none
Zertifikatsstruktur ändern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Community!

    Ich habe für ein Abschlussprojekt die Idee, die Zertifikatsstruktur zu überarbeiten und einen Radius Server einzurichten. Vorab hätte ich für die Zertifikatsstruktur eine Frage:

    Um eine Einstufige zu einer Zweistufigen Struktur zu machen benötigt es ja einen dedizierten Server für das Stammzertifikat. Gibt es eine Möglichkeit, das bereits bestehende Stammzertifikat dort zu nutzen, oder müsste alles neu Erstellt werden? (Inklusive kostenpflichtiger Auflistung bei öffentlichen Zertifikatslisten)

    Für jeden Hinweis dazu wäre ich sehr dankbar.

    Gruß, David



    • Bearbeitet Joejoearmany Montag, 19. Juni 2017 09:56 Rechtschreibung/Grammatik
    Montag, 19. Juni 2017 09:55
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hallo,

    Du möchtest also von einer Online Root CA zu einem mehrstufigen CA Design mit einer "offline" Root CA wechseln?

    Ja, dann wirst Du um einen Neuaufbau nicht herumkommen. Wenn Du ein AD im Einsatz hast solltest Du auch die "offline" Root CA im AD als vertrauenswürdig registrieren. Mit Hilfe der Offline Root CA signierst Du den Schlüssel der untergeordneten CA. Diese stellt dann Zertifikate für Anwender und Computer aus.

    Zwei CAs = 2 Systeme.

    Die Vertrauenswürdigkeit bekommst Du über die Integration ins AD hin. Zusätzlich kannst Du auch GPOs verwenden, die die Trustkette sicherstellen, das könnte man auch für Firefox implementieren.

    Beim Einrichten der CAs sollte im Vorfeld überlegt werden, ob die Stelleninformationen und Sperrlisten über einen Webservice aus dem Internet erreicht werden müssen.

    Gruß Malte

    • Als Antwort markiert Joejoearmany Montag, 19. Juni 2017 14:09
    Montag, 19. Juni 2017 13:58
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo David,

    Evgenij hat die Rahmenbedingungen bereits gut beschrieben.

    Ich versuche mal eine andere Form der Antwort.

    Für Dienste, die im Internet für Anwender außerhalb Deiner Hoheit bereitgestellt werden, sollte ein Webserver Zertifikat verwendet werden, das in der Trustliste aller Browser aufgeführt ist. (Also ein Zertifikat von einer öffentlichen CA)

    Für Clients die unter Deiner Verwaltung liegen, kannst Du u.U. auch ein Zertifikat von Deiner eigenen CA verwenden. Dabei sollte jedoch immer beachtet werden, dass die Trustkette für die Clients schlüssig ist.

    Automatische Zertifikatsaustellungen wirst Du dagegen nur mit einer eigenen PKI erreichen.

    Eine Standard Windows CA Installation, hat das Problem, das die Sperrlisten und Stelleninformationen per Default nur über LDAP und AD Dienste erreichbar sind. Du solltest bei der Implementierung darauf Wert legen, dass diese Informationen auch über einen Webserver (egal aus welchem Netz) erreichbar sind.

    Gruß Malte

    PS: Das ist ein weites Feld und kann nicht so einfach beantwortet werden.



    • Bearbeitet Malte Pabst Montag, 19. Juni 2017 20:45
    • Als Antwort markiert Joejoearmany Dienstag, 20. Juni 2017 13:43
    Montag, 19. Juni 2017 20:26
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Um eine Einstufige zu einer Zweistufigen Struktur zu machen benötigt es ja einen dedizierten Server für das Stammzertifikat.

    Nö. Du benötigst nur ein Stammzertifikat, und mit dem muss das Zwischenzertifikat der Issuing CA signiert werden. Ob das nun ein OpenSSL auf einem Arbeitsplatz macht oder ein dedizierter Server, das ist technisch egal :)

    Gibt es eine Möglichkeit, das bereits bestehende Stammzertifikat dort zu nutzen, oder müsste alles neu Erstellt werden?

    Kommt drauf an, ob "Zertifizierungsstelle" in Eurem bestehenden Stammzertifikat als Verwendungszweck drin ist. Und Ihr habt doch bestimmt kein öffentliches Stammzertifikat? :-)

    (Inklusive kostenpflichtiger Auflistung bei öffentlichen Zertifikatslisten)

    Warum nun das? Wenn Du das nur für interne Zwecke verwendest, reicht es völlig, das Stamm- und alle Zwischenzertifikate an die Clients zu verteilen.

    Montag, 19. Juni 2017 12:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Nö. Du benötigst nur ein Stammzertifikat, und mit dem muss das Zwischenzertifikat der Issuing CA signiert werden. Ob das nun ein OpenSSL auf einem Arbeitsplatz macht oder ein dedizierter Server, das ist technisch egal :)

    Da habe ich mich offensichtlich falsch ausgedrückt. Gemeint habe ich, dass es im Idealfall ein Rechner mit eben nur der Zertifikatsaufgabe sein sollte, der außerdem nicht mit einem Netzwerk verbunden wird. :-)

    Kommt drauf an, ob "Zertifizierungsstelle" in Eurem bestehenden Stammzertifikat als Verwendungszweck drin ist. Und Ihr habt doch bestimmt kein öffentliches Stammzertifikat? :-)

    Da wir dieses zum Ausstellen diverser Serverzertifkate nutzen, gehe ich mal davon aus. Das heißt, wenn ich eine solche Strukturänderung vor habe, könnte ich das bestehende Stammzertifkat auf den neuen Server rüber kopieren, und unseren DC durch De- und Neuinstallation AD Zertifikatsdienste der zu einer Zwischenstelle degradieren?

    (Inklusive kostenpflichtiger Auflistung bei öffentlichen Zertifikatslisten)

    Warum nun das? Wenn Du das nur für interne Zwecke verwendest, reicht es völlig, das Stamm- und alle Zwischenzertifikate an die Clients zu verteilen.

    So wie ich das gelesen habe, muss das Stammzertifikat in öffentlichen Listen eingetragen werden, damit die betriebenen Websites von Browsern als "vertrauenswürdig" eingestuft werden. Sollte ich da was falsch verstanden haben, bin ich für jede Belehrung dankbar. :)

    Gruß, David

    Montag, 19. Juni 2017 13:40
    |
  • Question
    Anmelden
    2
    Anmelden

    Hallo,

    Du möchtest also von einer Online Root CA zu einem mehrstufigen CA Design mit einer "offline" Root CA wechseln?

    Ja, dann wirst Du um einen Neuaufbau nicht herumkommen. Wenn Du ein AD im Einsatz hast solltest Du auch die "offline" Root CA im AD als vertrauenswürdig registrieren. Mit Hilfe der Offline Root CA signierst Du den Schlüssel der untergeordneten CA. Diese stellt dann Zertifikate für Anwender und Computer aus.

    Zwei CAs = 2 Systeme.

    Die Vertrauenswürdigkeit bekommst Du über die Integration ins AD hin. Zusätzlich kannst Du auch GPOs verwenden, die die Trustkette sicherstellen, das könnte man auch für Firefox implementieren.

    Beim Einrichten der CAs sollte im Vorfeld überlegt werden, ob die Stelleninformationen und Sperrlisten über einen Webservice aus dem Internet erreicht werden müssen.

    Gruß Malte

    • Als Antwort markiert Joejoearmany Montag, 19. Juni 2017 14:09
    Montag, 19. Juni 2017 13:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Malte,

    Danke für die Tipps. Das hilft mir sehr, den Arbeitsaufwand einzuschätzen. Zwei Fragen habe ich noch.

    1 Wie sieht es mit öffentlichen Webservern aus, die wir in einer DMZ betreiben? Wenn ich jetzt, salopp gesagt, einfach ein neues Root Zertifikat erstelle, muss dieses doch dann rein theoretisch von jedem als vertrauenswürdig eingestuft werden. Oder bin ich da ein Schwarzseher? :-)

    2. Wie sieht es mit VPN Verbindungen und CAs aus? Gibt es da auch einen Automatismus für die Zertifikatsausstellung von Zwischenzertifizierungsstellen?

    Gruß, David


    Montag, 19. Juni 2017 14:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    es gibt nur zwei Wege zu erreichen, dass Dein SSL-Zertifikat von jedermann automatisch als vertrauenswürdig eingestuft wird:

    1. Du verwendest ein Zertifikat, das von einer vertrauten (zum Beispiel durch das Microsoft Trusted Root Program) Zertifizierungsstelle signiert würde. Dann ist es halt nicht mehr Deine interne PKI.
    2. Du lässt die eigene CA von einer solchen Zertifizierungsstelle signieren. Da weiß ich allerdings nicht, was die größere Hürde sein wird - das Vertragswerk oder der Preis.

    Und irgendwelche "öffentlichen Zertifikatslisten" sind mir nicht bekannt. Das würde ja die ganze Idee einer PKI ad absurdum führen, denn es gäbe ja dann quasi ein Vertrauen an der Trust Chain vorbei...

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    • Bearbeitet Evgenij Smirnov Montag, 19. Juni 2017 20:26 Sch... Autokorrektur
    Montag, 19. Juni 2017 19:54
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo David,

    Evgenij hat die Rahmenbedingungen bereits gut beschrieben.

    Ich versuche mal eine andere Form der Antwort.

    Für Dienste, die im Internet für Anwender außerhalb Deiner Hoheit bereitgestellt werden, sollte ein Webserver Zertifikat verwendet werden, das in der Trustliste aller Browser aufgeführt ist. (Also ein Zertifikat von einer öffentlichen CA)

    Für Clients die unter Deiner Verwaltung liegen, kannst Du u.U. auch ein Zertifikat von Deiner eigenen CA verwenden. Dabei sollte jedoch immer beachtet werden, dass die Trustkette für die Clients schlüssig ist.

    Automatische Zertifikatsaustellungen wirst Du dagegen nur mit einer eigenen PKI erreichen.

    Eine Standard Windows CA Installation, hat das Problem, das die Sperrlisten und Stelleninformationen per Default nur über LDAP und AD Dienste erreichbar sind. Du solltest bei der Implementierung darauf Wert legen, dass diese Informationen auch über einen Webserver (egal aus welchem Netz) erreichbar sind.

    Gruß Malte

    PS: Das ist ein weites Feld und kann nicht so einfach beantwortet werden.



    • Bearbeitet Malte Pabst Montag, 19. Juni 2017 20:45
    • Als Antwort markiert Joejoearmany Dienstag, 20. Juni 2017 13:43
    Montag, 19. Juni 2017 20:26
    |