VPN und eigene Zertifizierungssstelle
Hallo ich habe eine Verständnisfrage.
Ich habe in Virtual Labs eine Testumgebung eingerichtet. Ziel ist es mit einem Windows Client auf einen Server 2012 per VPN SSTP zuzugreifen. ich habe eine Stammzertifizierungsstelle und eine untergeordnete Enterprise Zertifizierungsstelle eingerichtet. Jetzt will ich per VPN SSTP auf die untergeordnete Zertifizierungsstelle zugreifen.
Jetzt meine Verständnisfrage. Ich habe die Stammzertifizierunggstelle eingerichtet. ok. Die Sub CA auf einem anderen Server 2012 eingerichtet. Die Stamm CA hat auch schon ein Zertifikat an die SUB CA ausgestellt..
Was ist jetzt der nächste Schritt. Muss ich das Zertifikat noch importieren? Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Ich habe in Virtual Labs eine Testumgebung eingerichtet. Ziel ist es mit einem Windows Client auf einen Server 2012 per VPN SSTP zuzugreifen. ich habe eine Stammzertifizierungsstelle und eine untergeordnete Enterprise Zertifizierungsstelle eingerichtet. Jetzt will ich per VPN SSTP auf die untergeordnete Zertifizierungsstelle zugreifen.
Jetzt meine Verständnisfrage. Ich habe die Stammzertifizierunggstelle eingerichtet. ok. Die Sub CA auf einem anderen Server 2012 eingerichtet. Die Stamm CA hat auch schon ein Zertifikat an die SUB CA ausgestellt..
Was ist jetzt der nächste Schritt. Muss ich das Zertifikat noch importieren? Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239614
Url: https://administrator.de/contentid/239614
Ausgedruckt am: 05.11.2024 um 12:11 Uhr
10 Kommentare
Neuester Kommentar
http://www.fabian-niesen.de/betriebssysteme/windows/ws2012/sstp-unter-w ...
Versuchs mal damit...
Gruß
Versuchs mal damit...
Gruß
Hallo,
Warum du da eine untergeordnete Zertifizierungsstelle haben willst ist mir erst mal ein Rätsel.
Alles eine Domain, oder mit Subdomain?
Aber soweit ich das noch in Erinnerung habe, ist schon ne weile her und war nur ein 2008er, musst du das Zertifizierungsstellenzertifikat am Client bekannt machen, btw die kpl. Zertifizierungskette in deinem fall. Du bekommst es über den Browser auf der Seite https://server/certsrv. Installieren kannst du es manuell oder per GPO.
Wenn du dann das Benutzerzertifikat für die Anmeldung über die Management Console ansiehst sollte in der Zertifikatskette dann kein Fehler mehr angezeigt werden wenn du alles richtig gemacht hast.
Warum du da eine untergeordnete Zertifizierungsstelle haben willst ist mir erst mal ein Rätsel.
Alles eine Domain, oder mit Subdomain?
Aber soweit ich das noch in Erinnerung habe, ist schon ne weile her und war nur ein 2008er, musst du das Zertifizierungsstellenzertifikat am Client bekannt machen, btw die kpl. Zertifizierungskette in deinem fall. Du bekommst es über den Browser auf der Seite https://server/certsrv. Installieren kannst du es manuell oder per GPO.
Wenn du dann das Benutzerzertifikat für die Anmeldung über die Management Console ansiehst sollte in der Zertifikatskette dann kein Fehler mehr angezeigt werden wenn du alles richtig gemacht hast.
Guten Abend,
Hier zwei Anleitungen:
http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-w ...
http://marcowue.wordpress.com/2014/01/16/abhilfe-sstp-vpn-verbindung-fu ...
Grüße,
Dani
Ich will eine untergeordnete Stelle haben weil man des normal so macht damit man die Stammzertifizierungsstelle
Das machen nicht viele Unternehmen so. Der Aufwand muss im Verhältnis stehen. Seit es drum...Dort kommt aber immer die meldung das das zertifikat von der Stammzertifizierungsstelle abgelehnt worden ist
Passt die CA-Kette im Zertifikat noch? etwas rot markiert?Hier zwei Anleitungen:
http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-w ...
http://marcowue.wordpress.com/2014/01/16/abhilfe-sstp-vpn-verbindung-fu ...
Grüße,
Dani
Hallo,
und dann Klientzertifikate.
- per GPO
- Manuell
etwas testen möchte. Allerdings würde ich in einem MS Windows Server gestützten
Netzwerk eigentlich immer zwei Wege gehen wollen.
- Separater Radius Server für WLAN Klienten
- LDAP für für Kabel gebundene Klienten
Den Radius Server bzw. seine Konfiguration kann man dann auch ganz schnell mittels
NT Rad Ping "Tool" testen, ob alles wirklich richtig funktioniert wie man es erwartet
was natürlich in Deiner Situation ein echter zeitlicher Vorteil wäre.
Und auf der anderen Seite "haut" einem ein Radius Server zusammen mit Zertifikaten
und aktivierter Verschlüsselung mitunter einen richtigen "Schlag" auf bzw. in das Netzwerk.
So das es dann merklich (visuell) langsamer läuft.
auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen
und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss
bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt
werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Gruß
Dobby
Was ist jetzt der nächste Schritt.
Tja ich würde ja schlicht und einfach sagen Du testest den ganzen Aufbau einmal durch.Muss ich das Zertifikat noch importieren?
Nur eines, ich denke Du erstellst eine CA und dann erstellst Du ein RootCA Zertifikatund dann Klientzertifikate.
Exportieren? Wie bekommt man windows client nun das Zertifikiat??
Je nach Aufbau und Möglichkeiten,- per GPO
- Manuell
wie gesagt ist alles nur ein Test setup nichts für komerziellen Bereich.
Ok, das macht ja auch jeder mit sich selber ab, waser und warum er irgendetwas testen möchte. Allerdings würde ich in einem MS Windows Server gestützten
Netzwerk eigentlich immer zwei Wege gehen wollen.
- Separater Radius Server für WLAN Klienten
- LDAP für für Kabel gebundene Klienten
Den Radius Server bzw. seine Konfiguration kann man dann auch ganz schnell mittels
NT Rad Ping "Tool" testen, ob alles wirklich richtig funktioniert wie man es erwartet
was natürlich in Deiner Situation ein echter zeitlicher Vorteil wäre.
Und auf der anderen Seite "haut" einem ein Radius Server zusammen mit Zertifikaten
und aktivierter Verschlüsselung mitunter einen richtigen "Schlag" auf bzw. in das Netzwerk.
So das es dann merklich (visuell) langsamer läuft.
weil man des normal so macht damit man die Stammzertifizierungsstelle offline nehmen kann
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründenauch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen
und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss
bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt
werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Gruß
Dobby
@108012
Grüße,
Dani
Auch hier hätte ich einen Einwand, wenn mal ein Zertifikat abhanden kommt, aus was für Gründen auch immer, sollte man es sofort als gesperrt in der CRL (Certificate Revocation List) eintragen und die sollte dann natürlich hauch "online" bzw. zu erreichen sein, und bei Deinem Setup muss bzw. sollte dann natürlich hauch in beiden Zertifizierungsstellen das Zertifikat in der CRL gesperrt werden. Das bedeutet dann aber auch doppelte Pflege für Dich.
Der Klu an dem Design ist, dass du eben keine zwei CRL pflegen musst. Denn die RootCA kennt die Zertifikate der Sub-CA gar nicht und muss Sie auch nicht. Das Ausschalten der RootCA hat eher mit der Sicherheit zu tun. Somit kann deine RootCA nie kompromitiert werden.Was natürlich der maximale Schutz für sie ist.Grüße,
Dani