst also

bei VeriSign ein Zertfikat beantragen und dies in Deiner Stamm-CA importieren.

 

Wie gesagt, sofern Du Zugriffe von außerhalb Deiner Domäne zu verzeichnen

hast. Es spricht auch nichts dagegen, untergeordnete Unternehmens-CA zu

installieren, was ohnehin angebracht ist, da Du Deine Stamm-CA sowieso

Offline im Safe betreibst. :D

 

Es ist also Usus, eine Stamm-CA zu betreiben und diverse untergeordnete

CA zur Ausgabe der diversen Zertifikate.

 

Gruß

Marco

[overlord 10]

was anderes:

 

reicht es nicht wenn du auf dem LDAP-Server ne eigene CA baust?!

[raptor0001 10]

Genau das hatte ich vor. Die CA sollte auf dem LDAP Server sein da Rechner eh Mangelware sind :(. Es muss eine Eigeständige stelle sein da ich hier eine Child Domain betreue. Auf einer Child Domain kann man allerdings nur eine untergeordnete Organisations CA erstellen. Da die Master Domain aber keine "Master" CA auf ihren Systemen installieren will bleibt nur noch die Eigenständige.

Hier habe ich dann allerdings das Problem dass es bei ein Eigenständigen Zertifizierungsstelle keine Zertifikatsvorlagen gibt. Somit kann ich auch keine Richtlicheneinstellungen vornehmen welche eine automatische Zertifikatsanforderungen für z.B Computer zulassen würde.

Ich stecke in der Klemme da ich nicht weiss ob ich bei einer Eigenständigen CA nun jedem Client ein Zertifikat ausstellen muss. Wenn ja wie? Gibt es ausser dem Webregiestrierungssupport noch eine Möglichkeit? Vielleicht an der CA das ich ein *.cer austelle und das in jedem Client importiere?

 

Danke für eure Hilfe

 

raptor

[overlord 10]

idR ist unter

/usr/share/ssl/misc/ (natürlich distri-abhängig)

ein script zur Generierung einer CA! ;-)

(-> event. openssl.cnf anpassen)

 

Nach Erstellen einer CA kannst du dann ein cert basteln.

Auf die Schnelle:

CA -newca

CA -newreq

CA -newsign

 

(CA=script)

 

...sorry, muss nochmal weg....

[raptor0001 10]

Hi, du meinst also um ein Zertifikat auf dem Linux Client zu bekommen muss eine eigene CA darauf installieren. Muss ich das denn überhaupt?

[overlord 10]

hä?

entweder

a) du benutzt ein offizielles cert einer CA oder

b) du baust dir selber ein cert, dann must du aber auch ne CA erstellen ("und dir selber vertrauen")!

[raptor0001 10]

OK, habs vertanden, danke erstmal