Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zertifikat von Windows-CA für Linux-System erstellen

Frage Microsoft Windows Server

Mitglied: Andy456

Andy456 (Level 1) - Jetzt verbinden

19.08.2013 um 19:30 Uhr, 4289 Aufrufe, 6 Kommentare

Hallo,

ich kämpfe hier seit Tagen mit einem (vielleicht auch Verständnis-)Problem:

Auf einem Windows Server 2008 R2 soll eine Zertifizierungsstelle laufen, die nicht AD-integriert sein muß.
Damit sollen für max 9 Maschinen Zertifikate ausgestellt werden, eine automatische Verteilung ist nicht notwendig.
Einige Maschinen sind Linux-Systeme, die ebenfalls ein Zertifikat erhalten sollen.

Ich habe die Rolle "AD-Zertifikatsdienste" und den Rollendienst "Zertifizierungsstelle" installiert. Typ: Eigenständig.
Diese CA hat auch ein Zertifikat, das sie selbstverständlich als gültig erachtet.

Wenn ich nun ein neues Zertifikat für die Linux-Appliance erstellen will und keine Zertifikatsvorlagen benutze, entsteht ein Zertifikat, bei dem Antragsteller und Aussteller gleich lauten (nämlich auf das Linux-System).
Windows vertraut diesem standardmäßig natürlich nicht, weil der Zertifizierungspfad nicht überprüft werden kann.

W2K8 schlägt vor, dieses Zertifikat in den Speicher "Stammzertifizierungsstellen" zu verschieben - dann wird diesem wohl auch vertraut.
Aber das ist sicher nicht Sinn der Sache.

Viel sinnvoller erscheint mir der Weg, das für Linux ausgestellte Zertifikat in den Speicher "Vertrauenswürdige Geräte" zu verschieben. Der Aussteller sollte logischerweise auf die Windows-CA lauten.

Frage:
- Hab ich die grundsätzliche Vorgehensweise richtig verstanden?
- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?

Viele Grüße,
Andreas
Mitglied: 108012
20.08.2013 um 01:59 Uhr
Hallo,

auf Linux basierend TinyCA2
auf Windows basierend xCA

- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?
Du selbst bist dann die CA und zwar Deine eigene, also für den internen Gebrauch bei einem Zugangssystem wie einem
Radius Server oder zur zusätzlichen Absicherung von VPNs mag das ja noch funktionieren und dafür sind auch die beiden
Programme die ich Dir weiter oben verlinkt habe.

Kommt eben immer darauf an was man denn nun damit machen möchte.
Niemand installiert einfach so ein Zertifikat und ist auch nicht eben mal so eigene CA (certification authority)

Gruß
Dobby
Bitte warten ..
Mitglied: Andy456
20.08.2013 um 21:06 Uhr
Hallo Dobby,

vielen Dank für die Links.

xCA werd ich mir mal genauer anschauen.

Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?

Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...

Gruß,
Andreas
Bitte warten ..
Mitglied: 108012
20.08.2013 um 21:46 Uhr
Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!

Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".

Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?

Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.

Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.

Gruß
Dobby
Bitte warten ..
Mitglied: Andy456
20.08.2013 um 22:06 Uhr
Hallo Dobby,

es geht nur um eine interne Zone. Mit den Zertifikaten wird nicht mit/übers Internet kommuniziert

Zitat von 108012:
> Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2
installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!

> Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".
Zertifikat auf einem Windows 2008 R2 erstellt mittels AD-integrierter "Unternehmens-Zertifizierungsstelle" und unter Benutzung von Zertifikatsvorlagen.
Das Zertifikat dann auf einem Linux-System eingespielt - es wurde auch akzeptiert.

> Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?
Zertifikate auszustellen, bei der der Windows 2008-Server (die Root-CA) auch als Aussteller eingetragen ist. Allerdings möchte ich das Ganze ohne die AD-Integration auf dem Windows 2008 R2-Server versuchen. Da liegt die Krux: Wenn ich keine Zertifikatsvorlagen benutze, wird beim (auf dem Windows 2008 R2-Srv) erstellten Zertifikat der Antragsteller (Linux) auch als Aussteller (Linux) eingetragen. Dem Zertifikat wird automatisch nicht vertraut, solange es nicht im Speicher für Stammzertifizierungsstellen eingetragen ist.
Trag ich es aber dort ein, könnte auf dem Linux-System (wenn es die Funktion unterstützen würde) ebenfalls Zertifikate ausgestellt werden, es wäre quasi dann für den Windows 2008 R2 eine CA - das will ich nicht.

Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.

Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.

Um es kurz zu machen:
Der Windows 2008R2 soll (als RootCA) für einen Gegenpart ein Zertifikat erstellen und diesem auch vertrauen, ohne daß das AD davon behelligt wird.

Gruß,
Andreas
Bitte warten ..
Mitglied: 108012
21.08.2013, aktualisiert um 13:18 Uhr
Hallo,

danke erst mal für die Erläuterung, dass sollte doch dann aber mit dem Windows Tool xCA gut funktionieren.

Gruß
Dobby

P.S.
Notfalls nach dem integrieren des Zertifikates, das Zertifikat noch einmal anklicken und
auf Eigenschaften gehen und dann das Zertifikat als vertrauenswürdig kennzeichnen
und dann sollte das ganze doch funktionieren.
Bitte warten ..
Mitglied: Andy456
21.08.2013 um 13:39 Uhr
Hallo Dobby,

besten Dank für Deine Hilfe.
Mit xCA hab ich das relativ problemlos und sozusagen fast auf Anhieb zum Laufen bekommen.
Genau das, was ich gesucht hab.

Vielen Dank!

Gruß,
Andreas
Bitte warten ..
Ähnliche Inhalte
Apache Server
SSL-Zertifikat für XAMPP mit Windows CA
gelöst Frage von ITHG13Apache Server6 Kommentare

Hi Leute, ich möchte mich ein wenig näher mit Linux-Webservern beschäftigen und habe mir dafür auf einen Ubnutu-Server die ...

Monitoring
System Monitoring für Windows, Linux
Frage von manuelwMonitoring6 Kommentare

Hallo, ich bin auf der Suche nach einer Webbasierten System Monitoring Lösung. Wichtig wäre mir dabei, dass ich diese ...

Verschlüsselung & Zertifikate
Fingerprint von Aussteller-CA-Zertifikat
gelöst Frage von Philipp711Verschlüsselung & Zertifikate3 Kommentare

Hallo, ich beschäftige mich mal wieder intensiver mit dem Thema "SSL-Zertifikate". Dabei fällt mir folgendes auf: Unser Proxy hält ...

Linux Tools
Linux CA im AD
Frage von X42KampfpanzerLinux Tools1 Kommentar

Hallo an alle, für den Https Zugriff auf Drucker und unseren Esxi Server möchte ich gern eine CA erstellen ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner14 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...