Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EV-Zertifikate

Mitglied: Herbrich19

Herbrich19 (Level 2) - Jetzt verbinden

17.02.2013 um 03:10 Uhr, 2829 Aufrufe, 10 Kommentare

Achtung: Es geht nur um ein Internes Active Directory!

Hallo Kollegen,

Ich habe mal wieder ein besonderes Problehm. Ich soll für ein Privates Netzwerk (Windows Server 2008 r2 Standart Edition) eine Zertifizierungsstelle einrichten.

Ansich kein Problehm, wen der Kunde nicht EV Zertifikate Wünscht die den Browser Grün färben. (Jetzt die Frage warum es ein 16k bit Zertifikat auch nicht tut, das ist dan Hyper Sicher^^).

Jetzt ist die Frage, was muss ich an der Zertifizierungsstelle Ändern, und was an den Browser?

LG, Herbrich

PS: https://www.herbrich.org hat jetzt auch endlich SSL mit Privater-CA. Die Stellt alerdings nur Zertifikate an Domains aus die auch mir gehören. Ich brauche selber keine EV, obwohl wen ich wüsste wie die erstellt werden würde ich Intern vlt auch EV einsetzen. Aber was für Vorteile haben die eigentlich??
Mitglied: catachan
17.02.2013 um 08:19 Uhr
Hi

soweit ich weiß kann man selber keine EV Zertifikate ausstellen, da die Validierung in die Browser eingebaut ist und deine CA grundsätzlich nicht vertrauenswürdig ist.

Generell haben sie nur den Vorteil dass man optisch sieht ob das Zertifikat in Ordnung ist. Die Verschlüsselung ist deswegen nicht besser

LG
Bitte warten ..
Mitglied: clSchak
17.02.2013 um 09:45 Uhr
Hi

einfaches Cert ohne grünen Balken kostet ca. 70 EUR mit dem grünen Balken ca. 90 EUR pro Jahr ... das ist vom Preis her nicht so wahnsinnig teuer (zum. nicht wenn man es wo anders wie verisign kauft - wir haben unseres von GoDaddy.
Bitte warten ..
Mitglied: LordGurke
17.02.2013 um 16:48 Uhr
Die CAs für EV-Zertifikate sind im Browser fest eincompiliert. Alle anderen CAs werden bloß die browserüblichen Farben für SSL-Verschlüsselung geben.
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen oder ein EV-Zertifikat bei einer offiziellen Vergabestelle wie Geotrust oder Verisign (resp. jetzt Symantec) beantragen.
Ob die von clShak empfohlenen EV-Zertifikate von GoDaddy in jedem Browser integriert sind weiß ich allerdings nicht, mir wird bei unserem Zertifikat-Reseller jedoch fast immer angeboten ein vorhandenes Zertifikat von Comodo oder GoDaddy gegen eines von Geotrust einzutauschen....
Bitte warten ..
Mitglied: C.R.S.
17.02.2013 um 22:34 Uhr
Zitat von LordGurke:
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen

Wobei dies, sofern für die geplante CA kein OCSP-Responder betrieben wird, die Zertifikatsvalidierung des Browsers insgesamt kompromittiert. - Das wird bei den zahlreichen Anleitungen dazu gern unterschlagen.

Grüße
Richard
Bitte warten ..
Mitglied: Herbrich19
28.02.2013 um 15:58 Uhr
Hallo, und Sry für die Späte Antwort

Doch, der OCSP-Responder ist vorhanden, die CA ist unter Windows 2008 r2v Aufgebaut. Dann werde ich mal vorschlagen dass die Root-CA eincompliliert.

LG, Herbrich
Bitte warten ..
Mitglied: catachan
28.02.2013 um 16:56 Uhr
Hi

Dann werde ich mal vorschlagen dass die
Root-CA eincompliliert.

Schwachsinn. Erstens kompromitierst du dabei die Sicherheit des Browsers und zusätzlich musst du bei jeder neuen Version vom Browser das gleiche machen.
Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

LG
Bitte warten ..
Mitglied: Herbrich19
08.03.2013 um 23:00 Uhr
Hallo

>Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

Ja, aber es geht um eine Extrem hohe menge dieser Zertifikate. Und die sollen für ein Intranet (d.h. Sharepoint Server 2007) eingesetzt werden.

Hat jemand eine Ahnung wie ich den IE und den Firefox neu Komplieren kann??

LG, Herbrich
Bitte warten ..
Mitglied: catachan
08.03.2013 um 23:04 Uhr
Hi

Was ist für dich eine extrem große Menge ?

<Ironie>Wegen IE kompilieren: Schick ein mail an ie@microsoft.com . Die schicken dir dann den Source Code</ironie>

LG
Bitte warten ..
Mitglied: clSchak
09.03.2013 um 00:10 Uhr
...

für den internen Gebraucht nutzt mal selbst signierte Cert. von der Domänen Zertifizierungsstelle und nur für den Zugriff von außen brauchst du "gültige" Zertifikate.

Wenn du intern eine Meldung bekommst das dein eigenes Cert ungültig ist, dann ist a. deine GPO nicht korrekt oder die Cert/PKI Infrastruktur ist falsch konfiguriert.

Nimm jeweils eines je Domäne und alles wird gut - einen Browser "selbst zu kompilieren" für deine Anforderung ist totaler Unfug - besser gesagt "totaler Schwachsinn".

Die nächste Frage ist, wie viele Leute werden das nutzen? 5, 10, 100, 1000? wenn es weniger wie 10 Leute sind, dann würde ich garkein Cert kaufen sondern den Leuten mitteilen das die Meldung mit dem falschen Cert "ok" ist und man diese einfach akzeptieren soll.
Bitte warten ..
Mitglied: Herbrich19
02.05.2013 um 22:56 Uhr
Hallo,

Erstmal ist das mit den neuKomplieren Schwachsin, man muss einfach nur in der Windows Hilfe (Windows 7) suchen, da steht ne tolle anleitung drinnen.

Um die Frage der nutzer zu Beandworten, weiß ich selber micht. Weil das unternehmen verdammt Groß ist und über 5000 > und weiter hinauß geht.

Aber dass neukompilieren von Firefox reizt mich Privat doch schon sehr, ihn z.B. ne neue Brwoser kennung geben und die Geko Rendering Engine mit eigenen Elementen anzupassen oder zu erweitern. Ich habe früher mal eine Dos Emulation als Browser Plugin in C++ geschreiben, sowas könnte ich da als Tag einbinden und CSS Anpassbarkeit hinzufügen.

LG, Herbrich

PS: www.herbrich.org hat jetzt ein neues Layout.
Bitte warten ..
Ähnliche Inhalte
Hyper-V

Verändert Windows 8 (und ev höher) selbständig Anwendugnspriorität

gelöst Frage von gifoxHyper-V3 Kommentare

Hallo an alle. Vorweg, es ist kein typisches Freitagsthema. Nach langwieriger Suche nach einem mysteriösen Problem in einer Anwendung ...

Verschlüsselung & Zertifikate

Beißen sich SAN-Zertifikat und Wildcard-Zertifikat?

gelöst Frage von SlimButchVerschlüsselung & Zertifikate2 Kommentare

Hallo allerseits, ich habe eine Frage an euch bezüglich SSL Zertifikate, zu der ich bisher keine passende Antwort gefunden ...

Windows Server

RDP Zertifikat

gelöst Frage von schneerunzelWindows Server5 Kommentare

Hallo, Leider habe ich nicht allzu viele Erfahrungen mit Windows Server daher meine Frage: Wenn ich mich mit meinem ...

Exchange Server

Zertifikat wird nicht ausgestellt

gelöst Frage von 118041Exchange Server2 Kommentare

Ich habe das Problem dass ein Exchange-Zertifikat nicht ausgetellt wird. Ich starte den Zertifizierungsservice über Dann klicke ich auf ...

Neue Wissensbeiträge
iOS
Updates für Iphone und Co
Information von sabines vor 2 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...