otto1699
Goto Top

Active Directory-Zertifikatdienste notwendig bei Erstellung von kostenlosem SAN-Zertifikat

Hallo,

ich möchte einen Windows Server 2008 R2 mit installieren Zertifikatdienst ablösen, dieser verwaltet nur ein Zertifikat für einen Exchange 2010.

Da ich nun kostenlose SAN-Zertifikate einsetzen will, stellt sich die Frage, ob ich den Active Directory-Zertifikatdienst überhaupt weiter brauche.

Folgende Server laufen noch im Netzwerk: Remote Desktop und MS SQL


Was sagt Ihr?

Gruß Otto

Content-Key: 311224

Url: https://administrator.de/contentid/311224

Printed on: June 15, 2024 at 13:06 o'clock

Member: SeaStorm
SeaStorm Jul 29, 2016 at 14:11:41 (UTC)
Goto Top
das kommt ganz drauf an was du sonst noch so alles machen willst.
Zwingend benötigen: Nein

Nur, warum wegwerfen, wenn es schon eingerichtet ist?
Member: clSchak
clSchak Aug 01, 2016 at 15:13:25 (UTC)
Goto Top
Hi

nein bestehen lassen. So einfach eine CA "wegzuhauen" ist eher die schlechte Idee, auf jeden Fall musst du vorher prüfen ob die CA nicht noch ausgestellt Zertifikate hat die ggf. von einem Client verifiziert werden (müssen).

Dann gibt es es noch einige Punkte die für eine eigene CA sprechen:
  • man muss im AD lediglich das Zertifikat der CA ausrollen damit alle ausgestellten Zertifikate vom Client als gültig erkannt werden
  • Zentrales Management von Zertifikaten (egal ob für Verschlüsselung, WPA Enterprise usw.)
  • Interne Webserver können aufgrund des zu erst genannten Punkte einfacher mit HTTPS ausgestattet werden ohne das man hier alle Zertifikate verteilen muss
  • Alle internen HTTPS Verbindung die über die CA das Zertifikat erhalten haben sind für den Client sicher (grüner Balken) (auch RDP)
  • Man kann die gesamte PKI Infrastruktur bequem übers AD managen

Wir setzten überall Zertifikate unserer CA ein wo es möglich ist, alleine damit die Warnmeldung intern nicht auftauchen, jeglicher HTTP Traffic ist bei uns via SSL Verschlüsselt, auch die Verschlüsselung einzelner Fileserver wird über Zertifikate gesteuert wenn kein BitLocker möglich ist - alleine aus dem Grund ist es bedeutend einfacher mit einer CA zu arbeiten, die braucht fast nix an Leistung, wenn die einmal eingerichtet ist muss man da auch nicht mehr viel Handarbeit anlegen.

Ich würde immer eine CA verwenden wenn man nur ansatzweise mit SSL Verschlüsselung oder ähnlichem arbeiten möchte.

Just my 2 Cent
@clSchak

PS: die Zertifkate kannst auch auf Linuxkisten importieren usw.
Member: Otto1699
Otto1699 Aug 03, 2016 at 08:11:50 (UTC)
Goto Top
ok, danke.

Werde den CA behalten und migrieren