Active Directory-Zertifikatdienste notwendig bei Erstellung von kostenlosem SAN-Zertifikat
Hallo,
ich möchte einen Windows Server 2008 R2 mit installieren Zertifikatdienst ablösen, dieser verwaltet nur ein Zertifikat für einen Exchange 2010.
Da ich nun kostenlose SAN-Zertifikate einsetzen will, stellt sich die Frage, ob ich den Active Directory-Zertifikatdienst überhaupt weiter brauche.
Folgende Server laufen noch im Netzwerk: Remote Desktop und MS SQL
Was sagt Ihr?
Gruß Otto
ich möchte einen Windows Server 2008 R2 mit installieren Zertifikatdienst ablösen, dieser verwaltet nur ein Zertifikat für einen Exchange 2010.
Da ich nun kostenlose SAN-Zertifikate einsetzen will, stellt sich die Frage, ob ich den Active Directory-Zertifikatdienst überhaupt weiter brauche.
Folgende Server laufen noch im Netzwerk: Remote Desktop und MS SQL
Was sagt Ihr?
Gruß Otto
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 311224
Url: https://administrator.de/forum/active-directory-zertifikatdienste-notwendig-bei-erstellung-von-kostenlosem-san-zertifikat-311224.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
3 Kommentare
Neuester Kommentar
Hi
nein bestehen lassen. So einfach eine CA "wegzuhauen" ist eher die schlechte Idee, auf jeden Fall musst du vorher prüfen ob die CA nicht noch ausgestellt Zertifikate hat die ggf. von einem Client verifiziert werden (müssen).
Dann gibt es es noch einige Punkte die für eine eigene CA sprechen:
Wir setzten überall Zertifikate unserer CA ein wo es möglich ist, alleine damit die Warnmeldung intern nicht auftauchen, jeglicher HTTP Traffic ist bei uns via SSL Verschlüsselt, auch die Verschlüsselung einzelner Fileserver wird über Zertifikate gesteuert wenn kein BitLocker möglich ist - alleine aus dem Grund ist es bedeutend einfacher mit einer CA zu arbeiten, die braucht fast nix an Leistung, wenn die einmal eingerichtet ist muss man da auch nicht mehr viel Handarbeit anlegen.
Ich würde immer eine CA verwenden wenn man nur ansatzweise mit SSL Verschlüsselung oder ähnlichem arbeiten möchte.
Just my 2 Cent
@clSchak
PS: die Zertifkate kannst auch auf Linuxkisten importieren usw.
nein bestehen lassen. So einfach eine CA "wegzuhauen" ist eher die schlechte Idee, auf jeden Fall musst du vorher prüfen ob die CA nicht noch ausgestellt Zertifikate hat die ggf. von einem Client verifiziert werden (müssen).
Dann gibt es es noch einige Punkte die für eine eigene CA sprechen:
- man muss im AD lediglich das Zertifikat der CA ausrollen damit alle ausgestellten Zertifikate vom Client als gültig erkannt werden
- Zentrales Management von Zertifikaten (egal ob für Verschlüsselung, WPA Enterprise usw.)
- Interne Webserver können aufgrund des zu erst genannten Punkte einfacher mit HTTPS ausgestattet werden ohne das man hier alle Zertifikate verteilen muss
- Alle internen HTTPS Verbindung die über die CA das Zertifikat erhalten haben sind für den Client sicher (grüner Balken) (auch RDP)
- Man kann die gesamte PKI Infrastruktur bequem übers AD managen
Wir setzten überall Zertifikate unserer CA ein wo es möglich ist, alleine damit die Warnmeldung intern nicht auftauchen, jeglicher HTTP Traffic ist bei uns via SSL Verschlüsselt, auch die Verschlüsselung einzelner Fileserver wird über Zertifikate gesteuert wenn kein BitLocker möglich ist - alleine aus dem Grund ist es bedeutend einfacher mit einer CA zu arbeiten, die braucht fast nix an Leistung, wenn die einmal eingerichtet ist muss man da auch nicht mehr viel Handarbeit anlegen.
Ich würde immer eine CA verwenden wenn man nur ansatzweise mit SSL Verschlüsselung oder ähnlichem arbeiten möchte.
Just my 2 Cent
@clSchak
PS: die Zertifkate kannst auch auf Linuxkisten importieren usw.