locked
SSTP mit TMG und Zertifikatsfrage RRS feed

  • Frage

  • Hallo zusammen,
    derzeit verwenden wir einen PPTP Server mit Benutzerauthentifizierung. Aus Sicherheitsgründen möchte ich gerne auf SSTP umschwenken. Was mir nun nicht ganz klar ist, ist die Verwendung des SSL Zertifikats. Muss dies zwangsläufig ein selbsterzeugtes (eigene PKI) oder darf es auch ein öffentliches SSL Zertifikat sein? Die Sperrliste der eigenen PKI darf nicht nach extern freigegeben werden.

    Funktioniert das ggf. problemlos oder gibt es Fallstricke zu umschiffen?

    Viele Grüße

    A. Speerle

    Mittwoch, 3. Oktober 2012 09:06

Antworten

  • Hi,

    Wenn du die Sperrliste nicht veröffentlichen darfst, dann bleibt dir eigentlich nur ein öffentliches Zertifikat. Zudem funktioniert's damit problemloser da du nicht überall das Stammzertifikat ausbringen musst.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 8. Oktober 2012 13:26
    • Als Antwort markiert Alex Pitulice Mittwoch, 10. Oktober 2012 06:56
    Mittwoch, 3. Oktober 2012 09:32
  • moin,

    kann auch ein öffentliches zertifikat sein - kein fallstrick, habe ich mehrfach in kundenszenarien so umgesetzt.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 8. Oktober 2012 13:26
    • Als Antwort markiert Alex Pitulice Mittwoch, 10. Oktober 2012 06:56
    Mittwoch, 3. Oktober 2012 09:33
  • Hi,

    wenn Du die CRL nicht nach draussen geben darfst, musst Du wenn Du ein self signed oder internal CA zertifikat nimmst den SSTP CRL Check ausschalten (was dann nur bei Managed Clients geht):
    http://technet.microsoft.com/en-us/library/dd458982.aspx
    Die bessere Alternative ist dann IMHO ein Zertifikat einer Public CA


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 8. Oktober 2012 13:26
    • Als Antwort markiert Alex Pitulice Mittwoch, 10. Oktober 2012 06:56
    Mittwoch, 3. Oktober 2012 09:53

Alle Antworten