Kann man AD CA und CS voneinander trennen?

Liebe Adminis,

bin neu im Bereich Zertifikate und PKI in einer Windows-Server Umgebung. Daher hoffe ich, dass mir jemand meine Idee falsifizieren oder verifizieren kann.

Folgender Aufbau ist geplant:

Meine Idee dahinter ist, dass ich die CA vom Webservice trennen möchte, das CA und DC eine Einheit bilden, aber die anderen Certification Service Rollen auf einem anderen Server laufen. Das heißt, RevocationList und dergleichen sollen über einen eigenen Server gehen, der sonst für nichts anderes zuständig ist und sowohl nach innen als auch nach außen die Anlaufstelle ist.

Alle Server sind 2019 Standard Edition.

Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?

Please also mark the comments that contributed to the solution of the article

Content-Key: 1630387840

Url: https://administrator.de/contentid/1630387840

Printed on: April 26, 2024 at 07:04 o'clock

6 Comments

Latest comment

Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?

Natürlich, das ist ja das eigentliche Prinzip einer mehrstufigen Zertifikatsinfrastruktur. In der Regel sind ROOT-CAs sogar Offline (private Keys dieser liegen im Tresor) und die Zertifikate stellt dann eine Intermediate/Sub-CA aus dessen Zertifikat von der Root-CA signiert ist.

Hier wird das ganze detailliert erläutert
Installation einer zweistufigen PKI (two tier pki)

Planung bei einer CA ist alles, und ist nichts was man mal schnell husch husch abfackelt wenn man lange von der CA haben will, denn grundlegende Fehler beim Design lassen sich hinterher meisten nur schwer/viel Aufwand ausmerzen.

Zitat von @149569:

Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?

Natürlich, das ist ja das eigentliche Prinzip einer mehrstufigen Zertifikatsinfrastruktur.
Hier wird das ganze detailliert erläutert
Installation einer zweistufigen PKI (two tier pki)

Danke für den Link. In diesem wird von Serverversionen bis 2008 gesprochen. Die Anleitung hälst du für die 2019er Version ebenso als valide, richtig?

Planung bei einer CA ist alles, und ist nichts was man mal schnell husch husch abfackelt.

Ehrlicherweise hab ich höllischen Respekt davor. Da mach ich nichts husch, pfusch. Deshalb sammle ich davor so viel wie möglich an Know-How.

Zitat von @ptr2brain:
Danke für den Link. In diesem wird von Serverversionen bis 2008 gesprochen. Die Anleitung hälst du für die 2019er Version ebenso als valide, richtig?

Bei den Certificate-Services hat sich seit dem nicht großartig viel verändert, findest du aber auch aktuellere Anleitungen, das war nur ein Beispiel ... Suche einfach nach "zweistufiger Windows CA"
Oder besser gleich auf Englisch mit 2 tier windows pki
https://www.derekseaman.com/2021/03/windows-server-2019-two-tier-pki-ca- ...
https://blog.naglis.no/?p=3121
https://blog.wydler.eu/2016/08/23/installation-einer-zweistufigen-pki-un ...
https://www.medic-daniel.de/pki/2014/11/installation-und-konfiguration-e ...
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
usw.

Ehrlicherweise hab ich höllischen Respekt davor. Da mach ich nichts husch, pfusch. Deshalb sammle ich davor so viel wie möglich an Know-How.

👍

Hallo,

die CA auf dem DC zu installieren, ist aus meiner Sicht nicht empfehlenswert.

Für welche anderen AD CS-Features dann der eigene Server gebraucht wird, ist nicht ganz klar. Web-Enrollment ist in den meisten Szenarien überflüssig. Das Hosting von AIA und CDP ist nicht an AD CS gebunden. Insofern ist ein Webserver auch auf einer dedizierten AD CS-CA nicht erforderlich.

Grüße
Richard

Moin,

Web-Enrollment ist in den meisten Szenarien überflüssig

Wie stellst du Zertifikate für Drucker, Terminals, etc. aus?

Gruß,
Dani

Zitat von @Dani:

Wie stellst du Zertifikate für Drucker, Terminals, etc. aus?

Über einen dedizierten Rechner anstelle dieser Systeme, notfalls auch den Computer-Store der Issuing-CA selbst.

Grüße
Richard

German solved Question Encryption, Certificates Security