none
3 stufige PKI realisierbar? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    momentan beschäftige ich mich mit dem Thema PKI. Leider habe ich noch keine großartigen Erfahrungen was PKI betrifft.
    Wir sind momentan an der Ausarbeitung des Design's.

    Vor einiger Zeit hatte man sich bereits damit beschäftigt und ein grobes Konzept wurde aus den Ärmeln geschüttelt.

    Wir möchten gerne eine 3stufige PKI aufbauen: Root CA, Policy CA und Issuing CA.

    Wir haben insgesammt vier Domains/AD's und möchte gerne alle vier Umgebung mit Issuing CA's bestücken.
    Unsere Vorstellung war, dass wir mit einer Policy CA alle vier Domänen/AD's damit abdecken können, doch ich zweifle gerade momentan daran. Bei jeder Installationanleitung die man im Netz liest, wird nach der PolicyCA Installation der "Naming Context" konfiguriert, z.B.:

    certutil -setreg CA\DSConfigDN "CN=Configuration,DC=pki,DC=de"

    So wie ich das nun sehe, muss ich für jede Domäne eine eigene Policy CA einrichten?

    Oder kann man doch mehrere Domänen laufen lassen? Bloß wie sieht dann eine Policy CA Konfiguration in dem Falle dann aus?

    Gruß Dennis

    Dienstag, 29. April 2014 17:08
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Wir möchten gerne eine 3stufige PKI aufbauen: Root CA, Policy CA und
    > Issuing CA.
     
    Du kannst die auch 20-stufig machen, wenn es Dir weiterhilft :)
     
    > Wir haben insgesammt vier Domains/AD's und möchte gerne alle vier
    > Umgebung mit Issuing CA's bestücken.
     
    In einem Forest? Dann ist...
     
    > certutil -setreg CA\DSConfigDN "CN=Configuration,DC=pki,DC=de"
     
    ...das doch kein Problem.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 30. April 2014 09:27
    • Als Antwort markiert Alex Pitulice Montag, 5. Mai 2014 08:17
    Dienstag, 29. April 2014 17:26
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    Root und Policy CA müssen als Offline-Zertifizierungsstellen Dein AD nicht kennen.

    Es ist nur ein Konfortfeature, den Kontext anzugeben und die Zertifikate und Sperrlisten im AD zu veröffentlichen. Es geht auch klassisch per Webserver und Gruppenrichtlinie.

    Buchtip: Brian Komar - PKI & Certificate Security

    This posting is provided AS IS with no warranties.

    Freitag, 2. Mai 2014 09:21
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Wir möchten gerne eine 3stufige PKI aufbauen: Root CA, Policy CA und
    > Issuing CA.
     
    Du kannst die auch 20-stufig machen, wenn es Dir weiterhilft :)
     
    > Wir haben insgesammt vier Domains/AD's und möchte gerne alle vier
    > Umgebung mit Issuing CA's bestücken.
     
    In einem Forest? Dann ist...
     
    > certutil -setreg CA\DSConfigDN "CN=Configuration,DC=pki,DC=de"
     
    ...das doch kein Problem.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 30. April 2014 09:27
    • Als Antwort markiert Alex Pitulice Montag, 5. Mai 2014 08:17
    Dienstag, 29. April 2014 17:26
    |
  • Question
    Anmelden
    0
    Anmelden
    > Wir möchten gerne eine 3stufige PKI aufbauen: Root CA, Policy CA und
    > Issuing CA.
     
    Du kannst die auch 20-stufig machen, wenn es Dir weiterhilft :)
     
    > Wir haben insgesammt vier Domains/AD's und möchte gerne alle vier
    > Umgebung mit Issuing CA's bestücken.
     
    In einem Forest? Dann ist...
     
    > certutil -setreg CA\DSConfigDN "CN=Configuration,DC=pki,DC=de"
     
    ...das doch kein Problem.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Ja eben nicht im einem Forest :)
    Mittwoch, 30. April 2014 10:22
    |
  • Question
    Anmelden
    0
    Anmelden
    > Ja eben nicht im einem Forest :)
     Das nennt man dann wohl "works as designed". Oder auch "Pech", was einem
    grad lieber ist :=)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 1. Mai 2014 17:34
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    Root und Policy CA müssen als Offline-Zertifizierungsstellen Dein AD nicht kennen.

    Es ist nur ein Konfortfeature, den Kontext anzugeben und die Zertifikate und Sperrlisten im AD zu veröffentlichen. Es geht auch klassisch per Webserver und Gruppenrichtlinie.

    Buchtip: Brian Komar - PKI & Certificate Security

    This posting is provided AS IS with no warranties.

    Freitag, 2. Mai 2014 09:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank, genau das konnte ich auch erfolgreich testen und umsetzen. 

    Freitag, 16. Mai 2014 10:07
    |