Kann man AD CA und CS voneinander trennen?
Liebe Adminis,
bin neu im Bereich Zertifikate und PKI in einer Windows-Server Umgebung. Daher hoffe ich, dass mir jemand meine Idee falsifizieren oder verifizieren kann.
Folgender Aufbau ist geplant:
Meine Idee dahinter ist, dass ich die CA vom Webservice trennen möchte, das CA und DC eine Einheit bilden, aber die anderen Certification Service Rollen auf einem anderen Server laufen. Das heißt, RevocationList und dergleichen sollen über einen eigenen Server gehen, der sonst für nichts anderes zuständig ist und sowohl nach innen als auch nach außen die Anlaufstelle ist.
Alle Server sind 2019 Standard Edition.
Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?
bin neu im Bereich Zertifikate und PKI in einer Windows-Server Umgebung. Daher hoffe ich, dass mir jemand meine Idee falsifizieren oder verifizieren kann.
Folgender Aufbau ist geplant:
Meine Idee dahinter ist, dass ich die CA vom Webservice trennen möchte, das CA und DC eine Einheit bilden, aber die anderen Certification Service Rollen auf einem anderen Server laufen. Das heißt, RevocationList und dergleichen sollen über einen eigenen Server gehen, der sonst für nichts anderes zuständig ist und sowohl nach innen als auch nach außen die Anlaufstelle ist.
Alle Server sind 2019 Standard Edition.
Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1630387840
Url: https://administrator.de/contentid/1630387840
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
6 Kommentare
Neuester Kommentar
Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?
Natürlich, das ist ja das eigentliche Prinzip einer mehrstufigen Zertifikatsinfrastruktur. In der Regel sind ROOT-CAs sogar Offline (private Keys dieser liegen im Tresor) und die Zertifikate stellt dann eine Intermediate/Sub-CA aus dessen Zertifikat von der Root-CA signiert ist.Hier wird das ganze detailliert erläutert
Installation einer zweistufigen PKI (two tier pki)
Planung bei einer CA ist alles, und ist nichts was man mal schnell husch husch abfackelt wenn man lange von der CA haben will, denn grundlegende Fehler beim Design lassen sich hinterher meisten nur schwer/viel Aufwand ausmerzen.
Zitat von @ptr2brain:
Danke für den Link. In diesem wird von Serverversionen bis 2008 gesprochen. Die Anleitung hälst du für die 2019er Version ebenso als valide, richtig?
Bei den Certificate-Services hat sich seit dem nicht großartig viel verändert, findest du aber auch aktuellere Anleitungen, das war nur ein Beispiel ... Suche einfach nach "zweistufiger Windows CA"Danke für den Link. In diesem wird von Serverversionen bis 2008 gesprochen. Die Anleitung hälst du für die 2019er Version ebenso als valide, richtig?
Oder besser gleich auf Englisch mit 2 tier windows pki
https://www.derekseaman.com/2021/03/windows-server-2019-two-tier-pki-ca- ...
https://blog.naglis.no/?p=3121
https://blog.wydler.eu/2016/08/23/installation-einer-zweistufigen-pki-un ...
https://www.medic-daniel.de/pki/2014/11/installation-und-konfiguration-e ...
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
usw.
Ehrlicherweise hab ich höllischen Respekt davor. Da mach ich nichts husch, pfusch. Deshalb sammle ich davor so viel wie möglich an Know-How.
👍
Hallo,
die CA auf dem DC zu installieren, ist aus meiner Sicht nicht empfehlenswert.
Für welche anderen AD CS-Features dann der eigene Server gebraucht wird, ist nicht ganz klar. Web-Enrollment ist in den meisten Szenarien überflüssig. Das Hosting von AIA und CDP ist nicht an AD CS gebunden. Insofern ist ein Webserver auch auf einer dedizierten AD CS-CA nicht erforderlich.
Grüße
Richard
die CA auf dem DC zu installieren, ist aus meiner Sicht nicht empfehlenswert.
Für welche anderen AD CS-Features dann der eigene Server gebraucht wird, ist nicht ganz klar. Web-Enrollment ist in den meisten Szenarien überflüssig. Das Hosting von AIA und CDP ist nicht an AD CS gebunden. Insofern ist ein Webserver auch auf einer dedizierten AD CS-CA nicht erforderlich.
Grüße
Richard
Über einen dedizierten Rechner anstelle dieser Systeme, notfalls auch den Computer-Store der Issuing-CA selbst.
Grüße
Richard