ptr2brain
Goto Top

Kann man AD CA und CS voneinander trennen?

Liebe Adminis,

bin neu im Bereich Zertifikate und PKI in einer Windows-Server Umgebung. Daher hoffe ich, dass mir jemand meine Idee falsifizieren oder verifizieren kann.

Folgender Aufbau ist geplant:
pki-network

Meine Idee dahinter ist, dass ich die CA vom Webservice trennen möchte, das CA und DC eine Einheit bilden, aber die anderen Certification Service Rollen auf einem anderen Server laufen. Das heißt, RevocationList und dergleichen sollen über einen eigenen Server gehen, der sonst für nichts anderes zuständig ist und sowohl nach innen als auch nach außen die Anlaufstelle ist.

Alle Server sind 2019 Standard Edition.

Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?

Content-ID: 1630387840

Url: https://administrator.de/contentid/1630387840

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

149569
149569 17.12.2021 aktualisiert um 15:58:55 Uhr
Goto Top
Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?
Natürlich, das ist ja das eigentliche Prinzip einer mehrstufigen Zertifikatsinfrastruktur. In der Regel sind ROOT-CAs sogar Offline (private Keys dieser liegen im Tresor) und die Zertifikate stellt dann eine Intermediate/Sub-CA aus dessen Zertifikat von der Root-CA signiert ist.

Hier wird das ganze detailliert erläutert
Installation einer zweistufigen PKI (two tier pki)

Planung bei einer CA ist alles, und ist nichts was man mal schnell husch husch abfackelt wenn man lange von der CA haben will, denn grundlegende Fehler beim Design lassen sich hinterher meisten nur schwer/viel Aufwand ausmerzen.
ptr2brain
ptr2brain 17.12.2021 um 16:59:34 Uhr
Goto Top
Zitat von @149569:

Ist sowas überhaupt möglich und wenn ja, worauf müsste ich achten?
Natürlich, das ist ja das eigentliche Prinzip einer mehrstufigen Zertifikatsinfrastruktur.
Hier wird das ganze detailliert erläutert
Installation einer zweistufigen PKI (two tier pki)

Danke für den Link. In diesem wird von Serverversionen bis 2008 gesprochen. Die Anleitung hälst du für die 2019er Version ebenso als valide, richtig?

Planung bei einer CA ist alles, und ist nichts was man mal schnell husch husch abfackelt.

Ehrlicherweise hab ich höllischen Respekt davor. Da mach ich nichts husch, pfusch. Deshalb sammle ich davor so viel wie möglich an Know-How.
149569
Lösung 149569 17.12.2021 aktualisiert um 17:08:20 Uhr
Goto Top
Zitat von @ptr2brain:
Danke für den Link. In diesem wird von Serverversionen bis 2008 gesprochen. Die Anleitung hälst du für die 2019er Version ebenso als valide, richtig?
Bei den Certificate-Services hat sich seit dem nicht großartig viel verändert, findest du aber auch aktuellere Anleitungen, das war nur ein Beispiel ... Suche einfach nach "zweistufiger Windows CA"
Oder besser gleich auf Englisch mit 2 tier windows pki
https://www.derekseaman.com/2021/03/windows-server-2019-two-tier-pki-ca- ...
https://blog.naglis.no/?p=3121
https://blog.wydler.eu/2016/08/23/installation-einer-zweistufigen-pki-un ...
https://www.medic-daniel.de/pki/2014/11/installation-und-konfiguration-e ...
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
usw.
Ehrlicherweise hab ich höllischen Respekt davor. Da mach ich nichts husch, pfusch. Deshalb sammle ich davor so viel wie möglich an Know-How.
👍
C.R.S.
C.R.S. 17.12.2021 um 18:22:10 Uhr
Goto Top
Hallo,

die CA auf dem DC zu installieren, ist aus meiner Sicht nicht empfehlenswert.

Für welche anderen AD CS-Features dann der eigene Server gebraucht wird, ist nicht ganz klar. Web-Enrollment ist in den meisten Szenarien überflüssig. Das Hosting von AIA und CDP ist nicht an AD CS gebunden. Insofern ist ein Webserver auch auf einer dedizierten AD CS-CA nicht erforderlich.

Grüße
Richard
Dani
Dani 17.12.2021 um 19:10:51 Uhr
Goto Top
Moin,
Web-Enrollment ist in den meisten Szenarien überflüssig
Wie stellst du Zertifikate für Drucker, Terminals, etc. aus?


Gruß,
Dani
C.R.S.
C.R.S. 17.12.2021 um 19:35:52 Uhr
Goto Top
Zitat von @Dani:

Wie stellst du Zertifikate für Drucker, Terminals, etc. aus?

Über einen dedizierten Rechner anstelle dieser Systeme, notfalls auch den Computer-Store der Issuing-CA selbst.

Grüße
Richard