2423392070

Jul 12, 2022, updated at Jul 13, 2022 (UTC)

1926

PKI Struktur (Topologie) und Strategie

Hallo Gemeinde,

könnt Ihr bitte eure PKI-Struktur und Strategie kurz erläutern? Wie generiert ihr Zertifikate, welche Art von Zertifikate setzt ihr ein. Macht ihr das nur für intern oder auch für das öffentliche Internet usw...

Ich möchte ein paar neue Eindrücke gewinnen.

Please also mark the comments that contributed to the solution of the article

Content-Key: 3322290341

Url: https://administrator.de/contentid/3322290341

Printed on: April 20, 2024 at 00:04 o'clock

9 Comments

Latest comment

Hi,
Du hast doch sicherlich einen konkreten Bedarf dafür? Vielleicht solltest Du diesen hier mal darlegen. Dann könnte man vielleicht Empfehlungen dazu geben.

E.

Alle internen Dienste, die sich per Zertifikat absichern lassen, sichern wird auch so ab. Meist Zertifikate für Webserver oder das Absichern der VPN-Verbindungen (BN, PW + pers. Zert). Dafür haben wir unsere eigene PKI. Da sich die meisten Zerts per Script ausrollen lassen, wird es bei uns mit OpenSSL gemacht. Du kannst aber auch XCA nehmen, wenn die Anzahl der Zerts überschaubar ist. Für Seiten, die von Extern erreichbar sein müssen, verwenden wir gekaufte Zerts.

Wir haben eine Enterprise PKI im AD integriert.
Geht über 4 Ebenen und hat knapp 70 Server.

Dennoch habe ich einer Diskussion beigewohnt, die Recht spannend war. Die Diskussion bezog sich allerdings auf unsere Unternehmungen.

Zitat von @2423392070:
Wir haben eine Enterprise PKI im AD integriert.
Geht über 4 Ebenen und hat knapp 70 Server.

Ihr habt eine PKI-Infrastruktur, welche von 70 Servern bereitgestellt wird?

Ja.
Sind Sogar 72, habe noch mal gezählt.

Moin,

könnt Ihr bitte eure PKI-Struktur und Strategie kurz erläutern?

zwei stufige PKI (Root, Intermediate) für interne, externe und veröffentliche Dienste, egal in welcher Form. Die Besonderheit ist, dass wir unsere PKI früher durch GlobalSign nun durch SwissSign valdieren haben lassen. Somit sind unsere Zertifikate auf allen Geräten gültig, ohne dass das Stammzertifikat separat auf dem jeweiligen Gerät installieren zu müssen.

Sind Sogar 72, habe noch mal gezählt.

Ihr hat eine PKI Infrastruktur mit 72 Servern oder hast du 72 die du mit Zertifikate von einer PKI versorgen möchtest?

Wie generiert ihr Zertifikate

Automatisch, manuell, über eigene Skripte.

welche Art von Zertifikate setzt ihr ein

Clientauthentifizierung, Serverauthentifizierung, S/MIME, Key Recovery Agent, BitLocker Network Unlock, etc...

Gruß,
Dani

Ja PKI mit 72 Server. Wird in Kürze deutlich anwachsen.

Unsere PKI beginnt unter anderem auch mit GlobalSign Zertifikaten aus den genannten Gründen.

Moin,
kommt mir ein bisschen viel vor... 72 Server für viele Endgeräte?

könnt Ihr bitte eure PKI-Struktur und Strategie kurz erläutern?

Sperrlisten Informationen werden sowohl über CRL als auch OCSP bereitgestellt. Für beide Verfahren gibt es dedizierte Server in zwei Rechenzentren. Die Listen/Dateien werden für die Endgeräte über unser CDN publiziert. So dass Anfragen nicht über den halben Erdball verschickt werden müssen.

Was interessiert dich sonst noch?

Gruß,
Dani

Nein, nach Rollen getrennt und Organisationseinheiten.
Unsere Entwicklung haben z. B. CAs für ihre Softwares, da kommt teilweise nur ein Typ Zertifikat raus

German solved General Encryption, Certificates Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment