8
Intranet Zertifikate ab 1. November 2015
Moinsen,
ich habe ein kleines "Verständnis-"Problem...
Ab dem 1. November 2015 stellt unser Zertifikatsausteller keine Intranetzertifikate mehr aus. Die Regelung ist wohl im Jahr 2013 beschlossen worden.
http://www.symantec.com/connect/blogs/important-changes-ssl-certificate ...
Da ich das Intranetzertifikat allerdings benötige, hier mal die Frage, wie ihr das geregelt habt, sofern ihr von der Regelung betroffen wart/seid?!
Wie kann ich in Zukunft den FQDN zertifizieren?
URL ist z.B. https://mein-server.local
Besten Dank....
ich habe ein kleines "Verständnis-"Problem...
Ab dem 1. November 2015 stellt unser Zertifikatsausteller keine Intranetzertifikate mehr aus. Die Regelung ist wohl im Jahr 2013 beschlossen worden.
http://www.symantec.com/connect/blogs/important-changes-ssl-certificate ...
Da ich das Intranetzertifikat allerdings benötige, hier mal die Frage, wie ihr das geregelt habt, sofern ihr von der Regelung betroffen wart/seid?!
Wie kann ich in Zukunft den FQDN zertifizieren?
URL ist z.B. https://mein-server.local
Besten Dank....
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 286141
Url: https://administrator.de/contentid/286141
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
indem Du entweder auch intern FQDN aus dem Public Namespace verwendest oder indem Du intern eine eigene Zertifizierungsstelle betreibst.
E.
indem Du entweder auch intern FQDN aus dem Public Namespace verwendest oder indem Du intern eine eigene Zertifizierungsstelle betreibst.
E.
Hey,
Danke für die Info...
Ich muss gestehen, ich bin nicht so tief in der Materie...
Was meinst du genau mit "fqdn aus dem public namespace "? :x
Danke für die Info...
Ich muss gestehen, ich bin nicht so tief in der Materie...
Was meinst du genau mit "fqdn aus dem public namespace "? :x
Was meinst du genau mit "fqdn aus dem public namespace "? :x
Na alle nicht für intern reservierte Namespaces.Interner Namespace: siehe RFC 6762, "Appendix G. Private DNS Namespaces"
"server.firma.de" wäre z.B. ein öffentlicher.
"server.firma.intranet" z.B. ein interner
E.
Hey,
danke erstmal für deine Info und Geduld
:D
Ich schaue mir deinen Link gleich noch einmal an.
Ich habe Parallel dazu noch über die "eigene Zertifizierungsstelle" gelesen.
Habe ich das richtig verstanden, dass einmalig das Zertifikat des Servers, welcher die Zertifikate dann in Zukunft ausstellt, auf den Clients importiert werden muss und alle anderen Zertifikate, welche von dem Server ausgestellt wurden, als vertrauenswürdig markiert sind, ohne dass ich diese Zertifikate auf den Clients importieren muss?
Kleines Beispiel:
Zertifizierungsstelle -> DomainController.intranet.local
Das Zertifikat importiere ich auf meinem Client01.
Der Client01 vertraut nun der Zertifizierungsstelle "DomainController.intranet.local"
Ich stelle über die Zertifizierungsstelle ein neues Zertifikat für Server.intranet.local aus.
Der Client vertraut diesem Zertifikat automatisch aufgrund der Zertifizierungsstelle.
Ist das Sinngemäß richtig? ;o
Wenn ja, ist das ja top xD.
danke erstmal für deine Info und Geduld
:DIch schaue mir deinen Link gleich noch einmal an.
Ich habe Parallel dazu noch über die "eigene Zertifizierungsstelle" gelesen.
http://www.tecchannel.de/server/windows/2039399/windows_praxis_active_d ...
Hier steht folgendes:
Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser >Zertifizierungsstelle wird dazu auf den Client-Computern und
Mitgliedsservern in den Zertifikatespeicher der vertrauenswürdigen >Stammzertifizierungsstellen integriert
Hier steht folgendes:
Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser >Zertifizierungsstelle wird dazu auf den Client-Computern und
Mitgliedsservern in den Zertifikatespeicher der vertrauenswürdigen >Stammzertifizierungsstellen integriert
Habe ich das richtig verstanden, dass einmalig das Zertifikat des Servers, welcher die Zertifikate dann in Zukunft ausstellt, auf den Clients importiert werden muss und alle anderen Zertifikate, welche von dem Server ausgestellt wurden, als vertrauenswürdig markiert sind, ohne dass ich diese Zertifikate auf den Clients importieren muss?
Kleines Beispiel:
Zertifizierungsstelle -> DomainController.intranet.local
Das Zertifikat importiere ich auf meinem Client01.
Der Client01 vertraut nun der Zertifizierungsstelle "DomainController.intranet.local"
Ich stelle über die Zertifizierungsstelle ein neues Zertifikat für Server.intranet.local aus.
Der Client vertraut diesem Zertifikat automatisch aufgrund der Zertifizierungsstelle.
Ist das Sinngemäß richtig? ;o
Wenn ja, ist das ja top xD.
Sinngemäß richtig.
Bloß dass bei einer Enterprise CA das CA Root Zertifikat automatisch über AD an alle Computert des AD als "vertrauenswürdige Zertifizierungsstelle" ausgerollt wird. da musst Du also nichts machen.
2. Eine Ca nicht auf einen DC installieren! Bringt nur Ärger.
3. Spiel das unbedingt und ausgiebig(!) in einer Testumgebung durch. Am 01.11.15 werden nicht alle Zertifikate plötzlich ungültig. Also hast Du doch Zeit ....
Zum Testen brauchst Du 3-4 VM's
- DC
- CA
- Client
- evtl Member-Server mit Webdienst o.ä.
Und lesen, lesen,, lesen ....
z.B. Building an Enterprise Root Certification Authority in Small and Medium Businesses
Bloß dass bei einer Enterprise CA das CA Root Zertifikat automatisch über AD an alle Computert des AD als "vertrauenswürdige Zertifizierungsstelle" ausgerollt wird. da musst Du also nichts machen.
2. Eine Ca nicht auf einen DC installieren! Bringt nur Ärger.
3. Spiel das unbedingt und ausgiebig(!) in einer Testumgebung durch. Am 01.11.15 werden nicht alle Zertifikate plötzlich ungültig. Also hast Du doch Zeit ....
Zum Testen brauchst Du 3-4 VM's
- DC
- CA
- Client
- evtl Member-Server mit Webdienst o.ä.
Und lesen, lesen,, lesen ....
z.B. Building an Enterprise Root Certification Authority in Small and Medium Businesses
Moin,
also ich habe mich heute mal intensiv mit dem Thema beschäftigt und eine Stammzertifizierungsstelle aufgesetzt.
War soweit eigentlich auch recht selbsterklärend.
Wenn ich ein Zertifikat via. Website ausstellen möchte, habe ich ja bestimmte Zertifikatsvorlagen.
Explizit die folgenden:
1) Benutzer
2) Basis-EFS
3) Administrator
4) EFS-Wiederherstellungs-Agent
5) Webserver
6) Untergrordnete Zertifizierungsstelle
Ich hätte gerne die Option 5 (Webserver).
Was mich hier allerdings stört, ist dass ich den Private Key nicht exportieren kann, welchen ich aber benötige, um eine PFX für den IIS zu erzeugen.
Ich habe dann gesehen, dass man Vorlagen kopieren und anschließend anpassen kann.
Diese Option gibt es ja auf dem server wo die Zertifizierungsstelle läuft. (SnapIN\Zertifizierungsstelle (Lokal) bzw. Zertifizierungsvorlagen).
Was ich allerdings noch nicht verstehe ist... wie kann ich diese Vorlagen auf dem Server sichtbar machen?
Kannst du mir hier auch eine Info zu geben?
also ich habe mich heute mal intensiv mit dem Thema beschäftigt und eine Stammzertifizierungsstelle aufgesetzt.
War soweit eigentlich auch recht selbsterklärend.
Wenn ich ein Zertifikat via. Website ausstellen möchte, habe ich ja bestimmte Zertifikatsvorlagen.
Explizit die folgenden:
1) Benutzer
2) Basis-EFS
3) Administrator
4) EFS-Wiederherstellungs-Agent
5) Webserver
6) Untergrordnete Zertifizierungsstelle
Ich hätte gerne die Option 5 (Webserver).
Was mich hier allerdings stört, ist dass ich den Private Key nicht exportieren kann, welchen ich aber benötige, um eine PFX für den IIS zu erzeugen.
Ich habe dann gesehen, dass man Vorlagen kopieren und anschließend anpassen kann.
Diese Option gibt es ja auf dem server wo die Zertifizierungsstelle läuft. (SnapIN\Zertifizierungsstelle (Lokal) bzw. Zertifizierungsvorlagen).
Was ich allerdings noch nicht verstehe ist... wie kann ich diese Vorlagen auf dem Server sichtbar machen?
Kannst du mir hier auch eine Info zu geben?
Was ich allerdings noch nicht verstehe ist... wie kann ich diese Vorlagen auf dem Server sichtbar machen?
Auf welchem Server?
Hallo,
Ich denke er meint den Server mit der Zertifizierungsstelle. Nachdem du Zertifikatvorlagen dupliziert hast musst du sie danach noch aktivieren:
Zertifizierungsstelle -> Rechte Maustaste auf Zertifikatvorlagen -> Auszustellende Zertifikatvorlage -> Vorlage auswählen und bestätigen
Vergiss nicht, dass unter dem Reiter Sicherheit der Vorlageneigenschaften auch die Sicherheitsgruppen entsprechend passen müssen. Bei Webserver steht standardmäßig sowieso die Administrator-Gruppe drin, da solltest du nichts mehr machen müssen. Das ist nur für den Fall, dass bei einer Zertifikatsanforderung (MMC oder Webregistrierung ist egal) die Vorlage nicht auswählbar ist. Da hängt es meistens an fehlenden Lese-/Registrieren-Rechten.
Für eine normale interne Zertifizierungsstelle reicht ein Mitgliedsserver der Domäne aus. Das muss kein DC sein, da kein Mehraufwand bei der Konfiguration notwendig ist. Hast du eine zweistufige PKI sollte die Root-CA auf keinen Fall in der Domäne sein; die Sub-CA schon.
Gruß
Winary
Ich denke er meint den Server mit der Zertifizierungsstelle. Nachdem du Zertifikatvorlagen dupliziert hast musst du sie danach noch aktivieren:
Zertifizierungsstelle -> Rechte Maustaste auf Zertifikatvorlagen -> Auszustellende Zertifikatvorlage -> Vorlage auswählen und bestätigen
Vergiss nicht, dass unter dem Reiter Sicherheit der Vorlageneigenschaften auch die Sicherheitsgruppen entsprechend passen müssen. Bei Webserver steht standardmäßig sowieso die Administrator-Gruppe drin, da solltest du nichts mehr machen müssen. Das ist nur für den Fall, dass bei einer Zertifikatsanforderung (MMC oder Webregistrierung ist egal) die Vorlage nicht auswählbar ist. Da hängt es meistens an fehlenden Lese-/Registrieren-Rechten.
Für eine normale interne Zertifizierungsstelle reicht ein Mitgliedsserver der Domäne aus. Das muss kein DC sein, da kein Mehraufwand bei der Konfiguration notwendig ist. Hast du eine zweistufige PKI sollte die Root-CA auf keinen Fall in der Domäne sein; die Sub-CA schon.
Gruß
Winary
