Root CA erstellen und ein unterzertifikat auf Windows Maschine ohne PKI
Windows Server 2008 R2
Hallo miteinander,
In Linux kann ich mit openssl auch ohne PKI ein Root SF CA erstellen und dann von diesem mir ein Unterzertifikat ausstellen lassen.
Da ich aber nicht unbedingt die PKI Rolle auf unserem AD installieren will, frage ich mich ob das auch ohne PKI möglich ist unter Windows.
Weiss das jemand oder hat jemand dafür eine Lösung ?
grüße fireskyer
Hallo miteinander,
In Linux kann ich mit openssl auch ohne PKI ein Root SF CA erstellen und dann von diesem mir ein Unterzertifikat ausstellen lassen.
Da ich aber nicht unbedingt die PKI Rolle auf unserem AD installieren will, frage ich mich ob das auch ohne PKI möglich ist unter Windows.
Weiss das jemand oder hat jemand dafür eine Lösung ?
grüße fireskyer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 306678
Url: https://administrator.de/forum/root-ca-erstellen-und-ein-unterzertifikat-auf-windows-maschine-ohne-pki-306678.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
6 Kommentare
Neuester Kommentar
XCA ist ein schönes portables Tool für alles rund um Zertfikate.
Gruß skybird
p.s. OpenSSL läuft auch unter Windows
Gruß skybird
p.s. OpenSSL läuft auch unter Windows
Hallo,
von Microsoft gibt es makecert.exe https://msdn.microsoft.com/en-us/library/windows/desktop/aa386968%28v=vs ...
Ich würde aber eine vernünftige zweistufige PKI vorziehen. Das kostet je nach Umgebungsgröße kaum Leistung. Auf einen DC würde ich es nicht unbedingt drauf machen, aber signifikante Nachteile hat es nicht.
Edit: Damit meinte ich natürlich die ausstellende CA/Issuing CA. Die Root CA ist natürlich offline. Und ein Offline-DC ist nicht so toll
Grüße Winary
von Microsoft gibt es makecert.exe https://msdn.microsoft.com/en-us/library/windows/desktop/aa386968%28v=vs ...
Ich würde aber eine vernünftige zweistufige PKI vorziehen. Das kostet je nach Umgebungsgröße kaum Leistung. Auf einen DC würde ich es nicht unbedingt drauf machen, aber signifikante Nachteile hat es nicht.
Edit: Damit meinte ich natürlich die ausstellende CA/Issuing CA. Die Root CA ist natürlich offline. Und ein Offline-DC ist nicht so toll
Grüße Winary
Zitat von @Chonta:
Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.
Man kann den DC nicht runterstufen, solange die CA installiert ist.
Der DC kann nicht umbenannt werden.
Das ist richtig, deswegen würde ich es nicht machen, aber vielleicht ist das für den ein oder anderen verschmerzbar, da man das jetzt nicht soo häufig macht.