none
Zertifizierungsstelle RRS feed

  • Allgemeine Diskussion

  • Hallo Zusammen,

    habe da eine Frage zum Thema PKI und benötigten Ports.

    Ausgangslage Root Domäne mit Stammerzertifzierungsstelle (Online). Verschiedene Domänen unterhalb der Root Domäne. Momentan sind zwei SUB Zertifizierungsstellen in Deutschland in einer Domäne in Betrieb. Zwischen Root und Domäne in Deitschland besteht keine Firewall.

    Es soll nun eine weitere SUB Zertifizierungsstelle in eine Domäne im Ausland installiert werden. Zwischen Zwischen den Domänen steht eine Firewall und die AD Replication wird nur einmal die Woche geöffnet. Dies soll nicht geändert werden.

    Kann die SUB Zertifizierungsstelle ohne dauerhafte AD Replication betrieben werden. Falls nicht welche Ports werden benötigt und reicht nur die AD Replication oder werden noch weitere Ports benötigt?

    Danke im Voraus.

    Gruss

    Torsten

    Dienstag, 19. August 2014 12:21

Alle Antworten

  • Hi,

    Am 19.08.2014 um 14:21 schrieb Poehlker:

    Kann die SUB Zertifizierungsstelle ohne dauerhafte AD Replication
    betrieben werden. Falls nicht welche Ports werden benötigt und reicht
    nur die AD Replication oder werden noch weitere Ports benötigt?

    Die SUB spricht nicht mit der Root, das Zertifikat zum Erstellen eigener Zertifikate ist ja ausgestellt.

    Die Clients hingegen brauchen "alles"!, wenn sie die Zertifikate automatisch anfordern können sollen. Ansonsten würde https reichen, um den Request auf der Webseite einzureichen.

    Service overview and network port requirements for Windows
    http://support.microsoft.com/kb/832017/en

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 19. August 2014 13:49
  • Hallo Mark,

    Danke für deine Antwort.

    Habe da trotzdem noch eine verständniss Frage. Brauchen die Clients also folgende Ports auch zur Root CA oder zu den Root Domänencontroller?

    464 Kerberos

    389 LDAP

    636 LDAP

    Statischer Port DCOM/RPC

    443 HTTPS

    135 RPC

    Oder reicht es wenn die Clients nur mit der SUB CA kommunizieren können? Die AD Replication repliziert doch auch CA Informationen oder liege ich da falsch?

    Gruss

    Torsten

    Dienstag, 19. August 2014 16:34
  • Hi,

    Am 19.08.2014 um 18:34 schrieb Poehlker:

    Habe da trotzdem noch eine verständniss Frage. Brauchen die Clients also folgende Ports

    Das ist wohl eher abhängig von der Art der Zertifikate die ausgestellt werden und vom Typ der SubCA.

    Ich habe eine SubCA, die bringt der Proxy mit (ein *nix Derivat), die redet mit keinem. Der RootCA ist das auch schnuppe, was die macht. Die benötigt auch keine Zertifikatsvorlagen von MS.

    Die MS SubCA sollte ähnlich funktioniere, die Speicherung der ausgestellten Zertifikate liegt in der CA, die Root kriegt nichts davon mit.
    Aber: du brauchst Zugriff auf die Zertvorlagen. Ich kenn kein Netzwerk, in dem DCs nicht miteinander reden dürfen. Das macht ja keinen Sinn. Das macht es auch nicht sicherer. Dafür gibt ja auch noch Application Layer Firewalls, die nicht allein auf Port Ebene werkeln ...

    Einfacher Weg: Mach alle Türen zu und schau ins Firewall Log, was denied wird.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Mittwoch, 20. August 2014 17:18