6
Root CA erstellen und ein unterzertifikat auf Windows Maschine ohne PKI
Windows Server 2008 R2
Hallo miteinander,
In Linux kann ich mit openssl auch ohne PKI ein Root SF CA erstellen und dann von diesem mir ein Unterzertifikat ausstellen lassen.
Da ich aber nicht unbedingt die PKI Rolle auf unserem AD installieren will, frage ich mich ob das auch ohne PKI möglich ist unter Windows.
Weiss das jemand oder hat jemand dafür eine Lösung ?
grüße fireskyer
Hallo miteinander,
In Linux kann ich mit openssl auch ohne PKI ein Root SF CA erstellen und dann von diesem mir ein Unterzertifikat ausstellen lassen.
Da ich aber nicht unbedingt die PKI Rolle auf unserem AD installieren will, frage ich mich ob das auch ohne PKI möglich ist unter Windows.
Weiss das jemand oder hat jemand dafür eine Lösung ?
grüße fireskyer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 306678
Url: https://administrator.de/contentid/306678
Printed on: April 16, 2024 at 08:04 o'clock
6 Comments
Latest comment
Moin,
wenn du dich schon mit openssl auskennst, dann nutze das doch einfach.
Gruß Krämer
wenn du dich schon mit openssl auskennst, dann nutze das doch einfach.
Gruß Krämer
XCA ist ein schönes portables Tool für alles rund um Zertfikate.
Gruß skybird
p.s. OpenSSL läuft auch unter Windows
Gruß skybird
p.s. OpenSSL läuft auch unter Windows
Hallo,
von Microsoft gibt es makecert.exe https://msdn.microsoft.com/en-us/library/windows/desktop/aa386968%28v=vs ...
Ich würde aber eine vernünftige zweistufige PKI vorziehen. Das kostet je nach Umgebungsgröße kaum Leistung. Auf einen DC würde ich es nicht unbedingt drauf machen, aber signifikante Nachteile hat es nicht.
Edit: Damit meinte ich natürlich die ausstellende CA/Issuing CA. Die Root CA ist natürlich offline. Und ein Offline-DC ist nicht so toll
Grüße Winary
von Microsoft gibt es makecert.exe https://msdn.microsoft.com/en-us/library/windows/desktop/aa386968%28v=vs ...
Ich würde aber eine vernünftige zweistufige PKI vorziehen. Das kostet je nach Umgebungsgröße kaum Leistung. Auf einen DC würde ich es nicht unbedingt drauf machen, aber signifikante Nachteile hat es nicht.
Edit: Damit meinte ich natürlich die ausstellende CA/Issuing CA. Die Root CA ist natürlich offline. Und ein Offline-DC ist nicht so toll
Grüße Winary
Hallo,
Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.
Gruß
Chonta
aber signifikante Nachteile hat es nicht
Wird von MS nicht empfolen.Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.
Gruß
Chonta
Zitat von @Chonta:
Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.
Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.
Das ist richtig, deswegen würde ich es nicht machen, aber vielleicht ist das für den ein oder anderen verschmerzbar, da man das jetzt nicht soo häufig macht.
Danke an euch für die ganzen Antworten.
Ja ich weiss normalerweise ein Root-CA im Tresor und nur ein Unter-CA ins Netzwerk.
Aber wir haben ATM keine wirkliche PKI oder sonstige Policies in der Richtung und ich will es nur für Makros benutzen.
Und da denke ich da reicht die einfache Methode.
Thnks all
grüße fireskyer
Ja ich weiss normalerweise ein Root-CA im Tresor und nur ein Unter-CA ins Netzwerk.
Aber wir haben ATM keine wirkliche PKI oder sonstige Policies in der Richtung und ich will es nur für Makros benutzen.
Und da denke ich da reicht die einfache Methode.
Thnks all
grüße fireskyer