Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Clients einen bestimmten Zertifikatsserver für Zertifikatsanforderungen zuweisen

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: poellmann

poellmann (Level 1) - Jetzt verbinden

08.11.2007, aktualisiert 04.12.2007, 9663 Aufrufe, 8 Kommentare

Schönen guten Tag euch allen.

Ausgangssituation:
Ich werde eine PGP-Hierarchie in meinem Unternehmen einführen und möchte dafür die Zertifikatsdienste vom Windows Server 2003 nutzen.
Alle meine Server nutzen Windows 2003 und alle Clients nutzen Windows XP Pro.
Ich habe zwei Standorte zu betreuen. Die Standorte sind über eine 128Kb/s-Leitung miteinander verbunden.
Es existiert nur eine Active Directory Domäne in meinem Unternehmen.

Ziel:
Es wird eine eigenständige Stammzertifizierungsstelle und es werden zwei untergeordnete Unternehmenszertifizierungsstellen eingerichtet. Jeweils eine untergeordnete Zertifizierungsstelle wird im entsprechendem Standort aufgestellt.
Die Zertifikate sollen automatisch erstellt und zugewiesen werden.

Frage:
Kann ich in einem GPO definieren, das die benötigten Zertifikate für Clients und User nur vom Zertifikatsserver des entsprechenden Standorts angefordert werden?
Ich möchte auf jeden Fall vermeiden das Zertifikatsanforderungen über die 128 Kb/s-Leitung gesendet werden.


Mit freundlichen Grüßen


Michael Pöllmann
Mitglied: gnarff
28.11.2007 um 14:32 Uhr
Könntest Du uns noch wissen lassen, welches PGP-Produkt hier zum Einsatz kommt?

saludos
gnarff
Bitte warten ..
Mitglied: poellmann
28.11.2007 um 17:56 Uhr
Es soll der Zertifikatsdienst vom Windows 2003 Server zum Einsatz kommen, welches schon standardmäßig dabei ist.

Servus

Micha
Bitte warten ..
Mitglied: gnarff
29.11.2007 um 00:46 Uhr
Hallo Micha,

es ist mir immer noch nicht klar, was das nun mit PGP zu tun hat...

Ich glaube Du suchst Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen

saludos
gnarff

[edit/ Thread von PGP nach Verschlüsselung-Startseite verschoben]
Bitte warten ..
Mitglied: poellmann
29.11.2007 um 07:45 Uhr
Hi Gnarff,

ich suche nicht die Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen.

Ich möchte den Zertifikatsdienst (start->Software->windows Komponenten hinzufügen--> IIS, Zertifikatsdienst etc.) und alles was dafür notwendig ist auf einem Windows 2003 Server installieren. Damit hab ich einen voll funktionsfähigen Zertifikatsserver.

Ich werde 3 Zertifikatsserver (1 Stammzertifizierungsstelle, 2 untergeordnete Zertifizierungsstellen) auf diese weise installieren.

WICHTIG:
eine Untergeordnete CA wird in Karlsruhe und die andere untergeordnete CA wird in Stuttgart aufgestellt. Zwischen den Standorten besteht eine 128 Kbit/s-Leitung.

Ich will das die Clients in Karlsruhe nur Zertifikatsanforderungen an die CA in Karlsruhe stellen und die Clients in Stuttgart nur Zertifikatsanforderungen an die CA in Stuttgart stellen.

Ich will mit einem GPO den Clients sagen, dass sie nur von einem bestimmten Zertifikatsserver Zertifikate anfordern sollen. Es soll keine Anforderung über die 128 Kbit/s-Leitung gehen.

Bis denne

Micha
Bitte warten ..
Mitglied: gnarff
29.11.2007 um 15:28 Uhr
Hallo Micha!

ich suche nicht die Richtlinien der
vertrauenswürdigen
Stammzertifizierungsstellen.

Die wirst Du aber brauchen...
Ich möchte den Zertifikatsdienst
(start->Software->windows Komponenten
hinzufügen--> IIS, Zertifikatsdienst
etc.) und alles was dafür notwendig ist
auf einem Windows 2003 Server installieren.
Damit hab ich einen voll
funktionsfähigen Zertifikatsserver.

Wie man sowas einrichet, findest Du im Dokument So richten Sie einen Zertifikatsserver ein sehr schön beschrieben

Ich will mit einem GPO den Clients sagen,
dass sie nur von einem bestimmten
Zertifikatsserver Zertifikate anfordern
sollen. Es soll keine Anforderung über
die 128 Kbit/s-Leitung gehen.

Wie ich schon vorher versuchte zu erklären: Richtlinien zum Einrichten von Vertrauensstellungen zu Stammzertifizierungsstellen
Nicht nur die Überschriften lesen...

Hier bekommst Du es im Verlauf des Word-Dokuments noch mehr als ausführlich erklärt
Windows Server 2003-Zertifikatdienste-Lösung

Zum Absichern, mit Vorlagen das Windows Server 2003 Sicherheitshandbuch

saludos
gnarff
Bitte warten ..
Mitglied: poellmann
29.11.2007 um 19:45 Uhr
Hi Gnarff,

vielleicht hab ich mich bisschen umständlich ausgedrückt.

1. Ich weiß wo die Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen sich befinden und ich weiß wie ich diese einstellen muss.

2. Ich weiß auch welche Komponenten ich installieren und konfigurieren muss, damit die Zertifizierungsstelle funktioniert.

3. Ich kenne auch die Richtlinien zum Einrichten von Vertrauensstellungen zu Stammzertifizierungsstellen.

Das ist mir alles bekannt.

Ich habe 2 gleichberechtigte untergeordnete Unternehmenszertifizierungsstellen.
Was ich nicht weiß:
Kann ich den Clients irgendwie sagen, dass diese nur Zertifikate von einer dieser beiden Zertifizierungstellen anfordern sollen.

Damit ich folgendes Ergebnis habe:
Clients in Stuttgart sollen nur Anforderungen an die untergeordnete Zertifizierungstelle in Stuttgart schicken.
Clients in Karlsruhe sollen nur Anforderungen an die untergeordnete Zertifizierungstelle in Karlsruhe schicken

Die beiden untergeordneten Zertifizierungsstellen haben die gleiche Stammzertifizierungsstelle.


Servus

Micha
Bitte warten ..
Mitglied: gnarff
30.11.2007 um 15:18 Uhr
Gut, Micha, versuchen wir es andersrum.

1. Werden die Zertifikate manuell angefordert, dh. via Browser der lokalen zertifizierungsstelle>/crtsrv?

oder...

2. Möchtest Du, dass die Zertifikate automatisch bei einloggen des Clients in die Domain bezogen werden?

Im Falle von Punkt 1, gibt es meines Wissens keine GPO die dem Client verbietet sich mit einer anderen als der lokalen Zertifizierungsstelle zu verbinden.
Darf sich der Client nicht mit der Stammzertifizierungstelle verbinden, so handelt es sich hier um die Implementation einer Verbindungsrestriktion und die konfiguriert man z.B. ueber ISA, IPsec oder der Server/Client-Role tauglichen Firewall Deiner Wahl.

Im Falle von Punkt 2, dem Auto-Enrollment, brauchst Du das Zertifikat -Snap-In der MMC;
wie man ein Auto-Enrollment einrichtet, findest Du im Dokument Certificate Autoenrollment in Windows Server 2003 beschrieben.

saludos
gnarff
Bitte warten ..
Mitglied: poellmann
04.12.2007 um 08:21 Uhr
Hi Gnarff,

ich möchte die 2. Variante anwenden. Die Beschreibung sieht schon mal sehr gut aus.

Danke


Micha
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Server2012 R2 Radius Richtlinien bestimmten Clients zuordnen (6)

Frage von MichaelW84 zum Thema Windows Server ...

VB for Applications
Explorer mit Pfad und einer bestimmten Ansicht öffnen (1)

Frage von StefanKittel zum Thema VB for Applications ...

Microsoft
12 Windows Clients zentral administrieren (10)

Frage von kaufmann zum Thema Microsoft ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...