10
EV-Zertifikate
Achtung: Es geht nur um ein Internes Active Directory!
Hallo Kollegen,
Ich habe mal wieder ein besonderes Problehm. Ich soll für ein Privates Netzwerk (Windows Server 2008 r2 Standart Edition) eine Zertifizierungsstelle einrichten.
Ansich kein Problehm, wen der Kunde nicht EV Zertifikate Wünscht die den Browser Grün färben. (Jetzt die Frage warum es ein 16k bit Zertifikat auch nicht tut, das ist dan Hyper Sicher^^).
Jetzt ist die Frage, was muss ich an der Zertifizierungsstelle Ändern, und was an den Browser?
LG, Herbrich
PS: https://www.herbrich.org hat jetzt auch endlich SSL mit Privater-CA. Die Stellt alerdings nur Zertifikate an Domains aus die auch mir gehören. Ich brauche selber keine EV, obwohl wen ich wüsste wie die erstellt werden würde ich Intern vlt auch EV einsetzen. Aber was für Vorteile haben die eigentlich??
Ich habe mal wieder ein besonderes Problehm. Ich soll für ein Privates Netzwerk (Windows Server 2008 r2 Standart Edition) eine Zertifizierungsstelle einrichten.
Ansich kein Problehm, wen der Kunde nicht EV Zertifikate Wünscht die den Browser Grün färben. (Jetzt die Frage warum es ein 16k bit Zertifikat auch nicht tut, das ist dan Hyper Sicher^^).
Jetzt ist die Frage, was muss ich an der Zertifizierungsstelle Ändern, und was an den Browser?
LG, Herbrich
PS: https://www.herbrich.org hat jetzt auch endlich SSL mit Privater-CA. Die Stellt alerdings nur Zertifikate an Domains aus die auch mir gehören. Ich brauche selber keine EV, obwohl wen ich wüsste wie die erstellt werden würde ich Intern vlt auch EV einsetzen. Aber was für Vorteile haben die eigentlich??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201879
Url: https://administrator.de/contentid/201879
Printed on: April 23, 2024 at 09:04 o'clock
10 Comments
Latest comment
Hi
soweit ich weiß kann man selber keine EV Zertifikate ausstellen, da die Validierung in die Browser eingebaut ist und deine CA grundsätzlich nicht vertrauenswürdig ist.
Generell haben sie nur den Vorteil dass man optisch sieht ob das Zertifikat in Ordnung ist. Die Verschlüsselung ist deswegen nicht besser
LG
soweit ich weiß kann man selber keine EV Zertifikate ausstellen, da die Validierung in die Browser eingebaut ist und deine CA grundsätzlich nicht vertrauenswürdig ist.
Generell haben sie nur den Vorteil dass man optisch sieht ob das Zertifikat in Ordnung ist. Die Verschlüsselung ist deswegen nicht besser
LG
Hi
einfaches Cert ohne grünen Balken kostet ca. 70 EUR mit dem grünen Balken ca. 90 EUR pro Jahr ... das ist vom Preis her nicht so wahnsinnig teuer (zum. nicht wenn man es wo anders wie verisign kauft
- wir haben unseres von GoDaddy.
einfaches Cert ohne grünen Balken kostet ca. 70 EUR mit dem grünen Balken ca. 90 EUR pro Jahr ... das ist vom Preis her nicht so wahnsinnig teuer (zum. nicht wenn man es wo anders wie verisign kauft
- wir haben unseres von GoDaddy.
Die CAs für EV-Zertifikate sind im Browser fest eincompiliert. Alle anderen CAs werden bloß die browserüblichen Farben für SSL-Verschlüsselung geben.
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen oder ein EV-Zertifikat bei einer offiziellen Vergabestelle wie Geotrust oder Verisign (resp. jetzt Symantec) beantragen.
Ob die von clShak empfohlenen EV-Zertifikate von GoDaddy in jedem Browser integriert sind weiß ich allerdings nicht, mir wird bei unserem Zertifikat-Reseller jedoch fast immer angeboten ein vorhandenes Zertifikat von Comodo oder GoDaddy gegen eines von Geotrust einzutauschen....
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen oder ein EV-Zertifikat bei einer offiziellen Vergabestelle wie Geotrust oder Verisign (resp. jetzt Symantec) beantragen.
Ob die von clShak empfohlenen EV-Zertifikate von GoDaddy in jedem Browser integriert sind weiß ich allerdings nicht, mir wird bei unserem Zertifikat-Reseller jedoch fast immer angeboten ein vorhandenes Zertifikat von Comodo oder GoDaddy gegen eines von Geotrust einzutauschen....
Wobei dies, sofern für die geplante CA kein OCSP-Responder betrieben wird, die Zertifikatsvalidierung des Browsers insgesamt kompromittiert. - Das wird bei den zahlreichen Anleitungen dazu gern unterschlagen.
Grüße
Richard
Hallo, und Sry für die Späte Antwort
Doch, der OCSP-Responder ist vorhanden, die CA ist unter Windows 2008 r2v Aufgebaut. Dann werde ich mal vorschlagen dass die Root-CA eincompliliert.
LG, Herbrich
Doch, der OCSP-Responder ist vorhanden, die CA ist unter Windows 2008 r2v Aufgebaut. Dann werde ich mal vorschlagen dass die Root-CA eincompliliert.
LG, Herbrich
Hi
Schwachsinn. Erstens kompromitierst du dabei die Sicherheit des Browsers und zusätzlich musst du bei jeder neuen Version vom Browser das gleiche machen.
Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.
LG
Dann werde ich mal vorschlagen dass die
Root-CA eincompliliert.
Root-CA eincompliliert.
Schwachsinn. Erstens kompromitierst du dabei die Sicherheit des Browsers und zusätzlich musst du bei jeder neuen Version vom Browser das gleiche machen.
Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.
LG
Hallo
Ja, aber es geht um eine Extrem hohe menge dieser Zertifikate. Und die sollen für ein Intranet (d.h. Sharepoint Server 2007) eingesetzt werden.
Hat jemand eine Ahnung wie ich den IE und den Firefox neu Komplieren kann??
LG, Herbrich
Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.
Ja, aber es geht um eine Extrem hohe menge dieser Zertifikate. Und die sollen für ein Intranet (d.h. Sharepoint Server 2007) eingesetzt werden.
Hat jemand eine Ahnung wie ich den IE und den Firefox neu Komplieren kann??
LG, Herbrich
Hi
Was ist für dich eine extrem große Menge ?
<Ironie>Wegen IE kompilieren: Schick ein mail an ie@microsoft.com . Die schicken dir dann den Source Code</ironie>
LG
Was ist für dich eine extrem große Menge ?
<Ironie>Wegen IE kompilieren: Schick ein mail an ie@microsoft.com . Die schicken dir dann den Source Code</ironie>
LG
...
für den internen Gebraucht nutzt mal selbst signierte Cert. von der Domänen Zertifizierungsstelle und nur für den Zugriff von außen brauchst du "gültige" Zertifikate.
Wenn du intern eine Meldung bekommst das dein eigenes Cert ungültig ist, dann ist a. deine GPO nicht korrekt oder die Cert/PKI Infrastruktur ist falsch konfiguriert.
Nimm jeweils eines je Domäne und alles wird gut - einen Browser "selbst zu kompilieren" für deine Anforderung ist totaler Unfug - besser gesagt "totaler Schwachsinn".
Die nächste Frage ist, wie viele Leute werden das nutzen? 5, 10, 100, 1000? wenn es weniger wie 10 Leute sind, dann würde ich garkein Cert kaufen sondern den Leuten mitteilen das die Meldung mit dem falschen Cert "ok" ist und man diese einfach akzeptieren soll.
für den internen Gebraucht nutzt mal selbst signierte Cert. von der Domänen Zertifizierungsstelle und nur für den Zugriff von außen brauchst du "gültige" Zertifikate.
Wenn du intern eine Meldung bekommst das dein eigenes Cert ungültig ist, dann ist a. deine GPO nicht korrekt oder die Cert/PKI Infrastruktur ist falsch konfiguriert.
Nimm jeweils eines je Domäne und alles wird gut - einen Browser "selbst zu kompilieren" für deine Anforderung ist totaler Unfug - besser gesagt "totaler Schwachsinn".
Die nächste Frage ist, wie viele Leute werden das nutzen? 5, 10, 100, 1000? wenn es weniger wie 10 Leute sind, dann würde ich garkein Cert kaufen sondern den Leuten mitteilen das die Meldung mit dem falschen Cert "ok" ist und man diese einfach akzeptieren soll.
Hallo,
Erstmal ist das mit den neuKomplieren Schwachsin, man muss einfach nur in der Windows Hilfe (Windows 7) suchen, da steht ne tolle anleitung drinnen.
Um die Frage der nutzer zu Beandworten, weiß ich selber micht. Weil das unternehmen verdammt Groß ist und über 5000 > und weiter hinauß geht.
Aber dass neukompilieren von Firefox reizt mich Privat doch schon sehr, ihn z.B. ne neue Brwoser kennung geben und die Geko Rendering Engine mit eigenen Elementen anzupassen oder zu erweitern. Ich habe früher mal eine Dos Emulation als Browser Plugin in C++ geschreiben, sowas könnte ich da als Tag einbinden und CSS Anpassbarkeit hinzufügen.
LG, Herbrich
PS: www.herbrich.org hat jetzt ein neues Layout.
Erstmal ist das mit den neuKomplieren Schwachsin, man muss einfach nur in der Windows Hilfe (Windows 7) suchen, da steht ne tolle anleitung drinnen.
Um die Frage der nutzer zu Beandworten, weiß ich selber micht. Weil das unternehmen verdammt Groß ist und über 5000 > und weiter hinauß geht.
Aber dass neukompilieren von Firefox reizt mich Privat doch schon sehr, ihn z.B. ne neue Brwoser kennung geben und die Geko Rendering Engine mit eigenen Elementen anzupassen oder zu erweitern. Ich habe früher mal eine Dos Emulation als Browser Plugin in C++ geschreiben, sowas könnte ich da als Tag einbinden und CSS Anpassbarkeit hinzufügen.
LG, Herbrich
PS: www.herbrich.org hat jetzt ein neues Layout.
