Suche Hintergrundwissen zu Zertifikaten in einer W2k3 R2 Active Directory

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

20.10.2011 um 17:03 Uhr, 3397 Aufrufe, 5 Kommentare

Hallo,

unter Windows, in meinen Fall W2k3 R2 Active Directory, ist das verwenden von Zertifikaten möglich. Mir fehlt leider Hintergrundwissen zu den Thema und so stelle ich folgende Fragen.



Kennt Ihr eine vernüftige Webseite, die den Sinn und die Verwendung von Zertifikaten in einer Windows Domäne erklärt?

Wozu verwendet man Zertifikate in einer Domäne?

Welche Rolle spielt eine Zertifizierungsstelle, welche auf einen Domäncontroller installiert ist?



Vielen Dank,
Mexx
Mitglied: funnysandmann
21.10.2011 um 10:05 Uhr
Morgen,

also eine super seite ist für alles was so los ist mit Windows Server: http://www.msxfaq.de/signcrypt/index.htm

Nun zur 2. Frage Zertifizierungsstelle:

Die Zertifizierungsstelle bestizt einfach nur dein eigenes Root Zertifikat. Sie signiert und erstellt neue Zertifikate und sperrt sie die verwendung auch wieder. Das heißt sie ist das Kernstück. Wenn du die ZS neu machen musst, dann musst du auch alle Zertifikate neu machen.

Aber wied gesagt schau dir die Website mal an.

lg

PS: ach ja wofür du es brauchst? Z.B. für HTTPS Zugang zu deinem Server, für RADIUS Server für IP-Adressen vergabe, für VPN Tunnel,etc.
Bitte warten ..
Mitglied: mexx
21.10.2011 um 11:10 Uhr
Ich arbeite in einer neuen Umgebung und der vorhergehende Admin ist, sagen wir mal, einfach so, ausgefallen. Vieles ist mir bekannt, aber hier wurde auch stark mit Zertifikaten gearbeitet. Der Domaincontroller scheint zwei Stammzertifikate zu besitzen und es wurden auch eine Reihe anderer Zertifikate ausgestellt. Es gibt auch zahlreiche GPOs, in denen Zertifikate verteilt werden. Ich gestehe mir selber ein, dass ich das Thema Zertifikate nicht so gut kenne, dass ich die bestehende Situation vollständig beurteilen kann und suche daher Infos.

Es beginnt schon mit der Übersicht in den Ausgestellten Zertifikaten. Ich sehe dort eine Vielzahl von Benutzerzertifikaten, webserver, Domäncontroller, Basis-EFS und Zertifizierungsstellenaustausch. Im groben kann ich durch den Namen den Sinn beurteilen, aber würde ich die Zertifizierung neu aufsetzten wollen, weiß ich nicht, welche ausgestellten Zertifikate nun eine Rolle spielen.

Weiterhin lese ich viel über öffentliche Schlüssel, geheime Schlüssel usw.. Aber wo werden die definiert? Sicherlich beim Erstellen der Zertifizierungsstelle? Kann ich die einsehen? Das Stammzertifizierungstellenzertifikat wird nicht per GPO verteilt. Sollte es das nicht, oder passiert das automatisch?

Du siehst, ich habe harte Fragen und keine Antworten.
Bitte warten ..
Mitglied: funnysandmann
21.10.2011 um 12:14 Uhr
Nein du hast mich falsch Verstanden lösche um Gottes Willen nicht die Zertifizierungsstelle oder das Zertifikat dafür!


es ist nur so, der Client bekommt das Zertifikat von der Zertifizierungstelle als Stammzertifikat und dann weiß er das das Zertifikat von dem Server oder User in Ordnung ist. Er checkt ausßerdem die Revoke Url um nachzusehen ob ein Zertiifkat vielleicht schon abgelaufen oder zurückgezogen wurde.

ich schicke dir heute abend mal nen Link zu ner Präsentation die ich im Internet gefunden habe. Finde sie gerade nicht.

lg
Bitte warten ..
Mitglied: mexx
21.10.2011 um 12:34 Uhr
Zitat von @funnysandmann:
es ist nur so, der Client bekommt das Zertifikat von der Zertifizierungstelle als Stammzertifikat und dann weiß er das das
Zertifikat von dem Server oder User in Ordnung ist.

Das würde ich nach meinen Verständnis aders ausdrücken.

Der Client bekommt das Zertifikat von der Zertifizierungsstelle als Stammzertifikat und dann weiß er das folge Zertifikate von dieser Zertififizierungststelle vertrauenswürdig sind. Stimmst Du mir da zu?

Aber wie erhalten die Clients das Stammzertifikat?
Bitte warten ..
Mitglied: mexx
21.10.2011 um 14:36 Uhr
Ich habe eine Quelle gefunden: http://technet.microsoft.com/de-de/library/cc757327(WS.10).aspx
Weiterhin kann man die Hilfe einer installierten Zertifizierungsstelle aufrufen und viel darüber lesen.
Leider schließt das gelesene nicht alle Lücken. Besonders konzeptionell fehlt mir das Verständnis. Welche Gründe kann es für eine Zertifizierungsstelle in einen Active Directory geben? Welche Einsatzmöglichkeiten gibt es? Wie ist die Praxis? Wo erhöht genau die Sicherheit? Hat jemand Einsatzbeispiele? Und und und...
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Outdoor LAN sichern mit oder ohne Fritzbox Verständnis Frage
bluescreenVor 1 TagFrageHardware17 Kommentare

Hallo zusammen, ich habe die letzten Stunden schon viel hier gelesen, stehe aber ein wenig auf dem Schlauch, wie und wo ich weiter suchen ...

Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 1 TagFrageWindows 1015 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Windows Netzwerk
Telefone im Netzwerk bekannt machen
jannik0205Vor 1 TagFrageWindows Netzwerk13 Kommentare

Hallo Zusammen, In unserem Unternehmen gibt es eine Telefonanlage mit eigenem Telefonienetz (192.168.5.X). Schließe ich ein Telefon an eine Netzwerkdose, bekommt es vom DHCP- ...

Netzwerkgrundlagen
Frage zu LWL Kabel
gelöst NominisVor 1 TagFrageNetzwerkgrundlagen6 Kommentare

Hallo, ich habe nur mal eine kurze Verständnisfrage. Es geht um die Verbindung bzw. Anbindung von Switches (Cisco 48Port 10/100/1000 MBit mit 2 SFP+ ...

Windows Netzwerk
WTS-Anmeldung per RDP am Wochenende verbieten?
MuM2810Vor 1 TagFrageWindows Netzwerk8 Kommentare

Hallo zusammen, wir haben bei uns Windows Server 2016 mit 2 Terminal Servern im Einsatz. Wie aus dem Titel schon ersichtlich ist, ist bei ...

Microsoft
Microsoft Teams - "bitte wenden Sie sich an (. . .) um Teams für "domäne" zu aktivieren" nur bei einem Benutzer
eastfrisianVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen! Wir haben bei uns Teams als Hybridversion eingeführt (Exchange on premise, AD-Sync in die Cloud) und nutzen Teams über das basic-Abonnement. Während ...

Netzwerke
Keine Versand von Mails von der Firmen zur Privaten E-Mailadresse möglich
blaub33r3Vor 1 TagFrageNetzwerke6 Kommentare

Hallo zusammen, wieso kommt der User keine Mails mehr? Der Sender wird als Spamer betrachtet? 1. Mailing an andere Privaten Adressen / Firmen Adressen ...

Microsoft
Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys
kgbornVor 10 StundenInformationMicrosoft2 Kommentare

Nur zu Info für die Käufer der eBay-Schnäppchen - neuer Fall Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys