apocalyps3
Goto Top

Zertifikat für Voice-Server erstellen

Guten Abend,

Ich bin im Thema Zertifikaten etc. ein Anfänger. Von daher verstehe ich hier vieles noch nicht und freue mich über ausführliche oder für andere - vielleicht banale - Erklärungen.

Folgendes ist gegeben:

- Windows Server 2019 DC mit CA Authority.
- Linux Ubuntu Server 24 LTS

Der Ubuntu Server dient als TK/SBC/CTI Server.
Dort wird die Software als Web-Adresse zur Verfügung gestellt. Die User können sich die Webadresse dann als WebApp / Verknüpfung speichern. Die Adresse wird mit dem DNS Namen aufgerufen (name.domäne.local).
Damit die Anwendung sauber funktioniert und die Kommunikation verschlüsselt ist, wird hier ein Zertifikat benötigt. Derzeit steht beim Aufruf immer noch "Nicht sicher" im Browser.

Der Domänencontroller hat bereits eine Zertifikatsverwaltung (CA).

Wenn ich das richtig verstehe muss jetzt auf dem Linux Server ein Zertifikats-Request erstellt werden. Wie mache ich das?

Dieses Request (die Datei) muss doch dann irgendwie mit der CA verkettet und am DC beantwortet werden. (Tasks -> "Submit new request"- hat leider alles nicht funktioniert).
Wie gehe ich hier vor?

Und wo muss ich das "fertige" Zertifikat dann ablegen, damit alle Benutzer in der Domäne das Zertifikat erkennen und als vertrauenswürdig einstufen?

Ich wäre über Unterstützung sehr dankbar!

Viele Grüße

Content-ID: 669309

Url: https://administrator.de/contentid/669309

Ausgedruckt am: 07.11.2024 um 01:11 Uhr

AK-47.2
AK-47.2 06.11.2024 aktualisiert um 19:23:14 Uhr
Goto Top
Hi,

Zuerst einmal gibt es hier verschiedene Wege, aber der Reihe nach.
Ich empfehle dir die CA nach Möglichkeit weg vom DC zu migrieren und sie im besten Fall zweistufig aufzubauen, da gibt es genug Anleitungen im Netz, Grundlagen müssen jedoch zuerst geschaffen werden, also lies dich ordentlich ein, CA ist ein komplexes Thema. Im besten Fall hast du am Ende eine Offline Root CA, die du als VM auf einen verschlüsselten Stick in einen Safe legst und nur bei Komprimittierung der Issuing CA in Betrieb nimmst.

Das ist aber schon anspruchsvoll. Um auf deine eigentliche Frage einzugehen.
Du kannst per OpenSSL oder auch anderen Tools einen CSR erstellen, hier muss unbedingt der FQDN als CN im Zertifikat auftauchen. Diesen CSR importierst du auf deine CA und lässt sie signieren. Am Ende erhält du das ausgestellte Zertifikat, das schlussendlich importiert werden muss.


Die Vertrauensstellung ergibt sich automatisch, die Windows CA ist in der AD registriert, die Clients sehen sie somit als vertrauenswürdig an, am Ende musst du das ausgestellte Zertifikat noch im richtigen Pfad ablegen, das sollte in Linux unter /etc/ssl/certs importiert werden, kann aber abhängig von der Applikation sein. Da wirst du mit Sicherheit im Netz fündig.

Am Ende musst du wahrscheinlich den Webserverdienst neu starten.

Das waren aus meiner Sicht grob die Schritte. Insbesondere die Erstellung der CSR geht über verschiedene Wege. Such dir da einfach raus, was für dich am einfachsten ist, geht auch mit Powershell, der Kommandozeile oder auch per Webrequest, sofern deine CA mit Webserver konfiguriert wurde.
Globetrotter
Globetrotter 06.11.2024 um 19:28:37 Uhr
Goto Top
- Windows Server 2019 DC mit CA Authority.
- Linux Ubuntu Server 24 LTS
Warum macht der DC "CA" ? - finde ich fatal - hier sollte eine separate CA gewählt werden..

Der Ubuntu Server dient als TK/SBC/CTI Server.

What?.. Was habt Ihr für eine Telefonanlage - wurde nicht erwähnt....

Dort wird die Software als Web-Adresse zur Verfügung gestellt. Die User können sich die Webadresse dann als WebApp / Verknüpfung speichern. Die Adresse wird mit dem DNS Namen aufgerufen (name.domäne.local).
Damit die Anwendung sauber funktioniert und die Kommunikation verschlüsselt ist, wird hier ein Zertifikat benötigt.

Derzeit steht beim Aufruf immer noch "Nicht sicher" im Browser.

Damit sie im Browser "sicher" erscheinen, mußt Du das Zertifikat in die "Vertrauenswürdigen Stammzertifizierungsstellen" auf jedem Client installieren (geht auch via GPO)

Der Domänencontroller hat bereits eine Zertifikatsverwaltung (CA).
Das war eine schlechte Idee - siehe oben..

Wenn ich das richtig verstehe muss jetzt auf dem Linux Server ein Zertifikats-Request erstellt werden. Wie mache ich das?

Ich denke fast, Du hast eine 3CX laufen - nehme da bitte das "offizielle" Zertifikat (*.on3cx.xxx)


Dieses Request (die Datei) muss doch dann irgendwie mit der CA verkettet und am DC beantwortet werden. (Tasks -> "Submit new request"- hat leider alles nicht funktioniert).
Wie gehe ich hier vor?

Was hast Du für eine TK? - Wo ist Dein Support?


Und wo muss ich das "fertige" Zertifikat dann ablegen, damit alle Benutzer in der Domäne das Zertifikat erkennen und als vertrauenswürdig einstufen?

Bitte beantworte die offenstehenden Fragen..

Ich wäre über Unterstützung sehr dankbar!

Viele Grüße

Ich helfe Dir gerne,

Gruss Globe!
AK-47.2
AK-47.2 06.11.2024 um 19:39:05 Uhr
Goto Top
Zitat von @Globetrotter:


Damit sie im Browser "sicher" erscheinen, mußt Du das Zertifikat in die "Vertrauenswürdigen Stammzertifizierungsstellen" auf jedem Client installieren (geht auch via GPO)

Das ist nicht nötig, wenn die CA Member der Domäne ist. Die ist dann automatisch vertrauenswürdig, das sorgt aber nicht dafür dass ein Aufruf per HTTP(s) mit einer sicheren Verbindung quittiert wird. Dafür muss der entsprechende Webserver sich mit einem vertrauenswürdigen Zertifikat ausweisen, welches von einer CA ausgestellt wird, denen die Clients trauen, GPO ist nur bei externen CAs notwendig.
Globetrotter
Globetrotter 06.11.2024 um 20:13:18 Uhr
Goto Top
Hi AK-XY ?
Kennst Du seine Umgebung ? - Ich nicht..

Gruss Globe!
AK-47.2
AK-47.2 06.11.2024 aktualisiert um 21:34:18 Uhr
Goto Top
Hi Globejackson,

du hast doch im vorherigen Post geschrieben, wie ich auch, dass es keine gute Idee ist die CA auf den DC zu legen. Der ist logischerweise Mitglied der Domäne und wird als CA in dieser registriert. Das ist der Kenntnisstand zu den bisherigen, mageren Informationen zum Netz und der Domäne.
Damit ist dieser für die Clients vertrauenswürdig.

Aber ich gebe dir recht, schaden kann die GPO nicht.
Globetrotter
Globetrotter 06.11.2024 um 21:41:11 Uhr
Goto Top
Aber ich gebe dir recht, schaden kann die GPO nicht.

AK-4711 ?
Dann sind wir uns einig - der TO muss liefern..

Gruss Globe!
Trinatrium
Trinatrium 06.11.2024 um 22:27:19 Uhr
Goto Top
Certmonger kann das ähnlich dem Autorenrollment von Windows Servern automatisieren.

Ansonsten müsste man wissen, wie der Webserver heißt.