fireskyer
Goto Top

Root CA erstellen und ein unterzertifikat auf Windows Maschine ohne PKI

Windows Server 2008 R2


Hallo miteinander,

In Linux kann ich mit openssl auch ohne PKI ein Root SF CA erstellen und dann von diesem mir ein Unterzertifikat ausstellen lassen.

Da ich aber nicht unbedingt die PKI Rolle auf unserem AD installieren will, frage ich mich ob das auch ohne PKI möglich ist unter Windows.

Weiss das jemand oder hat jemand dafür eine Lösung ?

grüße fireskyer

Content-ID: 306678

Url: https://administrator.de/forum/root-ca-erstellen-und-ein-unterzertifikat-auf-windows-maschine-ohne-pki-306678.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

Kraemer
Kraemer 09.06.2016 um 16:50:33 Uhr
Goto Top
Moin,

wenn du dich schon mit openssl auskennst, dann nutze das doch einfach.

Gruß Krämer
129413
Lösung 129413 09.06.2016 aktualisiert um 16:54:40 Uhr
Goto Top
XCA ist ein schönes portables Tool für alles rund um Zertfikate.

Gruß skybird

p.s. OpenSSL läuft auch unter Windows
Winary
Winary 09.06.2016 aktualisiert um 16:58:27 Uhr
Goto Top
Hallo,

von Microsoft gibt es makecert.exe https://msdn.microsoft.com/en-us/library/windows/desktop/aa386968%28v=vs ...

Ich würde aber eine vernünftige zweistufige PKI vorziehen. Das kostet je nach Umgebungsgröße kaum Leistung. Auf einen DC würde ich es nicht unbedingt drauf machen, aber signifikante Nachteile hat es nicht.

Edit: Damit meinte ich natürlich die ausstellende CA/Issuing CA. Die Root CA ist natürlich offline. Und ein Offline-DC ist nicht so toll face-big-smile

Grüße Winary
Chonta
Chonta 09.06.2016 um 17:17:26 Uhr
Goto Top
Hallo,

aber signifikante Nachteile hat es nicht
Wird von MS nicht empfolen.
Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.

Gruß

Chonta
Winary
Winary 10.06.2016 um 08:16:29 Uhr
Goto Top
Zitat von @Chonta:
Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.

Das ist richtig, deswegen würde ich es nicht machen, aber vielleicht ist das für den ein oder anderen verschmerzbar, da man das jetzt nicht soo häufig macht. face-smile
fireskyer
fireskyer 10.06.2016 um 10:32:06 Uhr
Goto Top
Danke an euch für die ganzen Antworten.

Ja ich weiss normalerweise ein Root-CA im Tresor und nur ein Unter-CA ins Netzwerk.

Aber wir haben ATM keine wirkliche PKI oder sonstige Policies in der Richtung und ich will es nur für Makros benutzen.

Und da denke ich da reicht die einfache Methode.

Thnks all

grüße fireskyer