none
CA entfernen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe momentan auf einem W2K3 DC eine CA installiert. Eigentlich wollte ich ursprünglich mal ein Root Zertifikat unserers Mailservers an alle Clients verteilen. Dies habe ich nun auch über Richtlinien öffentlicher Schlüssel/Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate verteilt und funktioniert.

    Wie ihr sicher schon merkt sind meine Kenntnisse auf diesem Gebiet eher dünn.

    Meine Frage ist: Kann ich die CA auf dem DC entfernen oder brauche ich diese für o.g. Anwendungsfall? Oder braucht eine andere Komponente innerhalb des AD eine CA?

    Wofür genau brauche ich eigentlich eine CA? Im Internet konnte ich keinen 100%igen Hinweis finden.

    Andre

    Dienstag, 20. April 2010 13:26
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hall Marcel,

    ja habe ich in der Default Domain Policy und der Default Domain Controller Policy gefunden. Sonst habe ich das nirgendwo gefunden.

    O.K. Werde mich an dem Artikel unter http://support.microsoft.com/kb/889250/en-us orientieren. Dort wird im Schritt 3 jau auch auf das Veröffentlichen der CRL(=Zertifikatssperrliste) hingewiesen:

    Step 3: Publish a new CRL

    1. In the Certification Authority MMC snap-in, right-click the Revoked Certificates folder.
    2. Click All Tasks, and then click Publish.
    3. In the Publish CRL dialog box, click New CRL, and then click OK

    Werde dann mal mein Glück versuchen.

    Danke!

    Andre

     

    • Als Antwort markiert Andre Victor Mittwoch, 21. April 2010 10:20
    Mittwoch, 21. April 2010 10:07
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Andre,

     

    ich vermute mal du willst den OWA/Https Zugriff deines Exchange Servers absichern. Wenn du dabei so wenig wie möglich Probleme haben willst, kannst du dabei einen öffentliches Zertifikat von einer öffentlichen Zertifizierungsstelle kaufen. Alternativ kann man das auch, über eine eigene interne Zertifizierungsstelle (CA) machen. Dabei musst du dann aber dafür sorgen das das Zertifikat deiner Zertifizierungsstelle auch in deiner Domäne bekannt gemacht wird.

    Insofern kann man nich hundertprozentig sagen du brauchst es nicht. Man kann ja auch nicht nur den Mailservers sondern auch andere Dienste mittels Zertifikaten von einer eigenen Zertifizierungsstelle absichern lassen (TerminaldiensteGateway oder Netzwerktraffic oder Webportale).

    Du brauchst die CA also  rein theoretisch nur  um deinen Clients und Benutzern Zertifikate zuteilen zu lassen und so intern verschlüsselte Kommunikation zu ermöglichen.

    Hoffe das hilft dir zumindest ein bisschen weiter.

    Marcel Brabetz
    Dienstag, 20. April 2010 13:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Marcel,

    erstmal danke für deine Antwort.

    dachte mir schon das ich etwas wenig Infos gegeben habe.

    Also: Es handelt sich um einen Linux-Mailserver (kerio) den man unter anderem über einen Webzugriff erreichen kann. Ohne Zertifikat kommt dann halt im IE diese Nachfrage (unsichere Verbindung zulassen u.s.w.) die unsere User verwirrt. Daher wollte ich möglichst automatisiert auf allen PCs dieses Zertifikat installieren. So bin halt auf das Thema CA gekommen ohne zu wissen, ob ich diese überhaupt für diesen Anwendungszweck brauche. Für andere Dienste nutzen wir die CA (momentan) nicht.

    Inzwischen habe ich natürlich auch festgestellt, dass auch PCs und Server bei der CA Clientzertifikate anfragen. Ich habe daher nun etwas Respekt davo die CA einfach zu entfernen, da ich die Befürchtung habe ,dass dann bei der Client/Server-Kommunikation was schief läuft. Vielleicht ist diese Sorge aber auch unbegründet. Eigentlich kann ich ein AD aber doch auch ohne CA betreiben, oder?

    André

    Dienstag, 20. April 2010 14:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja kannst du,

    so lange du im Netzwerkverkehr nicht eine "sichere Kommunikation" voraussetzt sollte es da keine Probleme geben. Solltest dann eventuell nur schauen das du in den GPO schaust das du keine automatische Zertifikatsregistrierung konfiguriert hast. Sonst denk ich das du ein paar Fehlermeldungen bekommen solltest du die im Stile "konnte CA nicht finden" lauten sollten.

    Vielleicht ist deine Formulierung aus deiner ersten Frage falsch bei mir angekommen. Aber du solltest dem Mailserver/Webzugriff des Mailservers nicht das Zertifikat der Root CA hinterlegen sondern ein Webserver Zertifikat das du bei der CA anforderst.

    Marcel Brabetz
    Dienstag, 20. April 2010 15:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Andre,

    hier findest Du alle Informationen wie eine CA sauber deinstalliert wird:
    http://support.microsoft.com/kb/889250/en-us

    Um nur ein Stammzertifikat -egal von wem- in der Domäne zu verteilen, brauchst Du keine eigene CA, da war Dein o.g.
    Schritt über GPO schon goldrichtig.

    Bevor Du die CA deinstallierst, bitte prüfe Deine Umgebung ob SSL-Kommunikation erzwungen wird, wie Marcel schrieb.

    Evtl. alle bereits ausgestellten Zertifikate für ungültig "erklären" (Revoke) und sehen was passiert in 1-2 Tagen, natürlich
    muß hierzu einmal die CRL gepusht/gepublisht werden. (Alles innerhalb der CA zu administrieren)

    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Im April - 3.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Dienstag, 20. April 2010 20:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    O.K. dann lag ich ja gar nicht so falsch mit meinen Annahmen.

    >Bevor Du die CA deinstallierst, bitte prüfe Deine Umgebung ob SSL-Kommunikation erzwungen wird, wie Marcel schrieb.

    Wo genau kann ich das prüfen? Bin ich hier richtig?

    Lokale Richtlinien/Sicherheitsoptionen
    Herunterfahren
    Microsoft-Netzwerk (Client)
    Richtlinie Einstellung
    Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Deaktiviert
    Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Deaktiviert
    Microsoft-Netzwerk (Server)
    Richtlinie Einstellung
    Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Deaktiviert
    Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Deaktiviert
    So ist es bei und eingestellt. Dürfte dann doch kein Problem darstellen, oder? Welche Einstellung würdet ihr eigentlich empfehlen?
    Ich habe letzte Woche testweise die Zertifizierungsstelle mal gestoppt. Es konnte im Netzwerk normal gearbeitet werden, ich hatte jedoch nachfolgende Einträge im System-Log mit verschiedenen Client-Namen(alle 5-10 Minuten):

    "Durch die computerweiten Limiteinstellungen wird der SID (S-1-5-21-1189020695-2839063960-3667137216-1523) für Benutzer DOMÄNE\PC1$ keine Startberechtigung (Remote) für die COM-Serveranwendung mit CLSID

    {D99E6E74-FC88-11D0-B498-00A0C90312F3}

    gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp."

    Eine Recherche brachte zu Tage, dass das am gestoppten Zertifikatsdienst liegt. Nach dem Restart des Dienstes sind die Meldungen wieder verschwunden.

    Ach ja: Es handelt sich um ein Stammzertifikat ;-)

    Danke für eure Hilfe!

    Andre

     

    Mittwoch, 21. April 2010 06:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Andre,

     

    Das müsste das sein. Ich vermute mal das du es in der DDP gefunden hast. Solltest aber eventuell auch schauen das du das nicht in irgendeiner anderen Policy definiert hast.

    Wenn du die Zertfikatsstelle stoppst, sollte soweit ich das bisher gesehen habe eigentlich auch keine Probleme auftreten. So lange die Zertifikatssperrliste erreichbar ist (zum Beispiel über IIS) und die Zertifikate die du ausstellst gültig sind sollte es eigentlich keine Probleme geben. Aber das solltest du recht gut in der CA sehen. Wenn du für jeden Client deines Netzwerks ein herausgegebenes Zertifikat siehst, weisst du zumindest das du die automatische Registrierung bei CA konfiguriert hast. Deshalb ist das vorgehen mit dem Sperren aller Zertifikate, 1-2 Tage warten und dann die CA deinstallieren, wie es schon von Andreas propagiert wurde denke ich die richtige Lösung. Und nicht das veröffentlichen der Zertifikatssperrliste vergessen :-)

     

    Gruß Marcel

    Marcel Brabetz
    Mittwoch, 21. April 2010 08:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Hall Marcel,

    ja habe ich in der Default Domain Policy und der Default Domain Controller Policy gefunden. Sonst habe ich das nirgendwo gefunden.

    O.K. Werde mich an dem Artikel unter http://support.microsoft.com/kb/889250/en-us orientieren. Dort wird im Schritt 3 jau auch auf das Veröffentlichen der CRL(=Zertifikatssperrliste) hingewiesen:

    Step 3: Publish a new CRL

    1. In the Certification Authority MMC snap-in, right-click the Revoked Certificates folder.
    2. Click All Tasks, and then click Publish.
    3. In the Publish CRL dialog box, click New CRL, and then click OK

    Werde dann mal mein Glück versuchen.

    Danke!

    Andre

     

    • Als Antwort markiert Andre Victor Mittwoch, 21. April 2010 10:20
    Mittwoch, 21. April 2010 10:07
    |