5
Zertifizierungsstellen und Active Directory
Guten Morgen,
ich hab diesmal eine ganz selstame Frage:
Ich arbeite derzeit ein Projekt über VPN mit und ohne IPSec und allem möglichen Tralala aus.
Nun bin ich bei den Zertifikatsdiensten und den damit verbundenen Zertifizierungsstellen angelangt.
Für einige Zertifizierungsstellen ist Active Directory erforderlich, für andere wiederum nicht. Aber warum ist das so?
Warum braucht die "Organisation: Stammzertifizierungsstelle" AD und die "Eigenständig: Stammzertifizierungsstelle" nicht?
Ich komme einfach auf keinen vernünftigen Nenner um das ganze plausibel in die Dokumentation einzufügen.
Ich hoffe Ihr könnt mir da helfen...
Schönen Gruss,
Robert
ich hab diesmal eine ganz selstame Frage:
Ich arbeite derzeit ein Projekt über VPN mit und ohne IPSec und allem möglichen Tralala aus.
Nun bin ich bei den Zertifikatsdiensten und den damit verbundenen Zertifizierungsstellen angelangt.
Für einige Zertifizierungsstellen ist Active Directory erforderlich, für andere wiederum nicht. Aber warum ist das so?
Warum braucht die "Organisation: Stammzertifizierungsstelle" AD und die "Eigenständig: Stammzertifizierungsstelle" nicht?
Ich komme einfach auf keinen vernünftigen Nenner um das ganze plausibel in die Dokumentation einzufügen.
Ich hoffe Ihr könnt mir da helfen...
Schönen Gruss,
Robert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4060
Url: https://administrator.de/contentid/4060
Printed on: April 25, 2024 at 15:04 o'clock
5 Comments
Latest comment
Bei der Stammzertifizierungsstelle Organisation werden die Zertifikate im Active Directory gepeichert.
dankeschön ! 
Ich habe das ganze nun so formuliert
"Bei den beiden organisatorischen Zertifizierungsstellen werden die Zertifikate im AD gespeichert. Somit wird ein Backup gewährleistet, wenn zum Beispiel ein Server ausfällt und dieser sich bereits mit einem zweiten Server im Netz repliziert hat".
Ich habe das ganze nun so formuliert
"Bei den beiden organisatorischen Zertifizierungsstellen werden die Zertifikate im AD gespeichert. Somit wird ein Backup gewährleistet, wenn zum Beispiel ein Server ausfällt und dieser sich bereits mit einem zweiten Server im Netz repliziert hat".
Du mußt aber aufpassen! Im Active Directory werden KEINE private Keys gespeichert; nur Zertifikate (das sind quasi die Beglaubigungen, daß ein Key einem, bestimmten User zugegordnet ist; ein Zertifikat ist nichts anderes als der durch die CA signierte öffentliche Schlüssel des Users)! Man kann eine Keyarchivierung in der CA aktivieren, eine Wiederherstellung ist aber nur durch einen (gesondert zu konfigurierenden) KeyRecovery Agent möglich. Grundsätzlich liegen die Private Keys nur im Zertifikatsspeicher des Computers/Users oder auf dessen Token (zB Smartcard); in einer Organisation würde ich auf jeden Fall eine Keyarchivierung vornehmen; da es zu gefährlich ist, wenn ein User Daten verschlüsselt und dann den Key zerstört.
Die Enterprise Zertifizierungsstelle kann nur Zerifikate an User und Computer innerhalb Deiner Domain ausgegeben werden; wenn Du etwa Zertifikate für den Zugriff externer Kunden an Dein Netz zB für IPSec ausgeben möchtest, muß das eine standalone Zertifizierungsstelle sein. (Die natürlich auch in einem Active Directory Environment laufen darf)
Enterprise CAs:
Best practice ist es außerdem, eine Enterprise Root Zertifizierungsstelle zu installieren, davon eine Subordinate Zertifizierungsstelle abhängig machen und dann die Root Zertifizierungsstelle OFFLINE zu nehmen. (aus Sicherheitsgründen, da der Private Key der Root Zertiifierungsstelle auf der Root Zertifizierungsstelle selbst gespeichert wird), Die subordinate CA stellt dann die Zertifikate aus.
Hope this helps
A.
Die Enterprise Zertifizierungsstelle kann nur Zerifikate an User und Computer innerhalb Deiner Domain ausgegeben werden; wenn Du etwa Zertifikate für den Zugriff externer Kunden an Dein Netz zB für IPSec ausgeben möchtest, muß das eine standalone Zertifizierungsstelle sein. (Die natürlich auch in einem Active Directory Environment laufen darf)
Enterprise CAs:
Best practice ist es außerdem, eine Enterprise Root Zertifizierungsstelle zu installieren, davon eine Subordinate Zertifizierungsstelle abhängig machen und dann die Root Zertifizierungsstelle OFFLINE zu nehmen. (aus Sicherheitsgründen, da der Private Key der Root Zertiifierungsstelle auf der Root Zertifizierungsstelle selbst gespeichert wird), Die subordinate CA stellt dann die Zertifikate aus.
Hope this helps
A.
Ich arbeite jetzt auch an einem PKI-Projekt und hab auch einmal eine Frage zu dem Thema.
Um ein Autoenrollment der Zertifikate in der Active Directory zu gewährleisten benötigt man ja eine Enterprise CA.
Allerdings hab ich durch Recherche im Internet 2 verschiedene Aussagen gefunden:
1. Eine Enterprise CA lässt sich nur auf einem "Windows Server 2003 Enterprise Edition" einrichten
2. Eine Enterprise CA lässt sich sowohl auf einen "Windos Server 2003 Standard Edition" als auch einem "Windows Server 2003 Enterprise Edition" einrichten.
Kann mir jemand sagen welche dieser Aussagen stimmt?
Um ein Autoenrollment der Zertifikate in der Active Directory zu gewährleisten benötigt man ja eine Enterprise CA.
Allerdings hab ich durch Recherche im Internet 2 verschiedene Aussagen gefunden:
1. Eine Enterprise CA lässt sich nur auf einem "Windows Server 2003 Enterprise Edition" einrichten
2. Eine Enterprise CA lässt sich sowohl auf einen "Windos Server 2003 Standard Edition" als auch einem "Windows Server 2003 Enterprise Edition" einrichten.
Kann mir jemand sagen welche dieser Aussagen stimmt?
Auch mit der Standardedition möglich!
Pfoti
Pfoti
