4
Eigene SubCA bestätigen lassen
Guten Abend zusammen,
wir spielen mit dem Gedanken, eine neue Public-Key-Infrastrukur aufzubauen. Aktuell betreiben wir eine eigene RootCA mit einer SubCA. Der FQDN unseres Windows AD lautet yyy.zzz.de. Nun steht die Idee im Raum eine SubCA zu installieren/konfigurieren und von einer externen RootCA bestätigen zu lassen.
Hat sich jemand mit dieser Thematik schon beschäftigt und kann Erfahrungswerte posten?
Könnt ihr einen Anbieter für das Vorhaben empfehlen?
Gruß & schönes Wochenende,
Dani
wir spielen mit dem Gedanken, eine neue Public-Key-Infrastrukur aufzubauen. Aktuell betreiben wir eine eigene RootCA mit einer SubCA. Der FQDN unseres Windows AD lautet yyy.zzz.de. Nun steht die Idee im Raum eine SubCA zu installieren/konfigurieren und von einer externen RootCA bestätigen zu lassen.
Hat sich jemand mit dieser Thematik schon beschäftigt und kann Erfahrungswerte posten?
Könnt ihr einen Anbieter für das Vorhaben empfehlen?
Gruß & schönes Wochenende,
Dani
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 243430
Url: https://administrator.de/contentid/243430
Printed on: April 19, 2024 at 03:04 o'clock
4 Comments
Latest comment
Hallo Dani,
wollt ihr euch das wirklich antun, das wird nicht billig und geht schnell in den 6stelligen Bereich. Schon die ganzen Vorschriften für Subordinate CAs der RootCAs bezüglich Absicherung der Hardware etc. sind schon ein großer Batzen.
Manche CAs bieten eine Option um über deren Systeme Zertifikate mit deinen Daten auszustellen(Managed PKI), dann benötigst du nicht die kostspielige Infrastruktur einer richtigen Sub CA.
Letze Alternative ist das Erstellen einer eigenen RootCA, bei der du es dann aber erst mal schaffen musst dein Rootzertifikat in die Browser der meisten Hersteller zu bekommen
Grüße Uwe
wollt ihr euch das wirklich antun, das wird nicht billig und geht schnell in den 6stelligen Bereich. Schon die ganzen Vorschriften für Subordinate CAs der RootCAs bezüglich Absicherung der Hardware etc. sind schon ein großer Batzen.
Manche CAs bieten eine Option um über deren Systeme Zertifikate mit deinen Daten auszustellen(Managed PKI), dann benötigst du nicht die kostspielige Infrastruktur einer richtigen Sub CA.
Letze Alternative ist das Erstellen einer eigenen RootCA, bei der du es dann aber erst mal schaffen musst dein Rootzertifikat in die Browser der meisten Hersteller zu bekommen
Grüße Uwe
Hallo @colinardo
Gesehen haben wir das bei der Uni Frankfurt. Was uns seltsam vorkommt, dass die Sperrliste nicht bei Uni FFM sondern bei DFN abgerufen wird. Auskünfte erhält man kaum bis gar nicht.
Kann mir nicht vorstellen, dass jede "Schule" den enormen Aufwand betreibt, wie es verlangt wird.
Es würde vieles einfacher machen...
Gruß,
Dani
Schon die ganzen Vorschriften für Subordinate CAs der RootCAs bezüglich Absicherung der Hardware etc. sind schon ein großer Batzen.
Als Beispiel ist uns DFN aufgefallen. Die haben eine SubCA über die DTAG ausstellen lassen. DFN widerrum stellt jeder Uni, Hochschule, etc... eine eigene SubCA zur Verfügung, die für die Mitarbeiter/Studenten die Zertifikate ausstellt.Gesehen haben wir das bei der Uni Frankfurt. Was uns seltsam vorkommt, dass die Sperrliste nicht bei Uni FFM sondern bei DFN abgerufen wird. Auskünfte erhält man kaum bis gar nicht.
Kann mir nicht vorstellen, dass jede "Schule" den enormen Aufwand betreibt, wie es verlangt wird.Es würde vieles einfacher machen...
Gruß,
Dani
Danke für die Rückmeldung 
Sieht ja vielversprechend aus.
Grüße Uwe
Sieht ja vielversprechend aus.Grüße Uwe
