agnostiker
Goto Top

Exchange 2013 SAN Problematik

Hi,

wenn man sich Thawte / Globalsign und Co ansieht stellt man relativ schnell fest das zum einen die SANs nicht mehr kostnelos sind

und zum anderen davor gewarnt wird das spaetestens 2015 schluss ist mit SANs.

Da wir gerade die Domain aufbauen stellt sich mir die Frage wie ich das Problem denn jetzt aktuell loesen koennte.

ich kann dem service nunmal nur ein Zert zuweisen, wenn ich das richtig durchdenke werde ich entweder

von aussen probleme bekommen wenn ich ein selfsigned nutze ODER viel schlimmer die internen clients werden

meckern das der interne server name nicht auf dem public cert drauf steht ( soweit korrekt oder ?? )

also wie loese ich das aktuell am besten ?

Content-Key: 220881

Url: https://administrator.de/contentid/220881

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 31.10.2013 aktualisiert um 12:39:25 Uhr
Goto Top
Zitat von @agnostiker:
also wie loese ich das aktuell am besten ?

Eigene CA aufbauen und dafür sorgen, daß die externen an die CA-Daten zum verifizieren kommen.

Ist sowieso sicherer, als externen CAs trauen zu müssen, weil die eh von Mafiosi aller Art unterwandert sind.
lks
Mitglied: agnostiker
agnostiker 31.10.2013 um 14:14:34 Uhr
Goto Top
kannst du mir das kurz genauer erklaeren wie das aussehen koennte, also nicht abstrakt sondern realistisch ?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 31.10.2013 aktualisiert um 14:42:01 Uhr
Goto Top
Zitat von @agnostiker:
kannst du mir das kurz genauer erklaeren wie das aussehen koennte, also nicht abstrakt sondern realistisch ?

Moin,

  • Du schnappst Dir eine Kiste, (z.B. alter Laptop) den Du in einem Safe deponieren kannst.
  • machst Dir da ein debian (oder ein anderes Linux drauf)
  • erzeugst darauf eine CA z.B. wie in http://www.debian-administration.org/articles/618
  • Erzeugst damit Deine Zertifikate.
  • Du exportierst diese Zertifikate
  • Du trägst Deine eigene Root-CA bei allen Mitarbeitern als vertrauenswürdig ein. z.B durch import der root-zertifikates im Browser (oder dort wo du es hinhaben willst.)
  • Anschließend schließt Du Deine CA in Deinen Tresor ein, damit keiner unauthorisiert neue Zertifikate erstellt, insbesondere Dreibuchstabenorganisationen (BND, NSA, CCC, etc.)

wichtig. Deine CA sollte nach dem aufsetzen von Netz getrennt sein und nur durch Datendträger (Stick, Diskette, CDROM) die CSRs bekommen und zertifikate exportieren.

Das ist so grob die verfahrensweise.

Wie man das im einzelnen organisatorisch löst und welche "Sicherheitsstufen" man einhält ist nur eine Frage des "Preises", sprich Aufwandes, den man treiben will.

lks