cornitus
Goto Top

Grundsatz bzw. Verstädnisfragen zur Rolle bzw. Dienst "Unternehmenszertifizierungsstelle"

Hallo,

ich würde , zum Beispiel, Exchangezertifikate gerne über eine Unternehmenszertifizierungsstelle zertifizieren.

Diese sollten dann ja ohne weiteres zu tun als Vertrauensvoll in der gesamten Domäne erkannt werden, oder?

Da die Unternehmenszertifizierungsstelle eine Vertrauenswürdige Zertifizierungsstelle im Unternehmen ist, oder?

Momentan erstelle ich Exchangezertifikate über den selfsigned assi im Exchange und verteile die dann per GPO, das kann ich mir mit einer Unternehmenszertifizierungsstelle sparen, oder?

Ich will die Zertifikatsanforderung in Exchange erstellen und dann über die Unternehmenszertifizierungsstelle über das Webinterface signieren lassen das Zertifikat wird dann automatisch bei allen Clients als vertrauenswürdig erkannt die in der Domäne hängen, ist das technisch so korrekt?

Kann in einer vorhandenen 2008 R2 Domäne mit Exchange 2013 (2 DCs und 1 Exchange) eine solche Unternehmenszertifizierungsstelle nachträglich installiert werden ohne ein Zertifikatsdesaster zur erzeugen? Die Installation scheint ja laut Dokumenten schon recht einfach. Allerdings bin ich mir nicht so richtig über Konsequenzen klar.

Wo sollte der Dienst installiert werden? Separater Domainintegrierter Server? Auf dem DC (will ich eigentlich nicht)? Auf dem Exchange (will ich eigentlich auch nicht)? Auf einem Managementserver (würde ich am besten finden)?

Test erfolgt selbstredend auch noch in einer Testumgebung mit echten Daten aus dem Backup.

Man verziehe mir meine Unwissenheit face-smile.

Danke und Grüße

Content-ID: 313941

Url: https://administrator.de/forum/grundsatz-bzw-verstaednisfragen-zur-rolle-bzw-dienst-unternehmenszertifizierungsstelle-313941.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

Chonta
Chonta 30.08.2016 um 14:03:50 Uhr
Goto Top
Hallo,

Unternehmenszertifizierungsstelle zertifizieren.
Unterzertifizierungsstelle bedeutet es gibt schon eine übergeordnete Zertifizierungsstelle bzw. es wid eine gebraucht.

Momentan erstelle ich Exchangezertifikate über den selfsigned assi im Exchange und verteile die dann per GPO, das kann ich mir mit einer Unternehmenszertifizierungsstelle sparen, oder?
Es wird der CA Domänenweit vertraut. Allerdings weis ich nicht ob Du da noch selber das CA Zertifikat per GPO verteilen musst.

Allerdings bin ich mir nicht so richtig über Konsequenzen klar.
Solange die CA läuft kann z.B. der Rechner nicht mehr umbenannt werden.

Auf dem DC (will ich eigentlich nicht)? Auf dem Exchange (will ich eigentlich auch nicht)?
Jup.

Die WindowsCA ist nur halt für Dich einfacher zu bedienen.
CA Strukturen lassen sich auch über Openssl und Scripe steuern.
Man muss halt dann das CA Zertifikat in der Domäne verteilen und es wird auch allem vertraut.


Gruß

Chonta
Dani
Dani 30.08.2016, aktualisiert am 20.09.2016 um 23:46:45 Uhr
Goto Top
Moin,
Diese sollten dann ja ohne weiteres zu tun als Vertrauensvoll in der gesamten Domäne erkannt werden, oder? Da die Unternehmenszertifizierungsstelle eine Vertrauenswürdige Zertifizierungsstelle im Unternehmen ist, oder?
Jup.

Momentan erstelle ich Exchangezertifikate über den selfsigned assi im Exchange und verteile die dann per GPO, das kann ich mir mit einer Unternehmenszertifizierungsstelle sparen, oder?
Jup.

Ich will die Zertifikatsanforderung in Exchange erstellen und dann über die Unternehmenszertifizierungsstelle über das Webinterface signieren lassen das Zertifikat wird dann automatisch bei allen Clients als vertrauenswürdig erkannt die in der Domäne hängen, ist das technisch so korrekt?
Da die PKI ins Active Directory integriert wird, geht es einfacher und schneller. Dazu die MMC auf dem Exchange-Server starten und dort das Snapin Zertifikate (Computer) hinzufügen. Anschließend über Eigene Zertifkate kann sofort ein Zertifiakt angefordert werden. Falls das Zertifikat mehrere FQDN's beinhalten soll, muss vorab noch die Standardvorlage des Zertifikats Computer dupliziert und modzifiziert werden.

Wo sollte der Dienst installiert werden? Separater Domainintegrierter Server? Auf dem DC (will ich eigentlich nicht)? Auf dem Exchange (will ich eigentlich auch nicht)? Auf einem Managementserver (würde ich am besten finden)?
Eigener Server der Member der Domäne ist.

Die Installation scheint ja laut Dokumenten schon recht einfach. Allerdings bin ich mir nicht so richtig über Konsequenzen klar.
Einfach ist immer relativ. Es gibt schon einige Themen im Vorfeld, die gut überlegt sein müssen. Denn hinterher ist die Anpassung nur mit viel Zeit oder gar nicht mehr möglich. Stichpunkte sind hier Sperrlistenpunkte, Anforderungen an Vorlagen, etc... ne Woche würde ich auf jeden Fall veranschlagen.


Gruß,
Dani