Interne CA (Zertifizierungsstelle)
Hallo zusammen,
wir möchten in Zukunft interne PDF-Dokumente digital signieren und damit das Druckvolumen reduzieren.
Die Signaturen müssen nach Extern nicht überprüft werden und sind ausschließlich für firmeninterne Dokumente vorgesehen.
Als PDF-Editor möchten wir den PDF-XChange Editor Plus einsetzen.
Mein Problem ist im Moment, dass innerhalb des Programms jeder Nutzer selbst Zertifikate mit beliebigen Identitäten erstellen kann.
Ich bräuchte somit eine interne CA. Gibt es eine Software die das abbilden könnte?
Alternativ würde es mir auch reichen selbstsignierte Zertifikate an die Nutzer auszugeben und die Funktion zum erstellen oder ändern von Zertifikaten zu sperren. Ob ich jedoch so tief in den PDF-XChange Editor eingreifen kann ist mir nicht bekannt.
Hat jemand von Euch schon mal etwas Ähnliches umgesetzt oder hat eine bessere Idee?
Vielen Dank
wir möchten in Zukunft interne PDF-Dokumente digital signieren und damit das Druckvolumen reduzieren.
Die Signaturen müssen nach Extern nicht überprüft werden und sind ausschließlich für firmeninterne Dokumente vorgesehen.
Als PDF-Editor möchten wir den PDF-XChange Editor Plus einsetzen.
Mein Problem ist im Moment, dass innerhalb des Programms jeder Nutzer selbst Zertifikate mit beliebigen Identitäten erstellen kann.
Ich bräuchte somit eine interne CA. Gibt es eine Software die das abbilden könnte?
Alternativ würde es mir auch reichen selbstsignierte Zertifikate an die Nutzer auszugeben und die Funktion zum erstellen oder ändern von Zertifikaten zu sperren. Ob ich jedoch so tief in den PDF-XChange Editor eingreifen kann ist mir nicht bekannt.
Hat jemand von Euch schon mal etwas Ähnliches umgesetzt oder hat eine bessere Idee?
Vielen Dank
Please also mark the comments that contributed to the solution of the article
Content-ID: 5795169462
Url: https://administrator.de/contentid/5795169462
Printed on: December 4, 2024 at 03:12 o'clock
6 Comments
Latest comment
Moin,
eine Software? Das ist eher ein Server, der diese Dienste bereitstellen kann als eine einzelne Software. In der Linux-Welt ist das ein nicht ganz trivialer Aufwand und auch in der Microsoft-Welt sollte man sich vorher gut einlesen.
Ich kenne nur den MS Weg und der setzt voraus, dass eine lokale AD vorhanden ist, damit die Zertifikate an die User ausgerollt werden können. Da gibt es genug Anleitungen im Internet.
Die andere Baustelle ist hier aber scheinbar PDF-XChange selbst, wenn jeder Anwender eigene Zertifikate hinzufügen kann, dann hilft hier auch keine interne CA. Kann man das irgendwie steuern innerhalb der Anwendung, dass nur bestimmte Zertifikate zugelassen sind?
eine Software? Das ist eher ein Server, der diese Dienste bereitstellen kann als eine einzelne Software. In der Linux-Welt ist das ein nicht ganz trivialer Aufwand und auch in der Microsoft-Welt sollte man sich vorher gut einlesen.
Ich kenne nur den MS Weg und der setzt voraus, dass eine lokale AD vorhanden ist, damit die Zertifikate an die User ausgerollt werden können. Da gibt es genug Anleitungen im Internet.
Die andere Baustelle ist hier aber scheinbar PDF-XChange selbst, wenn jeder Anwender eigene Zertifikate hinzufügen kann, dann hilft hier auch keine interne CA. Kann man das irgendwie steuern innerhalb der Anwendung, dass nur bestimmte Zertifikate zugelassen sind?
Hallo,
die CA kannst Du mit diverser Software aufsetzen und verwalten: AD CS, XCA, OpenSSL...
Entscheidend ist, wie die Zertifikate bzw. Schlüssel zu den Nutzern kommen sollen: per Datei, auf admistrativ konfigurierter Smartcard, automatisch erstellt auf der Smartcard oder im Windows User Store...
Dies und die damit zusammenhängenden Sicherheitsaspekte engen die Wahl praktisch ein. Der Fallstrick ist hier, dass ein aus Nutzer- und administrativer Sicht einfacher Ansatz wie AD CS mit einem Auto-Enrollment-Template für Nutzer schwerwiegende Sicherheitslücken ins AD reißen kann, wenn nicht richtig gehandhabt. Wenn keine Erfahrung dazu vorhanden ist, würde ich den Start mit einer AD-externen/nicht-Enterprise CA empfehlen.
Grüße
Richard
die CA kannst Du mit diverser Software aufsetzen und verwalten: AD CS, XCA, OpenSSL...
Entscheidend ist, wie die Zertifikate bzw. Schlüssel zu den Nutzern kommen sollen: per Datei, auf admistrativ konfigurierter Smartcard, automatisch erstellt auf der Smartcard oder im Windows User Store...
Dies und die damit zusammenhängenden Sicherheitsaspekte engen die Wahl praktisch ein. Der Fallstrick ist hier, dass ein aus Nutzer- und administrativer Sicht einfacher Ansatz wie AD CS mit einem Auto-Enrollment-Template für Nutzer schwerwiegende Sicherheitslücken ins AD reißen kann, wenn nicht richtig gehandhabt. Wenn keine Erfahrung dazu vorhanden ist, würde ich den Start mit einer AD-externen/nicht-Enterprise CA empfehlen.
Grüße
Richard
Die andere Baustelle ist hier aber scheinbar PDF-XChange selbst, wenn jeder Anwender eigene Zertifikate hinzufügen kann, dann hilft hier auch keine interne CA
Das ist im Adobe Reader genau so. Ich sehe da aber gar kein Problem, denn wenn Du den Nutzern Domänen-CA-Zertifikate gibst, warum sollten sie die anderen noch erstellen wollen? Selbstsignierte können sie weiterhin erstellen, ja, aber als gültig werden die bei den anderen Nutzern natürlich per default nicht angesehen.
mein Vorschlag - mit Powershell einen self signed CA KEy erstellen und damit die Personenzertifikate. Machen wir auch so in unserer E-Sign Lösung, wo die Benutzer ja schon durch ihr Windows Login bekannt sind.
https://learn.microsoft.com/en-us/powershell/module/pki/new-selfsignedce ...
Eine CA gibts zwar auch als Windows-Feature btw als Third Party Software, aber die ist eigentlich dafür da, Computerzertifikate zu erstellen und auszurollen. Für Personenzertifikate muß man sich etwas mehr bemühen, beispielsweise reicht es nicht aus, wenn der User ein Zertifikat hat, es muß im Zertifikatsspeicher der Maschine vorhanden sein, wo er gerade am Arbeiten ist und man muß etwas tiefer in die GPO Trickkiste greifen, damit der User auch nur genau sein Zertifkat verwenden kann und nicht irgendein Anderes.
https://learn.microsoft.com/en-us/powershell/module/pki/new-selfsignedce ...
Eine CA gibts zwar auch als Windows-Feature btw als Third Party Software, aber die ist eigentlich dafür da, Computerzertifikate zu erstellen und auszurollen. Für Personenzertifikate muß man sich etwas mehr bemühen, beispielsweise reicht es nicht aus, wenn der User ein Zertifikat hat, es muß im Zertifikatsspeicher der Maschine vorhanden sein, wo er gerade am Arbeiten ist und man muß etwas tiefer in die GPO Trickkiste greifen, damit der User auch nur genau sein Zertifkat verwenden kann und nicht irgendein Anderes.
@GrueneSosseMitSpeck
Mit AD verteilten Zertifikaten werden Computer und User-Zertifikate ausgerollt in den jeweiligen Zertifikatsspeicher. GPO ja, aber keine tiefe Trickkiste. Dieser Teil der Einrichtung ist das einfachste.
Mit AD verteilten Zertifikaten werden Computer und User-Zertifikate ausgerollt in den jeweiligen Zertifikatsspeicher. GPO ja, aber keine tiefe Trickkiste. Dieser Teil der Einrichtung ist das einfachste.
Für Personenzertifikate muß man sich etwas mehr bemühen, beispielsweise reicht es nicht aus, wenn der User ein Zertifikat hat, es muß im Zertifikatsspeicher der Maschine vorhanden sein, wo er gerade am Arbeiten ist
Das ist korrekt. Jedoch könntest Du die Zertifikatsvorlage auch so einstellen, dass es auf eine SmartCard gespeichert ist (dann ist es mobil), oder das Auto-Enrollment aktivieren, dann wird es dem Nutzer einfach gemacht, es überall zu installieren.