cheef65
02.11.2022
view2819
view10
0
Goto Top

Erstellung einer Root CA zur Signierung von PDF-Dateien

gelöstFrageMicrosoftInternet DomänenVerschlüsselung, Zertifikate
Hallo zusammen.. Ich habe eine Frage bezüglich eines Projekts meinerseits. Gefragt ist eine Zertifizierungsstelle, welche Benutzerzertifikate ausstellen kann und gleichzeitig von außerhalb gesehen als vertrauenswürdig eingestuft wird.
Ziel ist es, dass Benutzer eigene Zertifikate ausgestellt bekommen, mit welche sie dann PDF-Dateien digital Signieren können und diese dann von externen Personen auch auf ihre Richtigkeit geprüft werden können.
CA ist bisher noch nicht vorhanden. Ich dachte mir für den Anfang, dass wir das mithilfe eines Wildcard Zertifikats (Bsp. das OrganizationSS Zertifikat von Global Sign) für die Domain umsetzen können, nur weiß ich nicht, ob mithilfe dieses dann auch legitime Benutzerzertifikate ausgestellt werden können..
Ungefähr in der Art wie es bei QES gelöst wird.

Jede Hilfe ist willkommen!
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 4484630517

Url: https://administrator.de/forum/erstellung-einer-root-ca-zur-signierung-von-pdf-dateien-4484630517.html

Ausgedruckt am: 13.03.2025 um 14:03 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
2423392070
2423392070 02.11.2022 um 13:29:33 Uhr
Goto Top
Im Betreff schreibst du von einer Root CA. Dann von einem User/Server Zertifikat für? Für eine Windows AD?
SlainteMhath
SlainteMhath 02.11.2022 um 13:31:02 Uhr
Goto Top
Moin,

kurze Version:
- nur CAs können Zertifikate ausstellen
- internen CAs wird ausserhalb deiner Org nicht vertraut
- Wildcard-Cert nutzt dabei nix.

lg,
Slainte
heart1
4400667902
4400667902 02.11.2022 aktualisiert um 14:35:14 Uhr
Goto Top
von außerhalb gesehen als vertrauenswürdig eingestuft wird.
Und genau deshalb schließt sich eine eigene CA von vornherein aus wenn du damit meinst das "fremde" beim Zugriff auf deine Dokumente keine Fehlermeldung erhalten sollen. Außer du willst eine eigene "offizielle" CA hochziehen mit all dem drum und dran. Da du aber so eine Frage stellst denke ich nicht das du das nötige Wissen, "Kleingeld" und örtlichen Gegebenheiten für die Absicherung der CA mitbringst.
Also bleibt dir nur dein Signatur Zertifikat von einer der öffentlichen CA zu beziehen (Kostenpflichtig), ob nun manuell oder per API Zugang für die Generierung bleibt dir überlassen.
cheef65
cheef65 03.11.2022 um 09:46:32 Uhr
Goto Top
Zitat von @4400667902:

von außerhalb gesehen als vertrauenswürdig eingestuft wird.
Und genau deshalb schließt sich eine eigene CA von vornherein aus wenn du damit meinst das "fremde" beim Zugriff auf deine Dokumente keine Fehlermeldung erhalten sollen. Außer du willst eine eigene "offizielle" CA hochziehen mit all dem drum und dran. Da du aber so eine Frage stellst denke ich nicht das du das nötige Wissen, "Kleingeld" und örtlichen Gegebenheiten für die Absicherung der CA mitbringst.
Also bleibt dir nur dein Signatur Zertifikat von einer der öffentlichen CA zu beziehen (Kostenpflichtig), ob nun manuell oder per API Zugang für die Generierung bleibt dir überlassen.

Das Ganze ist ein Projekt, das auf Anfrage eines unserer Kunden entstehen soll, einer Anwaltskanzlei. Ob die Kosten dafür am Ende zu hoch sein werden, gilt für mich gerade herauszufinden. Sie wünschen sich eher eine eigene Zertifizierungsstelle, anstatt Zertifikate über Dritte erwerben zu müssen. Wie gesagt, ob sie sich am Ende dafür entscheiden, liegt an den Kosten des Ganzen.
Da ich selbst nicht vertieft in der Materie bin, muss natürlich auch viel Wissen ran geholt werden, weshalb ich mich hier schlau machen möchte..
Was meinst du denn mit "all dem drum und dran" das benötigt wird?
Was den Aspekt der Sicherheit angeht, darüber würden sich die Kollegen kümmern, sollte die aktuelle Infrastruktur nicht ausreichen.
4400667902
Lösung 4400667902 03.11.2022 aktualisiert um 10:10:45 Uhr
Goto Top
Was meinst du denn mit "all dem drum und dran" das benötigt wird?
Ich glaube du unterschätzt das ganze vollkommen!
Schau dir doch mal an was Let's Encrypt mit deren intermediate CA Unternehmen muss damit Ihre CA auch weltweit anerkannt wird. Dann erkennst du das eine RootCA für eine Anwaltskanzlei vollkommen absurd ist. Und von Kosten her sprechen wird hier von hohen 6-7 stelligen Beträgen, abgesehen davon musst du erst mal das Vertrauen der Browser und OS Hersteller gewinnen, und (Gebäude und Absicherung der CA kommt dann nochmal drauf).
Glaube mir, das wollt ihr nicht wirklich.

Eigene Zertifikate lassen sich auch bei offiziellen Anbietern komfortabel automatisiert über eine API generieren und signieren lassen, und das für einen "my" des Aufwands und Kosten für den Betrieb einer eigenen öffentlichen CA.
SlainteMhath
SlainteMhath 03.11.2022 um 10:11:07 Uhr
Goto Top
Naja, anstelle einer offiziellen Root CA kann man auch eine private betreiben. Dann muss man halt alle Partner dazu bringen dieser CA zu vertrauen
4400667902
4400667902 03.11.2022 aktualisiert um 11:07:33 Uhr
Goto Top
Zitat von @SlainteMhath:

Naja, anstelle einer offiziellen Root CA kann man auch eine private betreiben. Dann muss man halt alle Partner dazu bringen dieser CA zu vertrauen

Klar, stelle ich mir aber bei einer Anwaltskanzlei schwierig vor wenn die auch mit Endkunden und nicht nur Partner-Unternehmen Dokumente austauschen.
2423392070
2423392070 03.11.2022 aktualisiert um 11:00:22 Uhr
Goto Top
Ein Thema was für sehr sehr viele Missverständnisse sorgt ist das Thema Trust und SSL/TLS.
Hier gut zu beobachten.


Es wird ohne "echte" Zertifikate einer (echten) CA nicht gehen, außer alle Adressaten installieren sich private Zertifikate
cheef65
cheef65 04.11.2022 um 10:05:40 Uhr
Goto Top
Zitat von @4400667902:

Was meinst du denn mit "all dem drum und dran" das benötigt wird?
Ich glaube du unterschätzt das ganze vollkommen!
Schau dir doch mal an was Let's Encrypt mit deren intermediate CA Unternehmen muss damit Ihre CA auch weltweit anerkannt wird. Dann erkennst du das eine RootCA für eine Anwaltskanzlei vollkommen absurd ist. Und von Kosten her sprechen wird hier von hohen 6-7 stelligen Beträgen, abgesehen davon musst du erst mal das Vertrauen der Browser und OS Hersteller gewinnen, und (Gebäude und Absicherung der CA kommt dann nochmal drauf).
Glaube mir, das wollt ihr nicht wirklich.

Eigene Zertifikate lassen sich auch bei offiziellen Anbietern komfortabel automatisiert über eine API generieren und signieren lassen, und das für einen "my" des Aufwands und Kosten für den Betrieb einer eigenen öffentlichen CA.

Besten Dank für die aufschlussreiche Erklärung face-smile
Habe persönlich kaum Erfahrung in dem Bereich und möchte nur, dass der Kunde bekommt was er will. Wenn das aber nicht geht, geht es halt nicht ^^
4400667902
4400667902 04.11.2022 aktualisiert um 10:15:32 Uhr
Goto Top
Schau dir alternativ zur einer echten RootCA mal folgende Produkte an
https://www.digicert.com/dedicated-intermediate
https://www.secardeo.de/produkte/certep/?gclid=EAIaIQobChMIwpLnh5eU-wIVw ...
usw.
Die sollten das liefern was der Kunde sich wünscht auch ohne viel Aufwand.
gelöstFrageMicrosoftInternet DomänenVerschlüsselung, Zertifikate
Heiß diskutiert
ITeinsteigerIst in einem Netzwerk die MAC-Adresse nicht überflüssig?ITeinsteiger - 36 KommentareAbstrackterSystemimperatorJobsuche: Eventuell übergangsweise als SL-Supporter?AbstrackterSystemimperator - 25 KommentareMilordIT-Großhandel für kleinen IT-DienstleisterMilord - 21 KommentaremannidUnterwegs via LTE oder WLAN auf Terminalserver in Firma zugreifenmannid - 19 KommentarethommyFSophos XG Firewall SW-Virtual - Bare-Metal Installation oder Hyper-VthommyF - 18 KommentareleofabianDomäne lässt sich mit LAN Verbindung nicht aufrufen, mit WLAN aber schonleofabian - 17 Kommentarer2d2r3poZugriff auf Windows Server und NAS mit Windows 11r2d2r3po - 17 KommentarepetereIT Inventar verwaltenpetere - 17 KommentareaxlemoxleMailarchivierung nach gesetzl. Vorgaben Journalingpostfachaxlemoxle - 16 KommentareWolf2000Ist mein Server sicher?Wolf2000 - 16 Kommentarelordfire112Windows 2022 DHCP Server vergibt keine IPs an Windows Gerätelordfire112 - 16 KommentareByteArchitectUser Management LinuxByteArchitect - 15 KommentareSarekHLLegacy Boot verhindert Upgrade auf Windows 11SarekHL - 14 Kommentare