9
Zertifikatsstruktur in kleinem Unternehmen
Hallo zusammen,
folgende Ausgangslage liegt vor:
- kleines Unternehmen (ca. 10 Mitarbeiter/Benutzer)
- SBS 2011 mit den bekannten Komponenten
- lokale TLD abcdomain.local
- pfsense Firewall mit direkter PPOE Einwahl, VPN Server und Squid3 Package (Reverse Proxy für OWA und ActiveSync)
- 1x feste IP mit DNS Eintrag remote.xyz.de
- OWA und ActiveSync sind über remote.xyz.de/owa etc. aus dem www erreichbar.
zusätzlich soll folgendes eingerichtet werden:
- 1x Debian/Ubuntu Server/VM für owncloud in einer DMZ, erreichbar unter remote.xyz.de/owncloud oder alternativ unter owncloud.xyz.de (den Sharepoint des SBS möchte ich vorerst nicht nutzen)
- 1x MDM Ubuntu Server/VM für bis zu 10 Smartphones, erreichbar unter remote.xyz.de/mdm oder alternativ unter eigener Subdomain mdm.xyz.de
Durch die Einführung der owncloud und vor allem der MDM Lösung bin ich gezwungen mich mit Zertifikaten sowie der Zertifikatsstruktur in meinem Netzwerk näher auseinanderzusetzen. Zum einen sollen die Benutzer nicht ständig mit Zertifikatswarnungen konfrontiert werden sobald sie OWA, die Smartphones, etc. nutzen und zum anderen möchte ich mein Wissen in diesem Bereich erweitern.
- Als einfachste Lösung sehe ich bisher den Kauf eines Zertifikats für die Domain remote.xyz.de mit "Domain Verified" oder alternativ "Organization Verified" welches ich sowohl in der pfsense (Reverse Proxy) als auch im SBS2011 (für den OWA bzw. ActiveSync Zugriff der Smartphones aus dem LAN) importiere.
- Als Alternative würde ich auch selbst signierte Zertifikate verwenden (Interesse und Lerneffekt). Dass dabei ein einmaliger Import der Stammzertifikate bzw. Verteilung auf die Endgeräte notwendig ist, ist mir klar.
So nun zu meinen Fragen:
- Welche Herangehensweise empfehlt ihr für die Integration der beiden zusätzlichen Server bzw. der Gesamtstruktur bezüglich des Aspekts Zertifikate/Zertifikatsstruktur?
-- Eigene Subdomain pro Dienst/Server?
-- Zertifikate kaufen oder selbst ausgeben?
- Falls selbstsignierte Zertifikate: Wie baue ich eine konsistente Zertifikatskette mit selbst signierten Zertifikaten innerhalb der beschriebenen Netzwerkstruktur auf (SBS, pfsense, etc.)?
Danke schon einmal im Voraus für alle Tipps und Anregungen.
Fehlende Informationen liefere ich natürlich gerne nach.
Grüße
timmer
folgende Ausgangslage liegt vor:
- kleines Unternehmen (ca. 10 Mitarbeiter/Benutzer)
- SBS 2011 mit den bekannten Komponenten
- lokale TLD abcdomain.local
- pfsense Firewall mit direkter PPOE Einwahl, VPN Server und Squid3 Package (Reverse Proxy für OWA und ActiveSync)
- 1x feste IP mit DNS Eintrag remote.xyz.de
- OWA und ActiveSync sind über remote.xyz.de/owa etc. aus dem www erreichbar.
zusätzlich soll folgendes eingerichtet werden:
- 1x Debian/Ubuntu Server/VM für owncloud in einer DMZ, erreichbar unter remote.xyz.de/owncloud oder alternativ unter owncloud.xyz.de (den Sharepoint des SBS möchte ich vorerst nicht nutzen)
- 1x MDM Ubuntu Server/VM für bis zu 10 Smartphones, erreichbar unter remote.xyz.de/mdm oder alternativ unter eigener Subdomain mdm.xyz.de
Durch die Einführung der owncloud und vor allem der MDM Lösung bin ich gezwungen mich mit Zertifikaten sowie der Zertifikatsstruktur in meinem Netzwerk näher auseinanderzusetzen. Zum einen sollen die Benutzer nicht ständig mit Zertifikatswarnungen konfrontiert werden sobald sie OWA, die Smartphones, etc. nutzen und zum anderen möchte ich mein Wissen in diesem Bereich erweitern.
- Als einfachste Lösung sehe ich bisher den Kauf eines Zertifikats für die Domain remote.xyz.de mit "Domain Verified" oder alternativ "Organization Verified" welches ich sowohl in der pfsense (Reverse Proxy) als auch im SBS2011 (für den OWA bzw. ActiveSync Zugriff der Smartphones aus dem LAN) importiere.
- Als Alternative würde ich auch selbst signierte Zertifikate verwenden (Interesse und Lerneffekt). Dass dabei ein einmaliger Import der Stammzertifikate bzw. Verteilung auf die Endgeräte notwendig ist, ist mir klar.
So nun zu meinen Fragen:
- Welche Herangehensweise empfehlt ihr für die Integration der beiden zusätzlichen Server bzw. der Gesamtstruktur bezüglich des Aspekts Zertifikate/Zertifikatsstruktur?
-- Eigene Subdomain pro Dienst/Server?
-- Zertifikate kaufen oder selbst ausgeben?
- Falls selbstsignierte Zertifikate: Wie baue ich eine konsistente Zertifikatskette mit selbst signierten Zertifikaten innerhalb der beschriebenen Netzwerkstruktur auf (SBS, pfsense, etc.)?
Danke schon einmal im Voraus für alle Tipps und Anregungen.
Fehlende Informationen liefere ich natürlich gerne nach.
Grüße
timmer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279906
Url: https://administrator.de/contentid/279906
Printed on: April 25, 2024 at 19:04 o'clock
9 Comments
Latest comment
Moin,
was hast Du lokal für eine TLD?
LG, Thomas
was hast Du lokal für eine TLD?
LG, Thomas
Hallo Thomas,
stimmt das habe ich vergessen anzugeben. Lokal hatte ich beim Einrichten (leider noch) das Schema "abcdomain.local" verwendet.
Grüße
stimmt das habe ich vergessen anzugeben. Lokal hatte ich beim Einrichten (leider noch) das Schema "abcdomain.local" verwendet.
Grüße
Hi
der einfachste Weg, vor allem für deine lokale Umgebung, eine eigene Zertifizierungsstelle einzurichten, der SBS sollte das eigentlich können, dann musst nur noch das Root Cert an deine Clients verteilen. Die Dienste & Server beantragen dann ein Zertifikat bei deiner CA und die bindest dann ein auf deiner pFense usw. - da die Clients das Root Cert haben wird das auch keine Meldungen bei den Clients geben.
Ist einmal ein wenig Aufwand erspart aber einiges an "Frustarbeit" mit den Usern wegen "der IE meldet das ist nicht sicher" usw.
CA einrichten:
https://technet.microsoft.com/de-de/library/Cc731183.aspx
Cert Verteilung im AD:
http://www.msxfaq.de/signcrypt/usercert.htm
http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/
(du kannst über die GPO auch die Zertifikate deiner einzelnen Server verteilen, der Aufwand ist auf jeden Fall geringer
)
Gruß
@clSchak
der einfachste Weg, vor allem für deine lokale Umgebung, eine eigene Zertifizierungsstelle einzurichten, der SBS sollte das eigentlich können, dann musst nur noch das Root Cert an deine Clients verteilen. Die Dienste & Server beantragen dann ein Zertifikat bei deiner CA und die bindest dann ein auf deiner pFense usw. - da die Clients das Root Cert haben wird das auch keine Meldungen bei den Clients geben.
Ist einmal ein wenig Aufwand erspart aber einiges an "Frustarbeit" mit den Usern wegen "der IE meldet das ist nicht sicher" usw.
CA einrichten:
https://technet.microsoft.com/de-de/library/Cc731183.aspx
Cert Verteilung im AD:
http://www.msxfaq.de/signcrypt/usercert.htm
http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/
(du kannst über die GPO auch die Zertifikate deiner einzelnen Server verteilen, der Aufwand ist auf jeden Fall geringer
)Gruß
@clSchak
Hi clSchak,
danke dir für die Tipps und Links. Dann werde ich es mal mit der eigenen CA probieren.
Grüße
danke dir für die Tipps und Links. Dann werde ich es mal mit der eigenen CA probieren.
Grüße
Hallo zusammen,
nimm auch gleich den SharePoint mit hinzu und dann hast Du auch für den
das mit dem Zertifikat gleich erledigt.
Gruß
Dobby
(den Sharepoint des SBS möchte ich vorerst nicht nutzen)
Überlege Dir das gut, denn wenn Du es schon so machst @clSchak, dannnimm auch gleich den SharePoint mit hinzu und dann hast Du auch für den
das mit dem Zertifikat gleich erledigt.
Gruß
Dobby
Hallo Dobby,
das stimmt, dass damit die Arbeit hinsichtlich Zertifikaten natürlich geringer ist.
Die Intention eine owncloud Instanz anstatt des Sharepoints für den externen Dateiaustausch zu verwenden basiert auf der Überlegung, dass ich diese in eine DMZ setzen kann. Werde es mir aber nochmal durch den Kopf gehen lassen.
an alle:
Wie sollte ich es eurer Meinung nach mit den Domains handhaben? Eine Subdomain pro Server/Dienst und dann mehrere Zertifikate oder auch ein Wildcard Zertifikat bei meiner internen CA ausstellen, oder eine einzelne Subdomain für alle Server/Dienste (remote.xyz.de/<dienst>) und der Reverse Proxy auf der pfsense verteilt dann die Anfragen auf die einzelnen Server? Eine Aussage nach dem Motto "So wird es in der Regel gemacht, weil ..." wäre mir ganz lieb. Details kann ich mir dann noch anlesen.
Danke und Grüße
das stimmt, dass damit die Arbeit hinsichtlich Zertifikaten natürlich geringer ist.
Die Intention eine owncloud Instanz anstatt des Sharepoints für den externen Dateiaustausch zu verwenden basiert auf der Überlegung, dass ich diese in eine DMZ setzen kann. Werde es mir aber nochmal durch den Kopf gehen lassen.
an alle:
Wie sollte ich es eurer Meinung nach mit den Domains handhaben? Eine Subdomain pro Server/Dienst und dann mehrere Zertifikate oder auch ein Wildcard Zertifikat bei meiner internen CA ausstellen, oder eine einzelne Subdomain für alle Server/Dienste (remote.xyz.de/<dienst>) und der Reverse Proxy auf der pfsense verteilt dann die Anfragen auf die einzelnen Server? Eine Aussage nach dem Motto "So wird es in der Regel gemacht, weil ..." wäre mir ganz lieb. Details kann ich mir dann noch anlesen.
Danke und Grüße
verwenden basiert auf der Überlegung, dass ich diese in eine DMZ setzen kann.
Ne klar das habe ich dann falsch verstanden dann nimm mal lieber die OwnCloud!!!Gruß
Dobby
Hi
Child-Domains pro Dienst? ôÔ wie viel Arbeit willst du dir denn machen - mehr Aufwand kann man wohl nicht betreiben
. Du hast eine feste IP Adresse und die Kontrolle über deine xyz.de Domain, setze dort einfach entsprechende DNS Einträge und bei dir einen Reverseproxy der die interne Serverzuweisung macht.
Child-Domains pro Dienst? ôÔ wie viel Arbeit willst du dir denn machen - mehr Aufwand kann man wohl nicht betreiben
. Du hast eine feste IP Adresse und die Kontrolle über deine xyz.de Domain, setze dort einfach entsprechende DNS Einträge und bei dir einen Reverseproxy der die interne Serverzuweisung macht.
Etwas spät, aber besser als nie:
Vielen Dank für eure Unterstützung!
Vielen Dank für eure Unterstützung!
