Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zweistufige Architektur der PKI (Step by Step)

Anleitung Microsoft Windows Server

Mitglied: ollembyssan

ollembyssan (Level 2) - Jetzt verbinden

30.04.2009, aktualisiert 01.05.2009, 16554 Aufrufe, 2 Kommentare

Dieses HOWTO beschreibt die Installation einer "Zweistufigen Architektur" der "PKI" (Public Key Infrastructur)

- Es wird eine "Standalone Zertifzierungsstelle" installiert, die nur Zertifikate für "untergeordnete Zertifzierungsstellen" installiert.
- Es wird eine "Untergeordnete Zertifzierungsstelle" installiert, die dann Zertifikate an Benutzer, Computer etc. vergibt.

In mittleren Organisationen sollte man mindestenes eine "zweistufige Architektur" zur Zertifikatsverwaltung installieren,
wegen der enormen Schutzbedürftigkeit des privaten Schlüssels der Stammzertifizierungsstelle!

  • In einer solchen Organisation existieren eine Stammzertifzierungsstelle (ROOT CA) und eine oder mehrere untergeordnete Zertifzierungsstellen (ISSUING CA).
  • Die Ausstellung der Zertifikate erfolgt dann ausschließlich von den "untergeordneten Zertifzierungsstellen.

ROOT CA
  • Die ROOT CA ist kein Domänenmitglied, deswegen wird diese eine Standalone Zertifzierungsstelle, die nicht in das AD integriert ist.
  • Normalerweise verfügt dieser Server auch nicht über einen Netzwerkanschluss und ist physikalisch geschützt.
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifzierungsstellen aus, die dann z.B. über Diskette transportiert werden
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist sehr lange z.B. 10 Jahre

ISSUING CA
  • Die ISSUING CA stellt Zertifikate an Benutzer, Computer etc. aus
  • Dieser Server ist z.B. ein Domänencontroller
  • Sie ist eine "untergeordnete Stammzertifzierungsstelle" welche ins AD integriert ist
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist nicht so lange z.b. 5 Jahre

  1. Installation der Standalone Zertizierungsstelle (ROOT CA)

8fe5c40d94c3d8d6c2b22342a5abaa3d-1 - Klicke auf das Bild, um es zu vergrößern

48624e40b65ea3688231fd0749a323cf-2 - Klicke auf das Bild, um es zu vergrößern

4941c714f416de40f2ed2e064acb3fe9-3 - Klicke auf das Bild, um es zu vergrößern

Erstellen der Zertifikatsanforderung

2ec7703eb3c90dc409b33dacd7305cfd-4 - Klicke auf das Bild, um es zu vergrößern

7b4344e5508bc0045fd3ed1a9ae38aae-5 - Klicke auf das Bild, um es zu vergrößern

78a05a1bbdbdd1806b53d12b893383c7-6 - Klicke auf das Bild, um es zu vergrößern

09d929a16c448b1b3f5881d25abb6697-7 - Klicke auf das Bild, um es zu vergrößern

426cbb00a5125619fdc0982c135ff1c8-8 - Klicke auf das Bild, um es zu vergrößern

35fd368a74bea14d8eb2091f4e15b3a5-9 - Klicke auf das Bild, um es zu vergrößern

a2269ff5344b7cb6c96eb93408239b6f-10 - Klicke auf das Bild, um es zu vergrößern

9b65e6a0a9a31d5429a432846ecd41c0-11 - Klicke auf das Bild, um es zu vergrößern

99a892033bf7283561af171240c56aaa-12 - Klicke auf das Bild, um es zu vergrößern

b5876c12268bf93e7f749bb78e908a62-13 - Klicke auf das Bild, um es zu vergrößern

69a72745425168e7eb13864749a1085b-14 - Klicke auf das Bild, um es zu vergrößern

  • (Hier wird die codierte Anforderung der vorhin gespeicherten "certreq.txt" Datei importiert)

331c9e85ecc8b58058e29299149f7045-15 - Klicke auf das Bild, um es zu vergrößern

35aaa9c543351292849a3e3cf4a964ff-16 - Klicke auf das Bild, um es zu vergrößern

Austellen vom angeforderten Zertifikats

707e6d3d0be60ab234d6870a825430db-17 - Klicke auf das Bild, um es zu vergrößern

d41b162bec18000cb1ed9c06c907e267-18 - Klicke auf das Bild, um es zu vergrößern

a728cc30ff92b75acfdc1a5f17aab5c9-19 - Klicke auf das Bild, um es zu vergrößern

Installation des ausgestellten Zertifikats

6ee46a3d5ff9129a68a6e34ae99d2db0-20 - Klicke auf das Bild, um es zu vergrößern

33ec3f61a618dea1f641a9dd31f917c6-21 - Klicke auf das Bild, um es zu vergrößern

567f3f91375c96501bdd86e987bd6d39-22 - Klicke auf das Bild, um es zu vergrößern

1fb6318db2cbdc1477d7e5cc10a94e17-23 - Klicke auf das Bild, um es zu vergrößern


2. Installation der untergeordneten Zertifizierungsstelle (ISSUING-CA)

  • (Diese ISSUING-CA ist im AD integriert und kann Benutzern, Computern etc. Zertifikate ausstellen)

94fc61962fa213b144a0fe3937481703-1 - Klicke auf das Bild, um es zu vergrößern

c0f16ff9ecdd711f56c85d0ef017a7f8-2 - Klicke auf das Bild, um es zu vergrößern

  • Die Anforderung ist natürlich an die übergeordnete Zertifizierungsstelle gerichtet (ROOT CA)

0e92f53378a022d4bf079a4973080cc6-3 - Klicke auf das Bild, um es zu vergrößern


3. Ausstehende Anforderungen der ROOT CA

  • (Hier sieht man nun die Anforderung eines Zertifikats, das gerade von der "ISSUING-CA" angefordert worden ist)

af195fe82235ad929ab9260b6177ccff-4 - Klicke auf das Bild, um es zu vergrößern

df1c9b87fb9b168715df77a75bcbba75-5 - Klicke auf das Bild, um es zu vergrößern

fa614bc4d3f95b111ff937eda6a6abe1-6 - Klicke auf das Bild, um es zu vergrößern

b71cd299fcb1b5b1ec471fb8cb66280f-7 - Klicke auf das Bild, um es zu vergrößern


4. ISSUING-CA Konfiguration und Bereitstellung

ce4aeccc8771735cc2fd4f8a93ebe741-1 - Klicke auf das Bild, um es zu vergrößern

24d7a1504fdccb484ec4ed3f1548608b-2 - Klicke auf das Bild, um es zu vergrößern

a4f04e50d7ef75d3df95cbba2ec38465-3 - Klicke auf das Bild, um es zu vergrößern

1ca97deaa1c67ad1a647c3a56f3cb174-4 - Klicke auf das Bild, um es zu vergrößern

0fef7b36cea56c7812294bb1f63a8c85-5 - Klicke auf das Bild, um es zu vergrößern

40ada9de546ccb1267d3a9354368cb91-6 - Klicke auf das Bild, um es zu vergrößern

403986cd2e6de58a230f0b667c10ad93-7 - Klicke auf das Bild, um es zu vergrößern

7528af2149a94a90f3ec9471c9276d24-8 - Klicke auf das Bild, um es zu vergrößern

1b34d6ed3d0e45f81d0a6e43c6fa8b0f-9 - Klicke auf das Bild, um es zu vergrößern

50b70d4745edd322b74cd89171be142d-10 - Klicke auf das Bild, um es zu vergrößern
Mitglied: PapaMo
26.05.2009 um 16:36 Uhr
Zum Nachvollziehn bleiben zu viele Fragen offen z.B. wenn die Root CA nicht im Netz ist, wie kann dann die Anfrage über das Netzwerk erfolgen? oder Wenn die Root CA nicht in der Domäne liegt, wieso hat Sie dann den gleichen FQN?
Bitte warten ..
Mitglied: ollembyssan
27.05.2009 um 08:19 Uhr
1. Die ROOT CA hat nicht den gleichen FQN!
2. Die ISSUING CA (Enterprise Zertifzierungsstelle) stellt Cert. zur Verfügung!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Verschlüsselung & Zertifikate
gelöst Revocation Server innerhalb der PKI wird als offline angezeigt (1)

Frage von Snipes zum Thema Verschlüsselung & Zertifikate ...

Netzwerkmanagement
SMT by palle Server Management Monitoring Tool (6)

Link von palle1977 zum Thema Netzwerkmanagement ...

CPU, RAM, Mainboards
UP Squared - The First Maker Board with Intel Apollo Lake by UP (1)

Link von Lochkartenstanzer zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...