7
local Domain mit Zertifikat schützen
Ist das denn jetzt noch möglich?
Das Netz hat keinen ExchangeServer oder einen sonstigen MailServer. Wir haben nur ein Windows 2008 R2 Server.
Die derzeitige Domäne ist .local und unser Zertifikat läuft demnächst aus. Was tun? Ein neues Zertifikat werden wir ja nicht bekommen...
MfG
Das Netz hat keinen ExchangeServer oder einen sonstigen MailServer. Wir haben nur ein Windows 2008 R2 Server.
Die derzeitige Domäne ist .local und unser Zertifikat läuft demnächst aus. Was tun? Ein neues Zertifikat werden wir ja nicht bekommen...
MfG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310990
Url: https://administrator.de/contentid/310990
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
7 Kommentare
Neuester Kommentar
1. was genau willst du denn mit dem Zertifikat schützen?
2. Und woher habt ihr euer bestehendes Zertifikat?
3. Ist das ein AD?
Fragen über Fragen...
lg,
Slainte
2. Und woher habt ihr euer bestehendes Zertifikat?
3. Ist das ein AD?
Fragen über Fragen...
lg,
Slainte
Das Zertifikat was wir derzeit haben ist self-signed. Das funktioniert aber auf vielen Geräten nicht. Deswegen wollen wir ein offizielles. Das Zertifikat soll hauptsächlich für die Client und Server-Authentifizierung verwendet werden.
Ja es ist ein AD mit DC.
Ja es ist ein AD mit DC.
dann setze deine eigene CA im Netz auf (ist ne Rolle die du auf dem DC installieren kannst).
Dann kannst du dessen Root Zertifikat einfach an alle Clients per GPO verteilen und musst dir um Zertifikate keine gedanken mehr machen. Jeder Computer kann dann sein eigenes Zertifikat haben und alle trauen diesem, da deine CA als Aussteller ja vertrauenswürdig ist.
Dann kannst du dessen Root Zertifikat einfach an alle Clients per GPO verteilen und musst dir um Zertifikate keine gedanken mehr machen. Jeder Computer kann dann sein eigenes Zertifikat haben und alle trauen diesem, da deine CA als Aussteller ja vertrauenswürdig ist.
dann setze deine eigene CA im Netz auf
Das
Allerdings müsste ich mir doch dann erstmal ein Sicherheitsmodul kaufen, beziehungsweise andere entsprechend geeignete Hardware, oder geht das auch mit vorhandenen Strukturen? Es geht ja nicht nur um feste Clients. Mobilgeräte und ortsfremde Notebooks müssen das Netzwerk auch akzeptieren...
Vorab: Bevor du eine CA installierst solltest du dich erstmal ein bischen einlesen, wie man PKIs im AD strukturiert, sonst kanns in die Hose gehen 
Der AD-CA vertrauen erstmal alle Geräte die sich im AD befinden. Sollen "externe" Geräte auch der CA Vertrauen muss deren Root-Cert auf den Geräte (per Hand) installiert werden.
Was genau verstehst du unter "Sicherheitsmodul"? Für die CA taugt jeder Handelsüblich PC
Der AD-CA vertrauen erstmal alle Geräte die sich im AD befinden. Sollen "externe" Geräte auch der CA Vertrauen muss deren Root-Cert auf den Geräte (per Hand) installiert werden.
Was genau verstehst du unter "Sicherheitsmodul"? Für die CA taugt jeder Handelsüblich PC
ich glaube du solltest mal ausführen was genau du unter "Netzwerk mit Zertifikat schützen" verstehst und was du so alles vor hast.
Wenn du dein Netzwerk mit einem Zertifikat absichern willst, also IEEE 802.1x , dann kommt ein Gerät überhaupt erst nur dann in dein Netzwerk, wenn es zuvor ein gültiges Zertifikat durch deine CA bekommen hat. Da ihr einen Server habt und du keine Ahnung hast, was eine CA ist, schätze ich mal, das es das nicht ist, was du machen willst, da das dann doch eher bei den professionellen Netzwerken aufgehoben ist.
Einen Exchange hast du nicht, dessen Kommunikation du damit absichern willst.
Also ... was GENAU willst du mit deinem Zertifikat absichern?
Wenn du dein Netzwerk mit einem Zertifikat absichern willst, also IEEE 802.1x , dann kommt ein Gerät überhaupt erst nur dann in dein Netzwerk, wenn es zuvor ein gültiges Zertifikat durch deine CA bekommen hat. Da ihr einen Server habt und du keine Ahnung hast, was eine CA ist, schätze ich mal, das es das nicht ist, was du machen willst, da das dann doch eher bei den professionellen Netzwerken aufgehoben ist.
Einen Exchange hast du nicht, dessen Kommunikation du damit absichern willst.
Also ... was GENAU willst du mit deinem Zertifikat absichern?
