none
Zertifizierungsstelle nimmt keine anforderungen an RRS feed

  • Frage

  • Hallo,

    ich habe auf einem Windows Server 2008 R2 die Active-Directory Zertifizierungsstelle installiert ohne Webregistrierung. Nun wollte ich ein neues Exchangezertifikat erstellen. Die Anforderungsdatei *.req habe ich. Wenn ich diese nun in der Zertifizierungsstelle über "Neue Anfoprderung einreichen..." einreiche, passiert gar nichts. Sie erscheint nicht unter "Ausstehende Anforderungen". Mache ich da etwas falsch? Ich wollte die Webegistrieung nicht installieren, da auf dem Server noch kein IIS installiert ist.

    Vielen Dank für Hilfe

    Ingo


    Mittwoch, 7. September 2011 13:38

Antworten

  • Hallo Ingo,

    der Aufbau einer "echten" PKI ist in der Regel aufwändiger. Man würde dann je nach Anforderung mit zwei oder sogar drei Zertifikzierungsstellen arbeiten. (Stichwort Root-CA).

    Ich lese aber das es sich bei eurem Netz um ein kleines Netzwerk mit wenig Servern handelt. Für deine Verwendung können wir dann mit einer "Funktions" Zertifizierungsstelle arbeiten. Hier aber der Hinweis: Wenn ihr irgendwann mal mehr machen wollt, als die interne Nutzung von Zertifikaten, muss das Konstrukt evt. umgebaut werden.

    Jetzt kommen wir zu deiner CA. Wenn es möglich ist, würde ich diese vom DC runter nehmen. Es gibt einige Gründe aus dem Bereich Sicherheit (die vernachlässigen wir mal) und es gibt auch prakmatische Gründe. Eine CA auf einem DC hindert diesen daran, heruntergestuft zu werden. Das gibt bei Recovery oder bei Migrationen auf neue Versionen häufig Probleme bzw. erfodert genaue Planung. Ich musste schon viele CAs auf DCs ablösen, weil sich der Kunde dadurch in eine Sackgassse bugsiert hat ... Empfohle Betriebssystemversion ist für die CA auch immer eine Enterprise Edition. Nur da kannst du Vorlagen editieren (z.B. Laufzeiten ändern) oder Schlüssel archivieren.

    Sollte der DC der einzige Server sein, den du dazu verwenden darfst, betrachten wir mal den IIS. Der IIS regelt nicht die Zugriffe von außen. Es handelt sich dabei um einen Webserver. Um diesen von außen zu erreichen, muss die Firewall/Router das erst mal ermöglichen. Ich glaube nicht, das euer DC von außen erreichbar ist. Da gibt es eigentlich keinen Grund für. Wenn du da unsicher bist, müsstest du dir die Komponenten an der Internetgrenze mal ansehen. Für den Einsatz auf einem DC gibt es erstmal keine Probleme. Die Registrierungsseite ist dann nur von intern erreichbar.

    Zusammengefasst:

    Wenn du nur Zertifikate für die interne Verwendung ausstellen möchtest, jetzt mal auf die schnelle eine Lösung dafür benötigst und es keine umfassende PKI sein kann, ist die installation des IIS kein Problem für den Betrieb des DCs. Sollte sich die Anforderung mal dahingehend ändern, das du auch Zertifikate für externe Zwecke benötigst (z.B. SMIME) wirst du dafür eine neue PKI aufbauen müssen. Damit kannst du dann auch die bestehende CA ablösen.


    Viele Grüße Carsten
    Montag, 12. September 2011 06:58

Alle Antworten

  • Moin,

    die Webregistrierung würde dein Problem aber beheben ;)

    Die würde ich nachinstallieren. Danach kannst du dich auf der Seite servername/certsrv anmelden und dort auch einen Request einreichen. Dabei wird allerdings nicht die req Datei angegeben. Du musst diese Datei mit Notepad öffnen und den Inhalt auf der Webseite einreichen.

    Danach kannst du das Zertifikat direkt von der Webseite runterladen und auf dem Exchenage installieren.

     

     


    Viele Grüße Carsten
    Donnerstag, 8. September 2011 05:28
  • Hallo Carsten,

    wenn der IIS da installiert wird, werden dann nicht auch noch andere Funktionen mitinstalliert. Der betroffene Server ist nur ein Domänencontroller und jetzt Zertifizierungsstelle. Normalerweise setzten wir immer SmallBusinessServer ein, wo alles auf einem Server ist. Deshalb bin ich etwas zurückhaltend. Wir haben die Administration von dem bestehenden System übernommen und kenne mich deshalb noch nicht hundertprozentig aus, was die Installation vom IIS noch für Auswirkungen auf das Gesamtsystem haben kann. Die Zugriffe von außen sind auf einem anderen Server geregelt und ich dachte der IIS regelt die Zugriffe von außen. Ich weiß, dass die Ports am Router entsprechend weitergeleitet werden müssen auf die Server, aber ich bin lieber etwas vorsichtiger.
    Wird also nur die Webregistrieung installiert mit dem IIS? Hat der IIS noch andere Auswirkungen?

    Vielen Dank

    Ingo

    Freitag, 9. September 2011 06:49
  • Hallo Ingo,

    der Aufbau einer "echten" PKI ist in der Regel aufwändiger. Man würde dann je nach Anforderung mit zwei oder sogar drei Zertifikzierungsstellen arbeiten. (Stichwort Root-CA).

    Ich lese aber das es sich bei eurem Netz um ein kleines Netzwerk mit wenig Servern handelt. Für deine Verwendung können wir dann mit einer "Funktions" Zertifizierungsstelle arbeiten. Hier aber der Hinweis: Wenn ihr irgendwann mal mehr machen wollt, als die interne Nutzung von Zertifikaten, muss das Konstrukt evt. umgebaut werden.

    Jetzt kommen wir zu deiner CA. Wenn es möglich ist, würde ich diese vom DC runter nehmen. Es gibt einige Gründe aus dem Bereich Sicherheit (die vernachlässigen wir mal) und es gibt auch prakmatische Gründe. Eine CA auf einem DC hindert diesen daran, heruntergestuft zu werden. Das gibt bei Recovery oder bei Migrationen auf neue Versionen häufig Probleme bzw. erfodert genaue Planung. Ich musste schon viele CAs auf DCs ablösen, weil sich der Kunde dadurch in eine Sackgassse bugsiert hat ... Empfohle Betriebssystemversion ist für die CA auch immer eine Enterprise Edition. Nur da kannst du Vorlagen editieren (z.B. Laufzeiten ändern) oder Schlüssel archivieren.

    Sollte der DC der einzige Server sein, den du dazu verwenden darfst, betrachten wir mal den IIS. Der IIS regelt nicht die Zugriffe von außen. Es handelt sich dabei um einen Webserver. Um diesen von außen zu erreichen, muss die Firewall/Router das erst mal ermöglichen. Ich glaube nicht, das euer DC von außen erreichbar ist. Da gibt es eigentlich keinen Grund für. Wenn du da unsicher bist, müsstest du dir die Komponenten an der Internetgrenze mal ansehen. Für den Einsatz auf einem DC gibt es erstmal keine Probleme. Die Registrierungsseite ist dann nur von intern erreichbar.

    Zusammengefasst:

    Wenn du nur Zertifikate für die interne Verwendung ausstellen möchtest, jetzt mal auf die schnelle eine Lösung dafür benötigst und es keine umfassende PKI sein kann, ist die installation des IIS kein Problem für den Betrieb des DCs. Sollte sich die Anforderung mal dahingehend ändern, das du auch Zertifikate für externe Zwecke benötigst (z.B. SMIME) wirst du dafür eine neue PKI aufbauen müssen. Damit kannst du dann auch die bestehende CA ablösen.


    Viele Grüße Carsten
    Montag, 12. September 2011 06:58
  • Hallo Carsten,

    vielen Dank für die Ausführungen. Ich habe nun den IIS installiert. NUn warte ich noch darauf das der Server einmal neu gestartet wird von einem Mitarbeiter vor Ort. Ich denke, dann steht meinen Zertifikaten nichts mehr im Wege.

    Viele Grüße

    Ingo

    Montag, 12. September 2011 08:48