Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zertifikat von Windows-CA für Linux-System erstellen

Frage Microsoft Windows Server

Mitglied: Andy456

Andy456 (Level 1) - Jetzt verbinden

19.08.2013 um 19:30 Uhr, 3746 Aufrufe, 6 Kommentare

Hallo,

ich kämpfe hier seit Tagen mit einem (vielleicht auch Verständnis-)Problem:

Auf einem Windows Server 2008 R2 soll eine Zertifizierungsstelle laufen, die nicht AD-integriert sein muß.
Damit sollen für max 9 Maschinen Zertifikate ausgestellt werden, eine automatische Verteilung ist nicht notwendig.
Einige Maschinen sind Linux-Systeme, die ebenfalls ein Zertifikat erhalten sollen.

Ich habe die Rolle "AD-Zertifikatsdienste" und den Rollendienst "Zertifizierungsstelle" installiert. Typ: Eigenständig.
Diese CA hat auch ein Zertifikat, das sie selbstverständlich als gültig erachtet.

Wenn ich nun ein neues Zertifikat für die Linux-Appliance erstellen will und keine Zertifikatsvorlagen benutze, entsteht ein Zertifikat, bei dem Antragsteller und Aussteller gleich lauten (nämlich auf das Linux-System).
Windows vertraut diesem standardmäßig natürlich nicht, weil der Zertifizierungspfad nicht überprüft werden kann.

W2K8 schlägt vor, dieses Zertifikat in den Speicher "Stammzertifizierungsstellen" zu verschieben - dann wird diesem wohl auch vertraut.
Aber das ist sicher nicht Sinn der Sache.

Viel sinnvoller erscheint mir der Weg, das für Linux ausgestellte Zertifikat in den Speicher "Vertrauenswürdige Geräte" zu verschieben. Der Aussteller sollte logischerweise auf die Windows-CA lauten.

Frage:
- Hab ich die grundsätzliche Vorgehensweise richtig verstanden?
- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?

Viele Grüße,
Andreas
Mitglied: Dobby
20.08.2013 um 01:59 Uhr
Hallo,

auf Linux basierend TinyCA2
auf Windows basierend xCA

- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?
Du selbst bist dann die CA und zwar Deine eigene, also für den internen Gebrauch bei einem Zugangssystem wie einem
Radius Server oder zur zusätzlichen Absicherung von VPNs mag das ja noch funktionieren und dafür sind auch die beiden
Programme die ich Dir weiter oben verlinkt habe.

Kommt eben immer darauf an was man denn nun damit machen möchte.
Niemand installiert einfach so ein Zertifikat und ist auch nicht eben mal so eigene CA (certification authority)

Gruß
Dobby
Bitte warten ..
Mitglied: Andy456
20.08.2013 um 21:06 Uhr
Hallo Dobby,

vielen Dank für die Links.

xCA werd ich mir mal genauer anschauen.

Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?

Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...

Gruß,
Andreas
Bitte warten ..
Mitglied: Dobby
20.08.2013 um 21:46 Uhr
Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!

Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".

Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?

Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.

Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.

Gruß
Dobby
Bitte warten ..
Mitglied: Andy456
20.08.2013 um 22:06 Uhr
Hallo Dobby,

es geht nur um eine interne Zone. Mit den Zertifikaten wird nicht mit/übers Internet kommuniziert

Zitat von Dobby:
> Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2
installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!

> Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".
Zertifikat auf einem Windows 2008 R2 erstellt mittels AD-integrierter "Unternehmens-Zertifizierungsstelle" und unter Benutzung von Zertifikatsvorlagen.
Das Zertifikat dann auf einem Linux-System eingespielt - es wurde auch akzeptiert.

> Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?
Zertifikate auszustellen, bei der der Windows 2008-Server (die Root-CA) auch als Aussteller eingetragen ist. Allerdings möchte ich das Ganze ohne die AD-Integration auf dem Windows 2008 R2-Server versuchen. Da liegt die Krux: Wenn ich keine Zertifikatsvorlagen benutze, wird beim (auf dem Windows 2008 R2-Srv) erstellten Zertifikat der Antragsteller (Linux) auch als Aussteller (Linux) eingetragen. Dem Zertifikat wird automatisch nicht vertraut, solange es nicht im Speicher für Stammzertifizierungsstellen eingetragen ist.
Trag ich es aber dort ein, könnte auf dem Linux-System (wenn es die Funktion unterstützen würde) ebenfalls Zertifikate ausgestellt werden, es wäre quasi dann für den Windows 2008 R2 eine CA - das will ich nicht.

Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.

Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.

Um es kurz zu machen:
Der Windows 2008R2 soll (als RootCA) für einen Gegenpart ein Zertifikat erstellen und diesem auch vertrauen, ohne daß das AD davon behelligt wird.

Gruß,
Andreas
Bitte warten ..
Mitglied: Dobby
21.08.2013, aktualisiert um 13:18 Uhr
Hallo,

danke erst mal für die Erläuterung, dass sollte doch dann aber mit dem Windows Tool xCA gut funktionieren.

Gruß
Dobby

P.S.
Notfalls nach dem integrieren des Zertifikates, das Zertifikat noch einmal anklicken und
auf Eigenschaften gehen und dann das Zertifikat als vertrauenswürdig kennzeichnen
und dann sollte das ganze doch funktionieren.
Bitte warten ..
Mitglied: Andy456
21.08.2013 um 13:39 Uhr
Hallo Dobby,

besten Dank für Deine Hilfe.
Mit xCA hab ich das relativ problemlos und sozusagen fast auf Anhieb zum Laufen bekommen.
Genau das, was ich gesucht hab.

Vielen Dank!

Gruß,
Andreas
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Server Zertifikat für PfSense mit ADCS erstellen (6)

Frage von theoberlin zum Thema Verschlüsselung & Zertifikate ...

Speicherkarten
USB-Stick laut Windows und Linux belegt, aber kein Inhalt zu sehen (5)

Frage von Pago159 zum Thema Speicherkarten ...

Windows 10
Windows 10 MUI System Upgrade von v1511 nach v1607 via WSUS (2)

Frage von andi2022 zum Thema Windows 10 ...

Netzwerke
gelöst Verknüpfung im heterogenen Windows-Mac-Linux Netz (1)

Frage von PharIT zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...