Stefan.Haegele 10 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Hallo Zusammen, gibt es ein Problem, wenn ich den Zertifikatsdienst auf einem DC installiere? Und funktioniert der Zertifikatsdienst auch ohne IIS (Webinterface) 100% ? BS ist Windows Server 2003 Vielen Dank Stefan Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Ja und nein... Es geht alles auf einer Maschine (ist zwar nicht empfehlenswert, aber geht). IIS muss sein! Du kannst sonst einen grossteil der Zertifikate gar nicht ausstellen. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Beides aus meiner Sicht nicht korrekt. Ein DC kann durchaus eine Issuing CA sein, unsere Issuuing CAs laufen auch auf DCs. Und wenn es eine Unternehmens CA ist, aknn ich alle Zertifikate auch ohne IIS abrufen, nur manchaml ist es einfacher über den IIS ein zertifikat azurufen als mit der MMC (Beispiel ISA 2004), oder zur Kontrolle. Aber ich habe hier alle Templates in der MMC zur Verfügung, die ich haben sollte. grizzly999 Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 6. Juni 2006 Melden Teilen Geschrieben 6. Juni 2006 Hi Grizzly, Issuing CA - klar schon. Aber es sollte wenigstens die root CA nicht auf einem DC laufen. Dann kann diese Problemlos planmässig offline sein. Zugegeben - Das Design ist selten, aber empfohlen. Webserver: Es gibt schon Probleme ohne IIS. Bspw. wenn Authentifizierung für 802.1x über Zertifikate gemacht werden soll und die Clients/user nicht zur Domäne gehören. Dann geht über die mmc am Client erstmal nichts. Die Zertifikate lassen sich zwar ohne den IIS ausstellen, aber beispielsweise nicht als PKCS#10. Dieses Format wird aber leider von einigen WLAN Treibern erwartet (Cisco bspw.). s.a. http://technet2.microsoft.com/WindowsServer/f/?en/Library/2746cc74-5401-443b-898f-5dc53b1cbcb01033.mspx Damit muss das Certificate über Web angefordert werden. Ich sehe ausserdem keinen Grund weshalb die IIS Enrollment Seiten nicht installiert werden sollten. (Es sei denn es steht von vornherein fest, daß es sich um eine Enterprise CA handelt, die nie etwas anderes tut). OK - Ein bisschen hypochondrisch ist das schon. Man kann auch sagen, warum was installieren was man im Moment nicht braucht... Aber zumindest die Issuing CA-Struktur muss wohl überlegt sein! Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 6. Juni 2006 Melden Teilen Geschrieben 6. Juni 2006 Aber es sollte wenigstens die root CA nicht auf einem DC laufen. Dann kann diese Problemlos planmässig offline sein. Zugegeben - Das Design ist selten, aber empfohlen. Naja, wenn schon Sicherheit, dann sollte man es richtig machen. In Zeiten der virtuellen Maschinen bietet es sich ja geradezu an, die Offline Root CA in einer solchen zu installieren und danach sicher zu archivieren. Es muss ja nicht immer der 5000€ Server im Tresor eingeschlossen werden :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. Juni 2006 Melden Teilen Geschrieben 6. Juni 2006 Hi Grizzly, Issuing CA - klar schon. Aber es sollte wenigstens die root CA nicht auf einem DC laufen. Dann kann diese Problemlos planmässig offline sein. Zugegeben - Das Design ist selten, aber empfohlen. Webserver: Es gibt schon Probleme ohne IIS. Bspw. wenn Authentifizierung für 802.1x über Zertifikate gemacht werden soll und die Clients/user nicht zur Domäne gehören. Dann geht über die mmc am Client erstmal nichts. Die Zertifikate lassen sich zwar ohne den IIS ausstellen, aber beispielsweise nicht als PKCS#10. Dieses Format wird aber leider von einigen WLAN Treibern erwartet (Cisco bspw.). s.a. http://technet2.microsoft.com/WindowsServer/f/?en/Library/2746cc74-5401-443b-898f-5dc53b1cbcb01033.mspx Damit muss das Certificate über Web angefordert werden. Ich sehe ausserdem keinen Grund weshalb die IIS Enrollment Seiten nicht installiert werden sollten. (Es sei denn es steht von vornherein fest, daß es sich um eine Enterprise CA handelt, die nie etwas anderes tut). OK - Ein bisschen hypochondrisch ist das schon. Man kann auch sagen, warum was installieren was man im Moment nicht braucht... Aber zumindest die Issuing CA-Struktur muss wohl überlegt sein! Eine Root CA auf einem laufenden Server online), z.B. ein DC, warum nicht?! Diese für manche ketzerische Frage stammt nicht von mir, sondern durchaus von namhaften Security Experten, allen vorneweg Brian Komar, den Insidern bekannt durch das Buch "PKI mit 2003 Server" aus dem MS-Press Veralg. Begründung: Wer patcht den Server, wenn er offline ist, ein online Server, der gescheit verwaltet wird, dort werden Virenpattern-Updates gefahren, da schaut auch jemand regelmäßig die ganzen Logfiles an (wenn ordentlich verwaltet!). Einfach eine regelmäßige Kontrolle und Verwaltung, die bei einer Offline Root CA nicht gegeben ist. Ich will hier keine Grundsatzdiskussion lostreten, ich will nur klarmachen, man kann das Ganze auch aus einem anderen Blicjkwinkel betrachten. IIS auf einer CA, geht schon, IIS 6.0 ist ja wesentlich weniger vom Patchen betroffen als der 5.0, ist von Grund auf sicherer als der 5.0, aber ein zusätzlicher Dienst. Ich hatte oben nur darauf geantwortet, weil du gesagt hast, ein IIS ist auf einer CA ein Muss. Das sehe ich immer noch so, eine Standalone CA ausgenommen, dort ist es ein MUSS. Eine Enterprise CA, kann ich alles ohne. Einen Cert Request bekomme ich auch ohne IIS mit certutil in die CA eingekippt, wobei bei einer Enterprise CA, ist da eh nix mit CISCO oder Co. und Cert Req. BTW: Ich habe auch bei jeder CA immer einen IIS drunter, aber nur bei einer Standalone CA weil ich muss ;) grizzly999 Zitieren Link zu diesem Kommentar
Stefan.Haegele 10 Geschrieben 7. Juni 2006 Autor Melden Teilen Geschrieben 7. Juni 2006 Hallo Zusammen, erst mal Danke für die vielen Antworten. Wenn ich es nun richtig verstanden habe, ist es besser, wenn ich den Zertifikatsdienst auf einen Mitgliedsserver installiere ? Habe dort z.B. noch den WSS-Server auf dem im Moment nur WSS läuft. Dort ist der IIS ja installiert. Kann es Probleme geben, da dieser Server "nur" Mitgliesserver und kein DC ist? Vielen Dank Stefan Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 7. Juni 2006 Melden Teilen Geschrieben 7. Juni 2006 Hallo Stefan, nicht ganz richtig. Wozu verwendest du die Zertifikate genau? Solange du sie für Domänenmitglieder verwendest kannst du der Einfachheit halber den DC ohne IIS verwenden. Zitieren Link zu diesem Kommentar
Stefan.Haegele 10 Geschrieben 7. Juni 2006 Autor Melden Teilen Geschrieben 7. Juni 2006 Hallo Stefan, nicht ganz richtig. Wozu verwendest du die Zertifikate genau? Solange du sie für Domänenmitglieder verwendest kannst du der Einfachheit halber den DC ohne IIS verwenden. Benötige die Zerifikate für SSL und zum Verschlüsseln von Dateien. Zitieren Link zu diesem Kommentar
tom701 10 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Moin, ich hätte dazu auch eine Frage: Ich bin mitten in einem Domain Update und werde kommende Woche den ersten DC als W2k8 in eine W2k Domain stellen. Auf diesem W2k8 DC soll eine Unternehmens CA mitlaufen. Ist die Reihenfolge der Installation egal? Erst zum DC machen und dann die CA installieren oder kann ich schon als Memberserver die Unternehmens CA installieren und danach DCPROMO ausführen? Gruß Tom Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Hi, es ist immer empfehlenswert, nach so langer Zeit einen neuen Thread aufzumachen. Der Hinweis zum Threadalter kommt ja nicht umsonst. ;) Hier geht es weiter: https://www.mcseboard.de/windows-server-forum-78/rolle-dc-ca-maschine-reihenfolge-161234.html Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.