Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EV-Zertifikate

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Herbrich19

Herbrich19 (Level 2) - Jetzt verbinden

17.02.2013 um 03:10 Uhr, 2801 Aufrufe, 10 Kommentare

Achtung: Es geht nur um ein Internes Active Directory!

Hallo Kollegen,

Ich habe mal wieder ein besonderes Problehm. Ich soll für ein Privates Netzwerk (Windows Server 2008 r2 Standart Edition) eine Zertifizierungsstelle einrichten.

Ansich kein Problehm, wen der Kunde nicht EV Zertifikate Wünscht die den Browser Grün färben. (Jetzt die Frage warum es ein 16k bit Zertifikat auch nicht tut, das ist dan Hyper Sicher^^).

Jetzt ist die Frage, was muss ich an der Zertifizierungsstelle Ändern, und was an den Browser?

LG, Herbrich

PS: https://www.herbrich.org hat jetzt auch endlich SSL mit Privater-CA. Die Stellt alerdings nur Zertifikate an Domains aus die auch mir gehören. Ich brauche selber keine EV, obwohl wen ich wüsste wie die erstellt werden würde ich Intern vlt auch EV einsetzen. Aber was für Vorteile haben die eigentlich??
Mitglied: catachan
17.02.2013 um 08:19 Uhr
Hi

soweit ich weiß kann man selber keine EV Zertifikate ausstellen, da die Validierung in die Browser eingebaut ist und deine CA grundsätzlich nicht vertrauenswürdig ist.

Generell haben sie nur den Vorteil dass man optisch sieht ob das Zertifikat in Ordnung ist. Die Verschlüsselung ist deswegen nicht besser

LG
Bitte warten ..
Mitglied: clSchak
17.02.2013 um 09:45 Uhr
Hi

einfaches Cert ohne grünen Balken kostet ca. 70 EUR mit dem grünen Balken ca. 90 EUR pro Jahr ... das ist vom Preis her nicht so wahnsinnig teuer (zum. nicht wenn man es wo anders wie verisign kauft - wir haben unseres von GoDaddy.
Bitte warten ..
Mitglied: LordGurke
17.02.2013 um 16:48 Uhr
Die CAs für EV-Zertifikate sind im Browser fest eincompiliert. Alle anderen CAs werden bloß die browserüblichen Farben für SSL-Verschlüsselung geben.
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen oder ein EV-Zertifikat bei einer offiziellen Vergabestelle wie Geotrust oder Verisign (resp. jetzt Symantec) beantragen.
Ob die von clShak empfohlenen EV-Zertifikate von GoDaddy in jedem Browser integriert sind weiß ich allerdings nicht, mir wird bei unserem Zertifikat-Reseller jedoch fast immer angeboten ein vorhandenes Zertifikat von Comodo oder GoDaddy gegen eines von Geotrust einzutauschen....
Bitte warten ..
Mitglied: C.R.S.
17.02.2013 um 22:34 Uhr
Zitat von LordGurke:
Einzige Möglichkeiten: Gepatchte Versionen von Firefox/Chromium verteilen

Wobei dies, sofern für die geplante CA kein OCSP-Responder betrieben wird, die Zertifikatsvalidierung des Browsers insgesamt kompromittiert. - Das wird bei den zahlreichen Anleitungen dazu gern unterschlagen.

Grüße
Richard
Bitte warten ..
Mitglied: Herbrich19
28.02.2013 um 15:58 Uhr
Hallo, und Sry für die Späte Antwort

Doch, der OCSP-Responder ist vorhanden, die CA ist unter Windows 2008 r2v Aufgebaut. Dann werde ich mal vorschlagen dass die Root-CA eincompliliert.

LG, Herbrich
Bitte warten ..
Mitglied: catachan
28.02.2013 um 16:56 Uhr
Hi

Dann werde ich mal vorschlagen dass die
Root-CA eincompliliert.

Schwachsinn. Erstens kompromitierst du dabei die Sicherheit des Browsers und zusätzlich musst du bei jeder neuen Version vom Browser das gleiche machen.
Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

LG
Bitte warten ..
Mitglied: Herbrich19
08.03.2013 um 23:00 Uhr
Hallo

>Jeder der halbwegs rechnen kann weiß dass 90€/Jahr für so ein Zertifikat wesentlich günstiger kommen.

Ja, aber es geht um eine Extrem hohe menge dieser Zertifikate. Und die sollen für ein Intranet (d.h. Sharepoint Server 2007) eingesetzt werden.

Hat jemand eine Ahnung wie ich den IE und den Firefox neu Komplieren kann??

LG, Herbrich
Bitte warten ..
Mitglied: catachan
08.03.2013 um 23:04 Uhr
Hi

Was ist für dich eine extrem große Menge ?

<Ironie>Wegen IE kompilieren: Schick ein mail an ie@microsoft.com . Die schicken dir dann den Source Code</ironie>

LG
Bitte warten ..
Mitglied: clSchak
09.03.2013 um 00:10 Uhr
...

für den internen Gebraucht nutzt mal selbst signierte Cert. von der Domänen Zertifizierungsstelle und nur für den Zugriff von außen brauchst du "gültige" Zertifikate.

Wenn du intern eine Meldung bekommst das dein eigenes Cert ungültig ist, dann ist a. deine GPO nicht korrekt oder die Cert/PKI Infrastruktur ist falsch konfiguriert.

Nimm jeweils eines je Domäne und alles wird gut - einen Browser "selbst zu kompilieren" für deine Anforderung ist totaler Unfug - besser gesagt "totaler Schwachsinn".

Die nächste Frage ist, wie viele Leute werden das nutzen? 5, 10, 100, 1000? wenn es weniger wie 10 Leute sind, dann würde ich garkein Cert kaufen sondern den Leuten mitteilen das die Meldung mit dem falschen Cert "ok" ist und man diese einfach akzeptieren soll.
Bitte warten ..
Mitglied: Herbrich19
02.05.2013 um 22:56 Uhr
Hallo,

Erstmal ist das mit den neuKomplieren Schwachsin, man muss einfach nur in der Windows Hilfe (Windows 7) suchen, da steht ne tolle anleitung drinnen.

Um die Frage der nutzer zu Beandworten, weiß ich selber micht. Weil das unternehmen verdammt Groß ist und über 5000 > und weiter hinauß geht.

Aber dass neukompilieren von Firefox reizt mich Privat doch schon sehr, ihn z.B. ne neue Brwoser kennung geben und die Geko Rendering Engine mit eigenen Elementen anzupassen oder zu erweitern. Ich habe früher mal eine Dos Emulation als Browser Plugin in C++ geschreiben, sowas könnte ich da als Tag einbinden und CSS Anpassbarkeit hinzufügen.

LG, Herbrich

PS: www.herbrich.org hat jetzt ein neues Layout.
Bitte warten ..
Ähnliche Inhalte
Hosting & Housing
Plesk Domains, 1 IP, unterschiedliche SSL Zertifikate (10)

Frage von conym18 zum Thema Hosting & Housing ...

Webbrowser
Zertifikats Problem (4)

Frage von brammer zum Thema Webbrowser ...

Webbrowser
gelöst SSL auch ohne Zertifikat (9)

Frage von pitamerica zum Thema Webbrowser ...

Verschlüsselung & Zertifikate
gelöst Welches SSL-Zertifikat? (4)

Frage von Leo-le zum Thema Verschlüsselung & Zertifikate ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Windows Server
Kennwort vergessen bei Hyper vserver 2012r (12)

Frage von jensgebken zum Thema Windows Server ...

Linux Desktop
Bildschirmauflösung unter Linux festlegen (12)

Frage von itebob zum Thema Linux Desktop ...

Windows Userverwaltung
gelöst Administrator hat alle Rechte verloren (10)

Frage von mrdead zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Gebäude mit WLAN ausstatten (9)

Frage von udobec zum Thema LAN, WAN, Wireless ...