15
Zertifikate per http veröffentlichen
Moin,
ich möchte, dass meine Zertifizierungsstelle ihre Sperrlisten und Zertifikate über http veröffentlicht. Die http-Seite soll auch extern erreichbar sein.
Jetzt bin ich etwas am Grüblen, wie man das technisch realisieren kann. Entweder man nutzt den Provider, in diesem Fall 1und1 und nutzt dann diesen Webspace.
Oder man hat intern einen IIS laufen, der extern ereichbar ist.
Wie könnte man das am Besten lösen? Beim Provider 1und1 hätte ich jetzt das Problem, wie die Sperrlisten immer aktuell auf dem 1und1-Server hinkommen.
Beim internen IIS hätte ich das Problem nicht, jedoch erscheint mi diese Lösung unsicherer gegenüber der Lösung mit dem 1und1-Server.
Wie macht man das denn in der Praxis?
ich möchte, dass meine Zertifizierungsstelle ihre Sperrlisten und Zertifikate über http veröffentlicht. Die http-Seite soll auch extern erreichbar sein.
Jetzt bin ich etwas am Grüblen, wie man das technisch realisieren kann. Entweder man nutzt den Provider, in diesem Fall 1und1 und nutzt dann diesen Webspace.
Oder man hat intern einen IIS laufen, der extern ereichbar ist.
Wie könnte man das am Besten lösen? Beim Provider 1und1 hätte ich jetzt das Problem, wie die Sperrlisten immer aktuell auf dem 1und1-Server hinkommen.
Beim internen IIS hätte ich das Problem nicht, jedoch erscheint mi diese Lösung unsicherer gegenüber der Lösung mit dem 1und1-Server.
Wie macht man das denn in der Praxis?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 375951
Url: https://administrator.de/contentid/375951
Printed on: April 26, 2024 at 08:04 o'clock
15 Comments
Latest comment
Zitat von @RalphT:
Moin,
ich möchte, dass meine Zertifizierungsstelle ihre Sperrlisten und Zertifikate über http veröffentlicht. Die http-Seite soll auch extern erreichbar sein.
Sollte man gut planen denn eine CA hat besondere Sicherheitsbedürfnisse. Auch über HighAvailability sollte man sich Gedanken machen denn sind Sperrlisten nicht abrufbar, streiken manche Anwendungen AdHoc wie z.B. SSTP etc.Moin,
ich möchte, dass meine Zertifizierungsstelle ihre Sperrlisten und Zertifikate über http veröffentlicht. Die http-Seite soll auch extern erreichbar sein.
Jetzt bin ich etwas am Grüblen, wie man das technisch realisieren kann. Entweder man nutzt den Provider, in diesem Fall 1und1 und nutzt dann diesen Webspace.
Kann man, würde 1und1 sowas wichtiges aber nie anvertrauen.Oder man hat intern einen IIS laufen, der extern ereichbar ist.
Aber nur in einer DMZ mit Applicationproxy und HA gesichert in doppelter AusführungWie könnte man das am Besten lösen? Beim Provider 1und1 hätte ich jetzt das Problem, wie die Sperrlisten immer aktuell auf dem 1und1-Server hinkommen.
Per regelmäßigem FTP/SFTP Task kein Problem.Beim internen IIS hätte ich das Problem nicht, jedoch erscheint mi diese Lösung unsicherer gegenüber der Lösung mit dem 1und1-Server.
Sicher ist wie sicher du es machst und haben willst.Wie macht man das denn in der Praxis?
s. Kommentar oben.
Danke für deinen Kommentar.
Ich will jetzt nochmal abwarten, ob hier noch etwas kommt.
Aber so in etwa tendiere ich auch in gleiche Richtung, was du es schon geschrieben hast:
Dann doch lieber den Sicherheitsaufwand für den Webserver hier im Hause erhöhen, aber dafür bleiben die Sperrlisten und Zertifikate hier im Hause und ich habe das Problem mit der ständigen, immer zeitnahen Synchronisation mit dem externen Webspace nicht.
Ich will jetzt nochmal abwarten, ob hier noch etwas kommt.
Aber so in etwa tendiere ich auch in gleiche Richtung, was du es schon geschrieben hast:
Dann doch lieber den Sicherheitsaufwand für den Webserver hier im Hause erhöhen, aber dafür bleiben die Sperrlisten und Zertifikate hier im Hause und ich habe das Problem mit der ständigen, immer zeitnahen Synchronisation mit dem externen Webspace nicht.
Nur mit der in de AD veröffentlichten LDAP CRL zu fahren ist riskant, wenn irgendwann mal ein Fehler dort vorliegt.
Ich hab die CRL zusätzlich zu Certenroll an einem eigenem CRL Folder veröffentlicht und über CIFS in einem Webserver (intranet) eingebunden, der die Bereitstellung über http bewerkstelligt.
Zusätzlich auch über SFTP auf einen Webspace geladen, somit sind Zertifikate mehr oder weniger von aussen auch validierbar.
(Ja, ich weiss - OCSP...)
Ein Powershell Cmdlet kann dir das sicher übernehmen.
Ich hab die CRL zusätzlich zu Certenroll an einem eigenem CRL Folder veröffentlicht und über CIFS in einem Webserver (intranet) eingebunden, der die Bereitstellung über http bewerkstelligt.
Zusätzlich auch über SFTP auf einen Webspace geladen, somit sind Zertifikate mehr oder weniger von aussen auch validierbar.
(Ja, ich weiss - OCSP...)
Ein Powershell Cmdlet kann dir das sicher übernehmen.
Ja nee ist klar ....
Certificate revocation lists cannot be accessed over HTTPS
Zitat von @136166:
Ja nee ist klar ....
Ja nee ist klar ....
> Certificate revocation lists cannot be accessed over HTTPS
> Quelle: 2009?
Quelle: 2014 - "is just a waste of ressources"
Quelle: 2018 - durch LE & Co nicht mehr.
Quelle: 2009?
Quelle: 2014 - "is just a waste of ressources"
Quelle: 2018 - durch LE & Co nicht mehr.
Du scheinst den Thread nicht gelesen zu haben. CRL Distribution Points kann der MS Client nur per http nicht pet HTTPS herunterladen -> Henne Ei Problem!
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://social.technet.microsoft.com/Forums/windowsserver/en-US/f8a6a4f0 ...
Wie willst du also CRLs von einer SSL Seite runterladen dessen Zertifikat du ebenfalls prüfen musst und das dann wieder SSL geschützt wäre was ebenfalls geprüft werden muss??? Du siehst das würde in einem endlosen Loop enden. Deswegen darf die CRL selbst nicht SSL geschützt abrufbar sein. Kannst du ganz einfach mal selbst mit certutil versuchen.
Richtig, deswegen achte auf meine Ausführung "Würde ich über HTTPS einer Dritt-CA machen."
Sprich, ein Zertifikat, dass auf einer ganz anderen Root-CA aufbaut. Du hast natürlich Recht, dass eine über eine sich selbst zertifizierende (ich nenn das Kind nun einfach so) HTTPS Verbindung so nicht tragbar wäre. Aber darauf wollte ich gar nicht hinaus. Von Windows hat er ferner gar nicht gesprochen.
Sprich, ein Zertifikat, dass auf einer ganz anderen Root-CA aufbaut. Du hast natürlich Recht, dass eine über eine sich selbst zertifizierende (ich nenn das Kind nun einfach so) HTTPS Verbindung so nicht tragbar wäre. Aber darauf wollte ich gar nicht hinaus. Von Windows hat er ferner gar nicht gesprochen.
Würde ich über HTTPS einer Dritt-CA machen."
Du scheinst nicht verstehen zu wollen ...Es gibt genügend Client- Bibliotheken die CRLs nicht über HTTPs abrufen können die Mehrzahl (Linux ist keine Ausnahme), deswegen funktioniert generell ein Bereitstellen der Listen über HTTPS nicht.
Das ist also Schwachsinn, außerdem ist http 1.1 Abruf sowieso schon deprecated, muss aber aus Kompatibilitätsgründen eben deswegen noch bereitgestellt werden.
Danke, ich hab eben mal mit certutil etwas probiert, der Abruf per HTTPS scheint kein Problem zu sein. Weitergehende Tests überlass ich gerne dir.
(Achtung: Nicht über den CA Server, sondern von einem Drittsystem mit LE Zert.)
(Achtung: Nicht über den CA Server, sondern von einem Drittsystem mit LE Zert.)
Wenn die jeweilige Bibliothek das zulässt geht das natürlich (GUI Tools sowieso wenn sie nur die reine Verfügbarkeit prüfen), viele aber lassen es eben nicht zu deswegen veröffentlichen die meisten Anbieter aus Kompatibilitätsgründen eben über http und oscp. Da OCSP inzwischen so weit verbreitet ist rückt die Veröffentlichung über https in den Hintergrund (zu wenig Kompatibilität und keine offizellen Standardverfahren).
Ist die unveränderte Windows... also, gehen tut es auch damit, womit es in definierter Vorgehensweise kein Schwachsinn ist.
Du meinst OCSP, nehme ich an?
Ob das so ist, wie du es nun darstellst, lass ich mal dahingestellt (auch in Hinsicht darauf, dass es entgegen deiner Aussage mit certutil klappt), wie vermutlich ersichtlich, war das nur eine kleine Fingerübung, nichts, worauf ich im weiteren viel Zeit setzen werde.
Viele Grüße,
Christian
Du meinst OCSP, nehme ich an?
Ob das so ist, wie du es nun darstellst, lass ich mal dahingestellt (auch in Hinsicht darauf, dass es entgegen deiner Aussage mit certutil klappt), wie vermutlich ersichtlich, war das nur eine kleine Fingerübung, nichts, worauf ich im weiteren viel Zeit setzen werde.
Viele Grüße,
Christian
Japp Tippfehler.
Naja Schuster bleib bei seinen Leisten.
Thread solved.
Ob das so ist, wie du es nun darstellst, lass ich mal dahingestellt
Jahrelange Erfahrung auch im programmiertechnischen Bereich. Nimm dir mal einen SSTP-Client, schon der fällt damit auf die Schnautze, es geht hier ja nicht nur um Browser sondern sämtliche auf SSL basierten Protokolle und eine CA sollte ja normalerweise so kompatibel wie möglich aufgebaut sein.war das nur eine kleine Fingerübung
Die wohl nicht tief genug ging.auch in Hinsicht darauf, dass es entgegen deiner Aussage mit certutil klappt
Nein das tu es hier nicht. Auf keinem System sowohl alt als auch auf den neuesten.Naja Schuster bleib bei seinen Leisten.
Thread solved.
Gestern dachte ich, dass wars dann mit den beiden Antworten. Aber wie ich gesehen habe, gabs ja doch noch etwas mehr Input.
Ich bedanke mich für eure Antworten. Den Tipp mit der Dritt-CA muss ich mir erst in Ruhe durchlesen.
Ich bedanke mich für eure Antworten. Den Tipp mit der Dritt-CA muss ich mir erst in Ruhe durchlesen.
Moin,
@elandy
Gruß,
Dani
Den Tipp mit der Dritt-CA muss ich mir erst in Ruhe durchlesen.
das wird auf Dauer mehr Ärger machen als nutzen. Wir haben 5% von Anwendungen im Einsatz die es unterstützen könnten. Auf Grund der Mehrarbeit und des nutzen haben wir es nicht weiterverfolgt.Oder man hat intern einen IIS laufen, der extern ereichbar ist.
Alternativ einen Linux Maschine in die DMZ stellen, einen Webserver wie lighttpd oder nginx installieren und dort hin alle x Minuten/Stunden die entsprechenden CRL-Dateien kopieren. Ist evtl. einfacher für dich umzusetzen, wie Application bzw. Reserve Proxy.@elandy
Ich hab die CRL zusätzlich zu Certenroll an einem eigenem CRL Folder veröffentlicht und über CIFS in einem Webserver (intranet) eingebunden, der die Bereitstellung über http bewerkstelligt.
CIFS kannst in kleinen Netzwerken und ausschließlich intern nutzen. Aber setzt man es in Relation mit Security und Veröffentlichung im Internet ist es ein Security Issue. Zwei Webserver redudant auszulegen ist auch in diesem Fall einfacher.Gruß,
Dani