Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anleitung Microsoft Windows Server

Zweistufige Architektur der PKI (Step by Step)

Mitglied: ollembyssan

ollembyssan (Level 2) - Jetzt verbinden

30.04.2009, aktualisiert 01.05.2009, 17661 Aufrufe, 2 Kommentare

Dieses HOWTO beschreibt die Installation einer "Zweistufigen Architektur" der "PKI" (Public Key Infrastructur)

- Es wird eine "Standalone Zertifzierungsstelle" installiert, die nur Zertifikate für "untergeordnete Zertifzierungsstellen" installiert.
- Es wird eine "Untergeordnete Zertifzierungsstelle" installiert, die dann Zertifikate an Benutzer, Computer etc. vergibt.

In mittleren Organisationen sollte man mindestenes eine "zweistufige Architektur" zur Zertifikatsverwaltung installieren,
wegen der enormen Schutzbedürftigkeit des privaten Schlüssels der Stammzertifizierungsstelle!

  • In einer solchen Organisation existieren eine Stammzertifzierungsstelle (ROOT CA) und eine oder mehrere untergeordnete Zertifzierungsstellen (ISSUING CA).
  • Die Ausstellung der Zertifikate erfolgt dann ausschließlich von den "untergeordneten Zertifzierungsstellen.

ROOT CA
  • Die ROOT CA ist kein Domänenmitglied, deswegen wird diese eine Standalone Zertifzierungsstelle, die nicht in das AD integriert ist.
  • Normalerweise verfügt dieser Server auch nicht über einen Netzwerkanschluss und ist physikalisch geschützt.
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifzierungsstellen aus, die dann z.B. über Diskette transportiert werden
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist sehr lange z.B. 10 Jahre

ISSUING CA
  • Die ISSUING CA stellt Zertifikate an Benutzer, Computer etc. aus
  • Dieser Server ist z.B. ein Domänencontroller
  • Sie ist eine "untergeordnete Stammzertifzierungsstelle" welche ins AD integriert ist
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist nicht so lange z.b. 5 Jahre

  1. Installation der Standalone Zertizierungsstelle (ROOT CA)

8fe5c40d94c3d8d6c2b22342a5abaa3d-1 - Klicke auf das Bild, um es zu vergrößern

48624e40b65ea3688231fd0749a323cf-2 - Klicke auf das Bild, um es zu vergrößern

4941c714f416de40f2ed2e064acb3fe9-3 - Klicke auf das Bild, um es zu vergrößern

Erstellen der Zertifikatsanforderung

2ec7703eb3c90dc409b33dacd7305cfd-4 - Klicke auf das Bild, um es zu vergrößern

7b4344e5508bc0045fd3ed1a9ae38aae-5 - Klicke auf das Bild, um es zu vergrößern

78a05a1bbdbdd1806b53d12b893383c7-6 - Klicke auf das Bild, um es zu vergrößern

09d929a16c448b1b3f5881d25abb6697-7 - Klicke auf das Bild, um es zu vergrößern

426cbb00a5125619fdc0982c135ff1c8-8 - Klicke auf das Bild, um es zu vergrößern

35fd368a74bea14d8eb2091f4e15b3a5-9 - Klicke auf das Bild, um es zu vergrößern

a2269ff5344b7cb6c96eb93408239b6f-10 - Klicke auf das Bild, um es zu vergrößern

9b65e6a0a9a31d5429a432846ecd41c0-11 - Klicke auf das Bild, um es zu vergrößern

99a892033bf7283561af171240c56aaa-12 - Klicke auf das Bild, um es zu vergrößern

b5876c12268bf93e7f749bb78e908a62-13 - Klicke auf das Bild, um es zu vergrößern

69a72745425168e7eb13864749a1085b-14 - Klicke auf das Bild, um es zu vergrößern

  • (Hier wird die codierte Anforderung der vorhin gespeicherten "certreq.txt" Datei importiert)

331c9e85ecc8b58058e29299149f7045-15 - Klicke auf das Bild, um es zu vergrößern

35aaa9c543351292849a3e3cf4a964ff-16 - Klicke auf das Bild, um es zu vergrößern

Austellen vom angeforderten Zertifikats

707e6d3d0be60ab234d6870a825430db-17 - Klicke auf das Bild, um es zu vergrößern

d41b162bec18000cb1ed9c06c907e267-18 - Klicke auf das Bild, um es zu vergrößern

a728cc30ff92b75acfdc1a5f17aab5c9-19 - Klicke auf das Bild, um es zu vergrößern

Installation des ausgestellten Zertifikats

6ee46a3d5ff9129a68a6e34ae99d2db0-20 - Klicke auf das Bild, um es zu vergrößern

33ec3f61a618dea1f641a9dd31f917c6-21 - Klicke auf das Bild, um es zu vergrößern

567f3f91375c96501bdd86e987bd6d39-22 - Klicke auf das Bild, um es zu vergrößern

1fb6318db2cbdc1477d7e5cc10a94e17-23 - Klicke auf das Bild, um es zu vergrößern


2. Installation der untergeordneten Zertifizierungsstelle (ISSUING-CA)

  • (Diese ISSUING-CA ist im AD integriert und kann Benutzern, Computern etc. Zertifikate ausstellen)

94fc61962fa213b144a0fe3937481703-1 - Klicke auf das Bild, um es zu vergrößern

c0f16ff9ecdd711f56c85d0ef017a7f8-2 - Klicke auf das Bild, um es zu vergrößern

  • Die Anforderung ist natürlich an die übergeordnete Zertifizierungsstelle gerichtet (ROOT CA)

0e92f53378a022d4bf079a4973080cc6-3 - Klicke auf das Bild, um es zu vergrößern


3. Ausstehende Anforderungen der ROOT CA

  • (Hier sieht man nun die Anforderung eines Zertifikats, das gerade von der "ISSUING-CA" angefordert worden ist)

af195fe82235ad929ab9260b6177ccff-4 - Klicke auf das Bild, um es zu vergrößern

df1c9b87fb9b168715df77a75bcbba75-5 - Klicke auf das Bild, um es zu vergrößern

fa614bc4d3f95b111ff937eda6a6abe1-6 - Klicke auf das Bild, um es zu vergrößern

b71cd299fcb1b5b1ec471fb8cb66280f-7 - Klicke auf das Bild, um es zu vergrößern


4. ISSUING-CA Konfiguration und Bereitstellung

ce4aeccc8771735cc2fd4f8a93ebe741-1 - Klicke auf das Bild, um es zu vergrößern

24d7a1504fdccb484ec4ed3f1548608b-2 - Klicke auf das Bild, um es zu vergrößern

a4f04e50d7ef75d3df95cbba2ec38465-3 - Klicke auf das Bild, um es zu vergrößern

1ca97deaa1c67ad1a647c3a56f3cb174-4 - Klicke auf das Bild, um es zu vergrößern

0fef7b36cea56c7812294bb1f63a8c85-5 - Klicke auf das Bild, um es zu vergrößern

40ada9de546ccb1267d3a9354368cb91-6 - Klicke auf das Bild, um es zu vergrößern

403986cd2e6de58a230f0b667c10ad93-7 - Klicke auf das Bild, um es zu vergrößern

7528af2149a94a90f3ec9471c9276d24-8 - Klicke auf das Bild, um es zu vergrößern

1b34d6ed3d0e45f81d0a6e43c6fa8b0f-9 - Klicke auf das Bild, um es zu vergrößern

50b70d4745edd322b74cd89171be142d-10 - Klicke auf das Bild, um es zu vergrößern
Mitglied: PapaMo
26.05.2009 um 16:36 Uhr
Zum Nachvollziehn bleiben zu viele Fragen offen z.B. wenn die Root CA nicht im Netz ist, wie kann dann die Anfrage über das Netzwerk erfolgen? oder Wenn die Root CA nicht in der Domäne liegt, wieso hat Sie dann den gleichen FQN?
Bitte warten ..
Mitglied: ollembyssan
27.05.2009 um 08:19 Uhr
1. Die ROOT CA hat nicht den gleichen FQN!
2. Die ISSUING CA (Enterprise Zertifzierungsstelle) stellt Cert. zur Verfügung!
Bitte warten ..
Ähnliche Inhalte
Windows Tools
Microsoft APP-V 5.1 Installation und Konfiguration Step by Step
Erfahrungsbericht von MvinogradacWindows Tools3 Kommentare

Hallo Zusammen, ich habe in 4 Teilen erklärt, wie man die komplette APP-V Infrastruktur installiert und konfiguriert. Diese wollte ...

Verschlüsselung & Zertifikate
MS PKI Zertifikattemplate Error 0x80094800
Tipp von SnipesVerschlüsselung & Zertifikate2 Kommentare

Hallo liebe Admin-Gemeinde, dieser Tipp ist für alle, die wie ich einmal wieder auf dem Schlauch stehen! Als ich ...

Digitiales Fernsehen
Tschüss Sky, Good By Receiver und Hallo Netflix und Prime - Meine ersten Streaming Erfahrungen
Erfahrungsbericht von FrankDigitiales Fernsehen40 Kommentare

Golem.de hat einen schönen Beitrag zum Thema Ein Jahr Netflix in Deutschland: Der lange Weg zur Revolution geschrieben. Hier ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 5 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 12 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 17 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...