andy456
Goto Top

Zertifikat von Windows-CA für Linux-System erstellen

Hallo,

ich kämpfe hier seit Tagen mit einem (vielleicht auch Verständnis-)Problem:

Auf einem Windows Server 2008 R2 soll eine Zertifizierungsstelle laufen, die nicht AD-integriert sein muß.
Damit sollen für max 9 Maschinen Zertifikate ausgestellt werden, eine automatische Verteilung ist nicht notwendig.
Einige Maschinen sind Linux-Systeme, die ebenfalls ein Zertifikat erhalten sollen.

Ich habe die Rolle "AD-Zertifikatsdienste" und den Rollendienst "Zertifizierungsstelle" installiert. Typ: Eigenständig.
Diese CA hat auch ein Zertifikat, das sie selbstverständlich als gültig erachtet.

Wenn ich nun ein neues Zertifikat für die Linux-Appliance erstellen will und keine Zertifikatsvorlagen benutze, entsteht ein Zertifikat, bei dem Antragsteller und Aussteller gleich lauten (nämlich auf das Linux-System).
Windows vertraut diesem standardmäßig natürlich nicht, weil der Zertifizierungspfad nicht überprüft werden kann.

W2K8 schlägt vor, dieses Zertifikat in den Speicher "Stammzertifizierungsstellen" zu verschieben - dann wird diesem wohl auch vertraut.
Aber das ist sicher nicht Sinn der Sache.

Viel sinnvoller erscheint mir der Weg, das für Linux ausgestellte Zertifikat in den Speicher "Vertrauenswürdige Geräte" zu verschieben. Der Aussteller sollte logischerweise auf die Windows-CA lauten.

Frage:
- Hab ich die grundsätzliche Vorgehensweise richtig verstanden?
- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?

Viele Grüße,
Andreas

Content-Key: 214668

Url: https://administrator.de/contentid/214668

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: 108012
108012 20.08.2013 um 01:59:14 Uhr
Goto Top
Hallo,

auf Linux basierend TinyCA2
auf Windows basierend xCA

- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?
Du selbst bist dann die CA und zwar Deine eigene, also für den internen Gebrauch bei einem Zugangssystem wie einem
Radius Server oder zur zusätzlichen Absicherung von VPNs mag das ja noch funktionieren und dafür sind auch die beiden
Programme die ich Dir weiter oben verlinkt habe.

Kommt eben immer darauf an was man denn nun damit machen möchte.
Niemand installiert einfach so ein Zertifikat und ist auch nicht eben mal so eigene CA (certification authority)

Gruß
Dobby
Mitglied: Andy456
Andy456 20.08.2013 um 21:06:19 Uhr
Goto Top
Hallo Dobby,

vielen Dank für die Links.

xCA werd ich mir mal genauer anschauen.

Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?

Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...

Gruß,
Andreas
Mitglied: 108012
108012 20.08.2013 um 21:46:21 Uhr
Goto Top
Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!

Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".

Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?

Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.

Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.

Gruß
Dobby
Mitglied: Andy456
Andy456 20.08.2013 um 22:06:58 Uhr
Goto Top
Hallo Dobby,

es geht nur um eine interne Zone. Mit den Zertifikaten wird nicht mit/übers Internet kommuniziert

Zitat von @108012:
> Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2
installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!

> Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".
Zertifikat auf einem Windows 2008 R2 erstellt mittels AD-integrierter "Unternehmens-Zertifizierungsstelle" und unter Benutzung von Zertifikatsvorlagen.
Das Zertifikat dann auf einem Linux-System eingespielt - es wurde auch akzeptiert.

> Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?
Zertifikate auszustellen, bei der der Windows 2008-Server (die Root-CA) auch als Aussteller eingetragen ist. Allerdings möchte ich das Ganze ohne die AD-Integration auf dem Windows 2008 R2-Server versuchen. Da liegt die Krux: Wenn ich keine Zertifikatsvorlagen benutze, wird beim (auf dem Windows 2008 R2-Srv) erstellten Zertifikat der Antragsteller (Linux) auch als Aussteller (Linux) eingetragen. Dem Zertifikat wird automatisch nicht vertraut, solange es nicht im Speicher für Stammzertifizierungsstellen eingetragen ist.
Trag ich es aber dort ein, könnte auf dem Linux-System (wenn es die Funktion unterstützen würde) ebenfalls Zertifikate ausgestellt werden, es wäre quasi dann für den Windows 2008 R2 eine CA - das will ich nicht.

Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.

Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.

Um es kurz zu machen:
Der Windows 2008R2 soll (als RootCA) für einen Gegenpart ein Zertifikat erstellen und diesem auch vertrauen, ohne daß das AD davon behelligt wird.

Gruß,
Andreas
Mitglied: 108012
108012 21.08.2013 aktualisiert um 13:18:04 Uhr
Goto Top
Hallo,

danke erst mal für die Erläuterung, dass sollte doch dann aber mit dem Windows Tool xCA gut funktionieren.

Gruß
Dobby

P.S.
Notfalls nach dem integrieren des Zertifikates, das Zertifikat noch einmal anklicken und
auf Eigenschaften gehen und dann das Zertifikat als vertrauenswürdig kennzeichnen
und dann sollte das ganze doch funktionieren.
Mitglied: Andy456
Andy456 21.08.2013 um 13:39:08 Uhr
Goto Top
Hallo Dobby,

besten Dank für Deine Hilfe.
Mit xCA hab ich das relativ problemlos und sozusagen fast auf Anhieb zum Laufen bekommen.
Genau das, was ich gesucht hab.

Vielen Dank!

Gruß,
Andreas