judo99
Goto Top

local Domain mit Zertifikat schützen

Ist das denn jetzt noch möglich?
Das Netz hat keinen ExchangeServer oder einen sonstigen MailServer. Wir haben nur ein Windows 2008 R2 Server.
Die derzeitige Domäne ist .local und unser Zertifikat läuft demnächst aus. Was tun? Ein neues Zertifikat werden wir ja nicht bekommen...
MfG

Content-ID: 310990

Url: https://administrator.de/forum/local-domain-mit-zertifikat-schuetzen-310990.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

SlainteMhath
SlainteMhath 27.07.2016 um 11:18:14 Uhr
Goto Top
1. was genau willst du denn mit dem Zertifikat schützen?
2. Und woher habt ihr euer bestehendes Zertifikat?
3. Ist das ein AD?

Fragen über Fragen...

lg,
Slainte
Judo99
Judo99 27.07.2016 um 11:33:37 Uhr
Goto Top
Das Zertifikat was wir derzeit haben ist self-signed. Das funktioniert aber auf vielen Geräten nicht. Deswegen wollen wir ein offizielles. Das Zertifikat soll hauptsächlich für die Client und Server-Authentifizierung verwendet werden.
Ja es ist ein AD mit DC.
SeaStorm
SeaStorm 27.07.2016 um 11:39:01 Uhr
Goto Top
dann setze deine eigene CA im Netz auf (ist ne Rolle die du auf dem DC installieren kannst).
Dann kannst du dessen Root Zertifikat einfach an alle Clients per GPO verteilen und musst dir um Zertifikate keine gedanken mehr machen. Jeder Computer kann dann sein eigenes Zertifikat haben und alle trauen diesem, da deine CA als Aussteller ja vertrauenswürdig ist.
SlainteMhath
SlainteMhath 27.07.2016 um 11:39:55 Uhr
Goto Top
dann setze deine eigene CA im Netz auf
Das
Judo99
Judo99 27.07.2016 um 12:40:18 Uhr
Goto Top
Allerdings müsste ich mir doch dann erstmal ein Sicherheitsmodul kaufen, beziehungsweise andere entsprechend geeignete Hardware, oder geht das auch mit vorhandenen Strukturen? Es geht ja nicht nur um feste Clients. Mobilgeräte und ortsfremde Notebooks müssen das Netzwerk auch akzeptieren...
SlainteMhath
SlainteMhath 27.07.2016 um 12:48:58 Uhr
Goto Top
Vorab: Bevor du eine CA installierst solltest du dich erstmal ein bischen einlesen, wie man PKIs im AD strukturiert, sonst kanns in die Hose gehen face-smile

Der AD-CA vertrauen erstmal alle Geräte die sich im AD befinden. Sollen "externe" Geräte auch der CA Vertrauen muss deren Root-Cert auf den Geräte (per Hand) installiert werden.

Was genau verstehst du unter "Sicherheitsmodul"? Für die CA taugt jeder Handelsüblich PC
SeaStorm
SeaStorm 27.07.2016 um 14:51:59 Uhr
Goto Top
ich glaube du solltest mal ausführen was genau du unter "Netzwerk mit Zertifikat schützen" verstehst und was du so alles vor hast.

Wenn du dein Netzwerk mit einem Zertifikat absichern willst, also IEEE 802.1x , dann kommt ein Gerät überhaupt erst nur dann in dein Netzwerk, wenn es zuvor ein gültiges Zertifikat durch deine CA bekommen hat. Da ihr einen Server habt und du keine Ahnung hast, was eine CA ist, schätze ich mal, das es das nicht ist, was du machen willst, da das dann doch eher bei den professionellen Netzwerken aufgehoben ist.

Einen Exchange hast du nicht, dessen Kommunikation du damit absichern willst.

Also ... was GENAU willst du mit deinem Zertifikat absichern?