kaineanung
Goto Top

Nächster Anlauf Zertifikate selber erstellen bzw. signieren

Hallo Leute,

ich habe die Aufgabe erhalten eine 2-Faktor-Authentifizierung einzuführen.
Der Beste Weg für uns wäre das Einführen eins Benutzerzertifikates welches verteilt wird und als zusätzliche Authentifizierung dienen soll.
Dazu habe ich schon seit Monaten noch eine offene Aufgabe die allgemein mit Zertifikaten zu tun hat: wie erstellen, wie signieren, gibt es und wenn ja welche technischen Unterschiede zwischen den User-, Computer- und Sonstige Zertifikate da es ja verschiedene Zeritifkats-Ordner/Speicher unter Windows gibt und der Gleichen.
Ich möchte z.B. unsere internen Webinterfaces mit Zertifikaten ausstatten um keine Browser-Ausnahmen mehr einstellen zu müssen wenn man intern auf eine HTTPS-Webseite geht.

Daher nun die Frage an euch:
kann mir jemand eine Quelle nennen wo ich mich in das Thema einlesen kann? Ich brauche kein 500-Seiten Buch sondern 2-3 Anleitungen mit Erklärungen die richtig gut und Versändlich sind.

Wenn ich danach google bekomme ich Wertpapier-Zertifikate oder Anbieter die Zertifikate signieren.

Ich möchte also Zertifikate selber generieren und zertifizieren und eine CA-Authority erstellen. Ob unter Linux oder Windows bin ich relativ offen. Was besser, sicherer oder einfacher ist.

1. Was brauche ich alles dafür?
2. Wie mache ich das?
3. Gibt es technische Unterschiede zwischen den verschiedenen Zertifikaten (User, Computer und dabei je Eigene-, Vertrauenswürdige-, "Homegroup Machine"-, usw. Zertifikate) und wenn ja welche?
4. Wo muss ich meine CA authorizieren und wie?

Das sind alles Dinge die ich noch niemals begriffen habe aber mich auch noch niemals damit beschäftigen müssen.
Wäre super wenn ich das "Eis" diesbezüglich endlich durchbrechen könnte...

Schon einmal im voraus vielen Dank für eure Mühe.

Content-ID: 2747793021

Url: https://administrator.de/contentid/2747793021

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

mininik
mininik 11.05.2022 aktualisiert um 13:06:12 Uhr
Goto Top
Was du brauchst ist eine Public Key Infrastruktur. Und doch, du brauchst ein 500 Seiten Buch oder Mehrere weil das nichts ist, was man von heute auf morgen mal umsetzt. Das muss entsprechend geplant werden und an eure Anforderungen angepasst werden. Hol dir im Zweifelsfall externe Hilfe dazu.

Google und Microsoft Docs sind hier deine Freunde, Stichwort: 2 o. 3 Tier PKI

Siehe u.A.: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/d ...
Tezzla
Tezzla 11.05.2022 um 13:15:52 Uhr
Goto Top
Moin,

ein gut gemeinter Rat: Bevor ihr etwas implementiert, schreibt euch haarklein im Detail auf, was ihr jetzt und zukünftig damit machen wollt: Also sowas wie "Anmelden an Clients (welche?), Anmelden über den Browser (welche?),...

Dann sucht ihr euch Systeme, die die Anforderungen erfüllen. Das mal eben aus dem Ärmel zu schütteln ist, wie @mininik schon sagte, eine der schlechteren Ideen.

VG
148523
148523 11.05.2022 um 13:42:18 Uhr
Goto Top
kaineanung
kaineanung 11.05.2022 um 13:44:48 Uhr
Goto Top
Erstmal will ich mir einen groben Überblick verschaffen. Dann wird entschieden ob ein externer Hinzugenommen werden soll oder nicht. Das habe ich bereits bei der DC-Migration so gemacht und selber hinbekommen. Das habe ich so bei der Umsetzung unserer Serverlandschaft auf eine SAN so gemacht und selber hinbekommen. Das habe ich mit einer RDS-Farm so gemacht und selber hinbekommen. Wieso sollte das bei Zertifikaten anders sein? Sind die komplizierter als o.g. Dinge? Ich meine komplizierter als SAN, ESX-Server im Cluster unter der vCenter-Appliance wird es schon nicht werden, oder? RDS-Farm war auch nicht 'ohne' mit Connection-Broker- Lizenzserver, diverse Sammlungen, 4 SessionHosts im Pool, servergespeicherte Profile und alles redundante Systeme.
Ich denke ich bin nicht ganz einem Anfänger gleiczusetzen. Ich hatte eben noch niemals mit Zertifikaten zu tun und brauche einen guten Einstieg. Wenn es nach ein paar tagen doch nichts wird: dann eben ein Externer. Aber ich muss ja wissen was ich haben will damit ich seine Arbeit auch beurteilen kann, sagen kann was ich will und sehen kann ob das alles so ist wie ich es will... also schlicht und einfach: ich will Bescheid wissen und wenn es am Ende nicht reicht es selber umzusetzen dann wird es eben ein Externer...


Was wir genau wollen ist:
Zertifikate für unsere VPN-Clients die die User authentifizieren und es erlauben daß sie sich dieser bei uns per VPN anmelden dürfen. Dann muss der User natürlich noch, wie gehabt, an der Domäne anmelden über den VPN-Client -> 2-Faktor Authentifizierung.

Wenn ich so ein Zertifikat erstellen und verteilen kann, dann kann ich das gleiche sicherlich auch für die internen Browser und Webserver erstellen damit wir die internen Webseiten nicht mehr den Ausnahmen in den Browsern hinzufügen müssen. Wir sind also nur bestrebt erstmal in diesen 2 Dingen die Zertifiakte zu nutzen. Wenn alles läuft fällt uns ja vielleicht noch mehr ein. Dies aber dann viel später...

Ich weiß daß ich eine Authetifizierungsstelle errichten muss welche dann in der Domäne (per GPO) an die Clients bekannt gemacht werden muss daß diese vertrauenswürdig sei. Dann kann ich aus dieser CA Zertifikate erstellen für die User oder eine weitere Zertifizierungsstelle aus welchen dann die User- oder Computerzertifikate erstellt werden können.
Das ist aber alles 'grob' bei mir vorhanden und somit will ich das genauer wissen und dann auch wie es tatscählich gemacht wird. Also die Umsetzung dann..
kaineanung
kaineanung 11.05.2022 um 20:10:11 Uhr
Goto Top

Vielen Dank für den Link. Ich denke aber das er irgendwie mitten drin im Thema startet..
Wenn du eine Quelel hast die etwas früher ansetzt wäre das toll?
Crusher79
Crusher79 12.05.2022 um 08:05:11 Uhr
Goto Top
Guten Morgen,

https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil- ...

Grundsätzlich:
Es gibt öffentliche kostenlose (Let's Encrypt - LE) oder kostenpflichtige Anbieter. Letztere haben eine lange Laufzeit und andere "Features". Mein Kollege mal so: "Man kann da anrufen". Toll!

LE reicht vollkommen aus. Die Laufzeit von 3 Monaten bringt weniger Probleme als Warnungen mit sich - Bsp. Exchange "Zertifikat läuft bald aus". Damit kann man aber leben.

Eine Windows Domäne mit CA läuft auf einen Server. Der muss aber nicht mal 24/7 online sein. Man kann die Aufgaben - je nach Anleitung sollte man es auch! - auf andere Server übertragen. Eine Sub-CA erstellen.

Der Server mit der CA sollte in der Domäne sein! Muss er aber nicht. Es funktioniert auch so. Aber einige Features die im Browser laufen gehen dann nicht, da man die Installation ohne Domäne nicht komplett abschließen kann. Um dieses Dilemma zu umgehen lassen sich aber die Zertifikats-Operationen auch via Command Line durchführen.

Ansonsten ist eigentlich alles in den vielen Tutorials enthalten.

Ohne eigene CA. "Irgendwas" öffentlich signieren:
- Let's Encrypt (LE)
-- Certify the web - teils kommerziell und es steckt LE dahinter! Braucht man meist nicht!
-- LE Andbindung ist in vielen Applikationen vorhanden - OPNsense Firewall, Scripte um Exchange Cert. zu (re-) generieren.

Mir fällt auch grad keine Alternative ein face-wink Viele haben den Dienst eingestellt. LE is perfekt für den Einstieg, da es mal "zum Spielen" als auch produktiv taugt. Die Anzal der Cert. Anforderung pro Tag/ Woche ist "leicht" begrenzt. Es gibt einen Modi der es erlaubt zu testen, ohne ein Cert. bei LE wirklich anzufordern. Ist aber alles gut erklärt.

LE ist Standard. Auch ohne eigene CA solltest du dich mit LE mal beschäftigen!

Zertifiaktszwecke:
- CA, Sub-CA, etc.
- Warum kann ich mit LE keine Sub-CA auf meinen Router erstellen und so immer "öffentlich" sichtbar sein? Da gibt es unterschiede.

Was noch wichtige wäre Aufbau der Textdatei der Zertifikate. Man kann die ändern. Konvertieren. Cert und Key separat oder zusammen führen. Mitunter scheitert es gan z einfach daran, dass man den falschen Standard ausgwählt hat. Statt alles wegzuschmeißen kann man einfach mit openssl konvertieren.

https://docs.citrix.com/en-us/citrix-gateway/current-release/install-cit ...

Nur als Beispiel! Das Eckige muss in das Runde...

Du musst nicht jedesmal den Dateiaufbau auswendig lernen! Es reicht der Syntax, wie man das Tool anwendet.

Sowas wird generell - auch im Mischbetrieb mit Linux - immer mal wieder vorkommen!

mfg Crusher
wiesi200
wiesi200 12.05.2022 um 16:02:55 Uhr
Goto Top
Zitat von @kaineanung:

Ich meine komplizierter als SAN, ESX-Server im Cluster unter der vCenter-Appliance wird es schon nicht werden, oder? RDS-Farm war auch nicht 'ohne' mit Connection-Broker- Lizenzserver, diverse Sammlungen, 4 SessionHosts im Pool, servergespeicherte Profile und alles redundante Systeme.

Das ist eigentlich wirklich nicht schwierig.
Die saubere Planung einer "brauchbaren" Zertifikat Infrastruktur ist das schon noch ne andere Hausnummer wenn man nicht irgendwann drüber fallen will.
Dani
Dani 16.05.2022 aktualisiert um 11:33:25 Uhr
Goto Top
Moin,
Das habe ich mit einer RDS-Farm so gemacht und selber hinbekommen. Wieso sollte das bei Zertifikaten anders sein? Sind die komplizierter als o.g. Dinge? Ich meine komplizierter als SAN, ESX-Server im Cluster unter der vCenter-Appliance wird es schon nicht werden, oder? RDS-Farm war auch nicht 'ohne' mit Connection-Broker- Lizenzserver, diverse Sammlungen, 4 SessionHosts im Pool, servergespeicherte Profile und alles redundante Systeme.
Das kommt drauf an... Du hast jetzt ein paar Produkte/Techniken genannt. Aber nicht wie tief du dich darin bewegt hast. Wobei ich SAN + ESXi im Grundausbau für simpler einstufe, als eine in sich voll redundante RDS Plattform. Wobei meine Erfahrung mir sagt, dass jeder Admin HA bei RDS anders definiert.

Die Planung, Aufbau und Betrieb einer PKI gehört für mich zur Königsdisziplin. Hier kann jeder Planungefehler in 2 Wochen, 4 Monaten oder in zwei Jahren bedeuten - Neuanfang. Das ist nichts zwischen Mittagspause und Feierabend.

Es fängt mit einfachen Fragen an: Welche Zertifikatstypen benötige, welche Algorithmen, nutze ich RSA oder ECC für die Schlüssel, über welches Protokoll vereöffentliche ich die (Delte)Sperrlisten, muss eine Sperrliste über das Internet erreichbar sein, auf welchen Betriebssystemen muss mein Stammzertifizierungsstellenzertifikat importiert werden, gibt es hier für Automatismen (MDM, GPO, etc.). Ist ein Recovery Key Agent erforderlich, für welche Applikationen möchte ich die PKI einsetzen (Stichwort Java Keystore), etc. Das ist ein Teil der Fragen die dich vor den Planungen beschäftigen sollten. Das kann man auf die verschiedenen Phasen duplizieren.

Aktuellstes Beispiel: KB5014754—Certificate-based authentication changes on Windows domain controllers


Gruß,
Dani

P.S.
kaineanung
kaineanung 19.05.2022 um 20:13:13 Uhr
Goto Top
Hallo Dani,

ich bin gerade dabei mich ein wenig in das Thema einzulesen. Die Quellen die ich finde sind jedoch entweder zu alt (da reden die noch von Unterschieden zwischen MS W2K3 und W2K12 und das man ab W2K12 alles abdeckt und kein Enterprise-Server (?) mehr benötigt wird). Da blicke ich nicht wirklich durch (war auch gerade kurz vor meiner Zeit).

Gibt es irgendwo eine Quelle die jemanden an die Hand nimmt und nur das wesentliche erklärt? Irgendwas 'Jetzt lerne ich Zertifikate', 'Zertifikate für Dummies' o.ä.?

Ich will eigen signierte Zertifikate für lediglich 2 Dinge nutzen: intern für die ganzen Webserver und als Device- oder Nutzer-Authentifizierung für die 2-Faktor-Authentifizierung (ich erstelle für das Device ein Zertifikat, installiere es notfalls manuell in dessen Zertifikatsspeicher und nur wenn das vorhanden ist darf er sich entweder per VPN anmelden oder (erst im nächsten Schritt) an die Domäne?

Da ich mir alles andere nicht verbauen möchte, würde ich nicht auf die AD-integrierte CA gehen. Warum ich aber eine Sub-CA erstellen soll erschliessst sich mir noch nicht. Was ist eine Rückruf-Liste und wozu brauche ich diese und warum geht das nicht mit der RootCA?

Im Prinzip muss ich also nur die o.g. Fragen für meine Anforderung klären damit ich zumindest weiß was ich nutzen sollte. Wenn das steht dann kann ich ja gezielt recherchieren wie das geht... wahrscheinlich reicht da aber nicht, oder?

Also, ich möchte:
- interne Webserver und Webinterfaces (APs, Switche, Firewall) vertrauenswürdig machen
- 2-Faktor-Authentifizierung einführen wobei der 2. Faktor eben gültige firmeneigene Zertifikate sind

Auf was sollte ich setzen?
Dani
Dani 20.05.2022 um 13:06:09 Uhr
Goto Top
Moin,
Die Quellen die ich finde sind jedoch entweder zu alt (da reden die noch von Unterschieden zwischen MS W2K3 und W2K12 und das man ab W2K12 alles abdeckt und kein Enterprise-Server (?) mehr benötigt wird). Da blicke ich nicht wirklich durch (war auch gerade kurz vor meiner Zeit).
Nachdem du nicht beschreibst, was du suchst anbei ein paar Beispiele von mir:
https://xdot509.blog/2020/10/15/pki-best-practices/
https://cloudinfrastructureservices.co.uk/active-directory-certificate-s ...
https://blog.naglis.no/?p=3121

Gibt es irgendwo eine Quelle die jemanden an die Hand nimmt und nur das wesentliche erklärt? Irgendwas 'Jetzt lerne ich Zertifikate', 'Zertifikate für Dummies' o.ä.?
Selbstverständlich, z.B. PKI und CA in Windows-Netzwerken

Da ich mir alles andere nicht verbauen möchte, würde ich nicht auf die AD-integrierte CA gehen. Warum ich aber eine Sub-CA erstellen soll erschliessst sich mir noch nicht. Was ist eine Rückruf-Liste und wozu brauche ich diese und warum geht das nicht mit der RootCA?
Lies dir die von mir obengenannten Links inkl. Folgeartikel durch. Danach kannst du die Fragen selbst beantworten. Falls immer noch etwas unklar sein sollte, darfst du gerne nochmals melden.

Ich will eigen signierte Zertifikate für lediglich 2 Dinge nutzen: intern für die ganzen Webserver und als Device- oder Nutzer-Authentifizierung für die 2-Faktor-Authentifizierung
Da geht das Dilemma schon los. Je nach Gerätetyp bzw. Betriebsyystem (Windows, macOS, iOS, Android, etc.) und installierte Version müssen z.B. die Richtlinien für Zertifikate des CA Browser Forums eingehalten werden. Anderenfalls wird das Zertifikat nicht funktionieren bzw. die Fehlermeldung deutet in der Regel nicht darauf hin.

Im Prinzip muss ich also nur die o.g. Fragen für meine Anforderung klären damit ich zumindest weiß was ich nutzen sollte. Wenn das steht dann kann ich ja gezielt recherchieren wie das geht...
Aus meiner Sicht gehst du die Sache falsch herum an. Ich würde mich grundsätzlich erst einmal mit dem Thema PKI vertraut machen. Damit du weißt was wie wo (nicht) geht. Gerade die Richtlinien des CA Browser Forums werden immer wichtiger.

interne Webserver und Webinterfaces (APs, Switche, Firewall) vertrauenswürdig machen
Wie viele Systeme/Gerät sind es? Können diese mit Simple Certificate Enrollment Process (SCEP) umgehen? Das hängt widerrum von der Applikation ab. Im Worst Case musst du alle 365 Tage die Zertifikate händisch tauschen.

2-Faktor-Authentifizierung einführen wobei der 2. Faktor eben gültige firmeneigene Zertifikate sind
Ob ein Zertifikat als 2FA gilt, bin ich gerade überfragt. Unabhängig davon ist hierbei die Frage welche Geräte mit dem welchen Betriebssystem und Version wird eingesetzt. Um wie viele Geräte geht es?


Gruß,
Dani
kaineanung
kaineanung 26.05.2022 um 01:58:51 Uhr
Goto Top
Hallo Leute,

ich habe nun eine PKI erstellt und das Zertifikat wird domänenweit verteilt (ich muss nachhelfen mit gpupdate /force -> aber dann ist es auch da).

Ich habe eine RootCA ausserhalb der Domäne und eine SubCA innerhalb der Domäne.
Die SubCA wurde von der RootCA zertifiziert und die RootCA ist natürlich "selfsigned".

Ich habe aber nun ein kleines Verständnisproblem:
im Zertifikatsordner "vertrauenswürdige Stammzertifikatsstellen" landet das Zertifikat der RootCA. Ich hätte gedacht das da die SubCa landen müsste und dieser auch alle Zertifikate ausstellt und in der Domäne dieser Stelle 'getraut' werden soll und nicht dem RootCA? Die SubCA soll vertrauenswürdig sein weil es die RootCA 'bestätigt'.

Ist das falsch oder richtig so daß das RootCA-Zertifikat in den 'vertrauenswürdigen Stammzertifizierungsstellen' landet? Und warum?
Dani
Dani 29.05.2022 um 11:37:03 Uhr
Goto Top
Moin,
ich habe nun eine PKI erstellt und das Zertifikat wird domänenweit verteilt (ich muss nachhelfen mit gpupdate /force -> aber dann ist es auch da).
gpupdate vs. gpupdate /force - Mythos #1 und #2

im Zertifikatsordner "vertrauenswürdige Stammzertifikatsstellen" landet das Zertifikat der RootCA. Ich hätte gedacht das da die SubCa landen müsste und dieser auch alle Zertifikate ausstellt und in der Domäne dieser Stelle 'getraut' werden soll und nicht dem RootCA? Die SubCA soll vertrauenswürdig sein weil es die RootCA 'bestätigt'.
Lese deinen Absatz nochmals und du kannst die Frage selbst beantworten.


Gruß,
Dani
kaineanung
kaineanung 30.05.2022 um 10:38:26 Uhr
Goto Top
Oh Mensch Maier,

ich entschuldige mich für meine Frage. Ist halt neu für mich und ich verwechsele da noch ab und an einiges und bringe es durcheinander...

Natürlich muss der RootCA in der "vertrauenswürdigen STAMMzertifizierungsstellen"-Liste landen.
Der SUB-CA landet in der Liste "Zwischenzertifizierungsstellen" (komischerweise landet der RootCA dort jedoch ebenfalls?).

Also, wenn das so am Ende ausschaut und diese Listen auch domänenweit verteilt sind, dann steht meine PKI, richtig?

Dann brauche ich nur noch 2 Dinge:

1. Manuelles anfordern, erteilen und installieren des Zertifikates
2. Gleiches wie bei Punkt 1 jedoch automatisch.

Um es aber richtig überblicken zu können (und im Kopf die richtige Abfolge speichern zu können) würde ich es gerne manuell machen. Ich habe eine gute Seite zu Punkt 2 gefunden, leider jedoch nicht zu Punkt 1. Kann mir jemand irgendeine gute Quelle zu einer Aleitung/HowTo zukommen lassen? Das wäre supernett... Schon einmal im Voraus vielen Dank für eure Hilfe...
kaineanung
kaineanung 01.06.2022 aktualisiert um 13:37:42 Uhr
Goto Top
Hallo,

ich habe nun eine PKI mit RootCA und SubCA erstellt. Die Zertifikate des RootCA wird auch in der Domäne verteilt und landet im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" (RootCA) bzw. "Zwischenzertifizierungsstellen" (SubCA). Dies passiert domänenweit auf die Server als auch auf die Win10 Pro Clients.
Ich habe einen RDS-server aufgebaut weil der gleich mit einem vorgefertigten IIS daherkommt mit einer SSL-Startseite.

So, nun habe ich ein Phänomen: Surfe ich diese Seite vom IE an so funktioniert es und surfe ich die gleiche Seite vom Edge aus an so wird der Verbindung nicht getraut. Wie kann das sein?

P.S. Edge und Firefox reagieren gleich (bei beiden wird der verbindung nicht getraut). Auf dem IE jedoch schon..
kaineanung
kaineanung 01.06.2022 um 22:32:02 Uhr
Goto Top
Ok, ich habe es beim FF gelöst indem ich per Firefox-GPO die Einstellung so setze daß der Windows-eigene Zertifikatsspeicher vom FF mitgenutzt werden soll. Das hat dann auch geklappt.

Hat der Edge auch ein eigenen Zertifikatsspeicher? Schwer vorstellbar da es ja auch ein MS-Produkt ist und die ja wohl ihren eigenen Stammzertifizierungsstellen ja wohl vertrauen...
Also muss es hier was anderes sein, oder?
Dani
Dani 06.06.2022 um 14:21:14 Uhr
Goto Top
Moin,
Also, wenn das so am Ende ausschaut und diese Listen auch domänenweit verteilt sind, dann steht meine PKI, richtig?
  • Was machst du bezüglich Sperrlistenentpunkte, CRL und/oder OCSP? Über welche Protokolle veröffentlichst du CRLs? Wie oft wird die CRL aktualisiert? Wie lange soll die CRL gültig sein? Habt ihr evtl. Produkte im EInsatz, welche CRL nicht mehr unterstützen und OCSP erforderlich ist. Das gilt sowohl für RootCA als auch SubCA zu prüfen.
  • Nutzt du die PKI auch für Services, welche über das Internet genutzt werden. Dann musst du dir auch Gedanken über die sichere Veröffentlichung von CRL/OCSP machen.
  • Hast du die Laufzeit der Zertifikate (unabhängig von Typ) entsprechend an die aktuell gültigen Bestimmungen des CA Browser Forum angepasst. Sonst bekommst du spätestens auf Apple Geräte massive Probleme.

1. Manuelles anfordern, erteilen und installieren des Zertifikates
Dafür gibt es das Modul Web-Registierung.

2. Gleiches wie bei Punkt 1 jedoch automatisch.
Für welche Geräte bzw. Betriebssysteme?

Um es aber richtig überblicken zu können (und im Kopf die richtige Abfolge speichern zu können) würde ich es gerne manuell machen.
Wenn du nur eine handvoll Zertifikate hast, kann man das machen. Alles andere ist auf Dauer eine Arbeitsbeschaffungsmaßnahme.

Kann mir jemand irgendeine gute Quelle zu einer Aleitung/HowTo zukommen lassen?
Ich empfehle dir das Buch von Rheinwerk Verlag.

So, nun habe ich ein Phänomen: Surfe ich diese Seite vom IE an so funktioniert es und surfe ich die gleiche Seite vom Edge aus an so wird der Verbindung nicht getraut. Wie kann das sein?
Wie lautet den die Fehlermeldung? Gerne auch mit einem Screenshot.

Hat der Edge auch ein eigenen Zertifikatsspeicher?
Nein, der Microsoft Edge Chromium hat keinen eigenen Zertifikatsspeicher.


Gruß,
Dani
kaineanung
kaineanung 06.06.2022 um 20:28:21 Uhr
Goto Top
Hallo Dani,

Ich habe es mittlerweile gelöst mit dem manuellen erstellen des Zertifikats. Das erstellen von 'domänenintegrierte Zertifikaten' (beim Erstellen den Link mit 'Domänenzertifkat erstellen...' klappt zwar wunderbar. Doch leider kann ich damit keine Zertifikate mit SAN-Attributen erstellen. Da ich diese aber wegen mindestens 2 wichtigen Dingen benötige, muss ich die Zertifikate nun leider manuell erstellen und per Webinterface an der SubCA alles erledigen (mit kopieren des Inhalts aus einem Texteditor, einfügen in das Webformular, anfragen und erstellen mmit download der CER-Datei). Bei diesem Vorgang kann ich jedoch die SAN-Attribute setzen (und beim ersteren geht es momentan noch nicht bei mir. Ich vermute ich muss an den Vorlagen schrauben).
Die SAN-Attribute in den Zertifikaten benötige ich damit ich auch alternative Adressen (z.B. neben dem NetBIOS-Namen noch die FQDN und IPv4-Adresse) nutzen kann für den selben Webserver. Noch wichtiger ist jedoch daß nur mit diesen SAN-Attributen Edge und Chrome überhaupt funktionieren. Damit habe ich nun das nächste angesprochene Problem mit diesen Browsern behoben.


Was ich nun noch dringend benötige ist: wie erstelle ich Computer-Zertifikate? Ich will in der Testumgebung mal eine 2FA ausprobieren und erhoffe mir hier eine kurze Hilfe oder einen Hinweis.
Das Problem bei mir ist: ich bin extrem unter Zeitdruck und muss liefern, zumindest in der Testumgebung zeigen das es funktioniert. Ich werde mir das Buch vom Reihnwerk-Verlag kaufen lassen (Firma zahlt), und werde es dann bei dem einführen in der Produktiven Umgebung zu rate ziehen. Aber jetzt muss ich in der Testumgebung ein wenig fuschen. Sprich: es irgendwie hinbekommen damit ich was vorzeigen kann.

Also: falls mir jemand sagen kann wie ich Computerzertifikate erstellen kann die als 2FA genutzt werden können, wäre das super. Wenn mir jemand eine Anleitung nennen kann wäre das noch das Beste...

Ich denke ich habe bereits Riesenschritte gemacht da die PKI steht und meine Webserver nun vertrauenswürdig sind und zwar in jeglichen Browsern... viel schwieriger mit Computerzertifikaten wird es ja wohl nicht werden, oder?
Dani
Dani 06.06.2022 aktualisiert um 21:58:22 Uhr
Goto Top
Moin,
Doch leider kann ich damit keine Zertifikate mit SAN-Attributen erstellen.
das liegt daran, dass die Standardvorlage (Out of the box) SAN nicht berücksichtigt. Darum wird bei PKIs immer dazu geraten für alle Anwendungenfälle eigene Vorlagen zu bauen, die sich auch an die Vorgaben des CA Browser Forums halten.

z.B. neben dem NetBIOS-Namen noch die FQDN und IPv4-Adresse
Erst genanntes ist nicht RFC konform.

Damit habe ich nun das nächste angesprochene Problem mit diesen Browsern behoben.
Das ist kein Problem, wenn man sich an das CA Browser Forum bzw. den Guides hält.

Was ich nun noch dringend benötige ist
Soso, was du nicht sagst. Ich benötige dirgend ein kaltes Bier...

wie erstelle ich Computer-Zertifikate?
Gut, aber die Frage ist für welchen Zweck? Denn wie du sicherlich weist, gibt es auch hier unterschiedliche Typen.
Gegenfrage: Worin liegt der unterschied zwischen einem Domänen-und Webserver-Zertifikat?

Ich will in der Testumgebung mal eine 2FA ausprobieren und erhoffe mir hier eine kurze Hilfe oder einen Hinweis.
Da kann ich dir leider nicht folgen. 2FA für ein Computer oder für einen Benutzer?

Das Problem bei mir ist: ich bin extrem unter Zeitdruck und muss liefern, zumindest in der Testumgebung zeigen das es funktioniert.
Wenn uns jetzt noch sagst du bist IT-Dienstleister, fall ich vom Stuhl.
Ansonsten gibt es folgende Möglichkeiten:
  • IT-Dienstleister beauftragen, der sich mit der Materie auskennt
  • Um mehr Zeit bitten um sich auf diese Aufgabe fokusieren

Ich werde mir das Buch vom Reihnwerk-Verlag kaufen lassen (Firma zahlt), und werde es dann bei dem einführen in der Produktiven Umgebung zu rate ziehen.
Warum meinen viele ITler immer, dass man sich hinterher in die Materie einlesen sollte und nicht vorher? Kann ich nach über 15 Jahren nach wie vor nicht nachvollziehen. Wie kann man so ein Vorhaben ohne Fachwissen und ohne einem groben Zeitplan für die verschiedenen Themen und Meilensteine. Vesteh ich nicht...

Wenn mir jemand eine Anleitung nennen kann wäre das noch das Beste...
Gerne, lass mir die Firmenanschrift zu kommen und ich erstelle einen Auftrag bei uns. Dann bekommst du die Lösung auf dem Tablett serviert. Sorry, aber wir sind in einem Forum. Das ist ein Geben und Nehmen. Sprich Eigeninitiative ist gefragt und das vermisse ich hier nach wie vor.


Gruß,
Dani
kaineanung
kaineanung 07.06.2022 um 00:06:35 Uhr
Goto Top
@Dani

Sorry, wirklich.
In meiner Verständniss was ein Forum ist, ist es so daß man Fragen zu seinem Problem stellen darf. Wer darauf antworten will antwortet, wer nicht will muss dies nicht tun. Du hast dies bisher gemacht und, glaube mir, wenn man anonym ein kaltes Bier ausgeben könnte, hätte ich es schon mehrfach getan. Mein Arbeitgeber hätte das übernommen und wenn nicht dann ich aus meiner eigenen Tasche.

Wenn ich dir 'falsch' rüberkomme, dann tut es mir leid. Mehr dazu sagen kann ich nicht denn alles wäre falsch und richtig gleichzeitig (je nach Blickwinkel). Also entweder hilfst du mir auch weiterhin (vielleicht kann man mit Kryptowährung ja mal ein Bier bezahlen und dann muss ich mir nur noch sowas besorgen) oder ignorierst meine Fragen.
Das Einzige was du damit bewirkt hast ist daß ich in Zukunft meine Vorgehensweise eventuell ändern kann. Für dieses aktuelle Thema ist der Zug dafür jedoch schon abgefahren..

Zurück zum Thema:

Meine Frage lautete "wie erstelle ich Computer-Zertifikate?" und du Fragtest darauf "für welchen Zweck?".
Ich habe es im folgenden Abschnitt erwähnt gehabt: Wegen der 2FA. Und du fragtest danach, weil du mir nicht folgen konntest, "2FA für Benutzer oder Computer"?
Gegenfrage: ist das überhaupt wichtig sofern es technisch möglich ist? Zertifikatsabfrage bleibt eine Zertifikatsabfrage, ob ich das Zertifikat des Users oder des Geräts abfrage ist doch für das Ergebnis erstmal irrlevent, oder? Bei uns kommen für die 2FA sowieso nur due User in Frage die auswärts arbeiten und somit ein Gerät zugeordnet haben.

Wenn mir jemand eine Anleitung nennen kann wäre das noch das Beste...<<
Gerne, lass mir die Firmenanschrift zu kommen und ich erstelle einen Auftrag bei uns

-> Das ist keine Anleitung... ich kann euch aber ein Auftrag für das Versenden einer Anleitung zukommen lassen ODER sogar für die Anleitung selber. Nenne mir nur noch den Preis und ich bräuchte eine Rechnung dafür ;)

Falls ich dir an der Einen oder Anderen Stelle 'vor den Kopf' gestossen habe -> sorry dafür. Ein Forum ist ein Geben und ein Nehmen (ich gehe davon aus du meinstest auch nur von 'Wissen'). Wenn ich Wissen angeeignet habe, hoffe ich auch davon irgendwann mal geben zu können....