Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PKI-CA für Mobile Endgeräte

Mitglied: joerg

joerg (Level 2) - Jetzt verbinden

23.04.2019 um 08:21 Uhr, 265 Aufrufe, 4 Kommentare

Hallo zusammen,

ich bräuchte mal eure Erfahrung bzw eine Empfehlung.
Wir betreiben eine Windows-Domain mit einer Zweistufigen PKI.
Jetzt wollen wir über unser WLAN (zentral gemanaged) mobile Endgeräte in unser Netz lassen. Endgeräte können eine Basis von Android als auch IOS haben (Windows ist bereits über einen Radius im WLAN).
Ich würde die Geräte gerne mit einem Zertifikat ausstatten, am liebsten per automatischen Roll-Out über unser MDM. Jetzt hat sich die Frage gestellt ob wir diese Endgeräte über eine eigene CA mit einem Zertifikat versehen sollten oder ob wir die vorhandene AD-Integrierte nehmen.
Wie seht ihr das? Oder seht ihr hier noch eine "bessere und elegantere" Lösung nicht-Windows-Geräte ins interne Netz zu bringen?



Gruß
Mitglied: SlainteMhath
23.04.2019 um 08:56 Uhr
Moin,

ich würde für das (nicht genannte) MDM eine SubCA erstellen, dann kann das System "seine eigenen" Certs ausstellen.

lg,
Slainte
Bitte warten ..
Mitglied: joerg
23.04.2019 um 08:59 Uhr
Das MDM ist MobileIron.
Also würdest du bei der vorhandenen "Microsoft-PKI" eine SubCA anlegen, oder?
wie sieht siehst du das mit dem Thema Sicherheit? Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Gruß
Bitte warten ..
Mitglied: SlainteMhath
23.04.2019 um 09:22 Uhr
MobileIron
Das unterstützt doch sogar explizit eine SubCA, oder nicht?

Wie schätzt du das Risiko ein, wenn die CA komprimiert wurde?
Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;) Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Bitte warten ..
Mitglied: Dani
27.04.2019, aktualisiert um 11:40 Uhr
Moin,
ich kann Kollege @SlainteMhath grundsätzlich zustimmen.

Wenn dir der Private Key der SubCA abhanden kommt, stimmt was ganz anderes nicht ;)
Viele IT-Admins sind sich gar nicht klar drüber, was der Betrieb einer PKI bedeutet und was zu berücksichtigen ist.

Ansonsten dürfte es dann ausreichen an der Root-CA die SubCA zu revoken - dann sollten die Clients am Radius abprallen.
Richtig, setzt voraus dass die Sperrlisten gepflegt und erreichbar sind.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

Root CA erstellen und ein unterzertifikat auf Windows Maschine ohne PKI

gelöst Frage von fireskyerVerschlüsselung & Zertifikate6 Kommentare

Windows Server 2008 R2 Hallo miteinander, In Linux kann ich mit openssl auch ohne PKI ein Root SF CA ...

Netzwerkmanagement

VPN Mobil mit Mac Book Pro - Empfehlungen?

Frage von dodo-rNetzwerkmanagement20 Kommentare

Hallo! Ich möchte gerne mit meinem neuen Mac Book Pro von unterwegs eine VPN Verbindung nach Hause aufbauen, wo ...

Hyper-V

Kein Zugriff auf die PKI

gelöst Frage von OberhausenerHyper-V6 Kommentare

Hallo und guten Morgen, ich bin neu hier und möchte mich "superkurz" vorstellen. Ich war über 30 Jahre in ...

Verschlüsselung & Zertifikate

MS PKI Zertifikattemplate Error 0x80094800

Tipp von SnipesVerschlüsselung & Zertifikate2 Kommentare

Hallo liebe Admin-Gemeinde, dieser Tipp ist für alle, die wie ich einmal wieder auf dem Schlauch stehen! Als ich ...

Neue Wissensbeiträge
Outlook & Mail

Windows 10 Migration - Vergesst nicht die lokalen Postfächer!

Tipp von MarcoG vor 1 StundeOutlook & Mail

Wie man automatisiert PST Dateien finden kann ohne dabei auch nur einen Finger krumm zu machen erfährt Ihr in ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 2 StundenOutlook & Mail3 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Heiß diskutierte Inhalte
Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...

Linux Userverwaltung
Ist sudo auf Servern Pflicht?
gelöst Frage von lcer00Linux Userverwaltung13 Kommentare

Hallo zusammen, wir haben für einige Netzwerkdienste einige Debian Server. Auf diesen Servern arbeiten keine Benutzer im eigentlichen sinne. ...

Humor (lol)
Mitarbeiter meldet: VPN funktioniert nicht
gelöst Frage von Epixc0reHumor (lol)13 Kommentare

Servus, einer unserer Mitarbeiter meldete heute, sein VPN funktioniert Zuhause nicht, im LTE Netz aber schon. Per Teamviewer hin ...