Zertifikat von Windows-CA für Linux-System erstellen
Hallo,
ich kämpfe hier seit Tagen mit einem (vielleicht auch Verständnis-)Problem:
Auf einem Windows Server 2008 R2 soll eine Zertifizierungsstelle laufen, die nicht AD-integriert sein muß.
Damit sollen für max 9 Maschinen Zertifikate ausgestellt werden, eine automatische Verteilung ist nicht notwendig.
Einige Maschinen sind Linux-Systeme, die ebenfalls ein Zertifikat erhalten sollen.
Ich habe die Rolle "AD-Zertifikatsdienste" und den Rollendienst "Zertifizierungsstelle" installiert. Typ: Eigenständig.
Diese CA hat auch ein Zertifikat, das sie selbstverständlich als gültig erachtet.
Wenn ich nun ein neues Zertifikat für die Linux-Appliance erstellen will und keine Zertifikatsvorlagen benutze, entsteht ein Zertifikat, bei dem Antragsteller und Aussteller gleich lauten (nämlich auf das Linux-System).
Windows vertraut diesem standardmäßig natürlich nicht, weil der Zertifizierungspfad nicht überprüft werden kann.
W2K8 schlägt vor, dieses Zertifikat in den Speicher "Stammzertifizierungsstellen" zu verschieben - dann wird diesem wohl auch vertraut.
Aber das ist sicher nicht Sinn der Sache.
Viel sinnvoller erscheint mir der Weg, das für Linux ausgestellte Zertifikat in den Speicher "Vertrauenswürdige Geräte" zu verschieben. Der Aussteller sollte logischerweise auf die Windows-CA lauten.
Frage:
- Hab ich die grundsätzliche Vorgehensweise richtig verstanden?
- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?
Viele Grüße,
Andreas
ich kämpfe hier seit Tagen mit einem (vielleicht auch Verständnis-)Problem:
Auf einem Windows Server 2008 R2 soll eine Zertifizierungsstelle laufen, die nicht AD-integriert sein muß.
Damit sollen für max 9 Maschinen Zertifikate ausgestellt werden, eine automatische Verteilung ist nicht notwendig.
Einige Maschinen sind Linux-Systeme, die ebenfalls ein Zertifikat erhalten sollen.
Ich habe die Rolle "AD-Zertifikatsdienste" und den Rollendienst "Zertifizierungsstelle" installiert. Typ: Eigenständig.
Diese CA hat auch ein Zertifikat, das sie selbstverständlich als gültig erachtet.
Wenn ich nun ein neues Zertifikat für die Linux-Appliance erstellen will und keine Zertifikatsvorlagen benutze, entsteht ein Zertifikat, bei dem Antragsteller und Aussteller gleich lauten (nämlich auf das Linux-System).
Windows vertraut diesem standardmäßig natürlich nicht, weil der Zertifizierungspfad nicht überprüft werden kann.
W2K8 schlägt vor, dieses Zertifikat in den Speicher "Stammzertifizierungsstellen" zu verschieben - dann wird diesem wohl auch vertraut.
Aber das ist sicher nicht Sinn der Sache.
Viel sinnvoller erscheint mir der Weg, das für Linux ausgestellte Zertifikat in den Speicher "Vertrauenswürdige Geräte" zu verschieben. Der Aussteller sollte logischerweise auf die Windows-CA lauten.
Frage:
- Hab ich die grundsätzliche Vorgehensweise richtig verstanden?
- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?
Viele Grüße,
Andreas
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 214668
Url: https://administrator.de/forum/zertifikat-von-windows-ca-fuer-linux-system-erstellen-214668.html
Ausgedruckt am: 03.05.2025 um 09:05 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
auf Linux basierend TinyCA2
auf Windows basierend xCA
Radius Server oder zur zusätzlichen Absicherung von VPNs mag das ja noch funktionieren und dafür sind auch die beiden
Programme die ich Dir weiter oben verlinkt habe.
Kommt eben immer darauf an was man denn nun damit machen möchte.
Niemand installiert einfach so ein Zertifikat und ist auch nicht eben mal so eigene CA (certification authority)
Gruß
Dobby
auf Linux basierend TinyCA2
auf Windows basierend xCA
- Kann ich ein solches Zertifikat (mit privatem Schlüssel) überhaupt ohne Zertifikatsvorlagen erstellen?
Du selbst bist dann die CA und zwar Deine eigene, also für den internen Gebrauch bei einem Zugangssystem wie einemRadius Server oder zur zusätzlichen Absicherung von VPNs mag das ja noch funktionieren und dafür sind auch die beiden
Programme die ich Dir weiter oben verlinkt habe.
Kommt eben immer darauf an was man denn nun damit machen möchte.
Niemand installiert einfach so ein Zertifikat und ist auch nicht eben mal so eigene CA (certification authority)
Gruß
Dobby
Hallo Dobby,
vielen Dank für die Links.
xCA werd ich mir mal genauer anschauen.
Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Gruß,
Andreas
vielen Dank für die Links.
xCA werd ich mir mal genauer anschauen.
Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Gruß,
Andreas
Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2 installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.
Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.
Gruß
Dobby
Hallo Dobby,
es geht nur um eine interne Zone. Mit den Zertifikaten wird nicht mit/übers Internet kommuniziert
Das Zertifikat dann auf einem Linux-System eingespielt - es wurde auch akzeptiert.
> Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?
Zertifikate auszustellen, bei der der Windows 2008-Server (die Root-CA) auch als Aussteller eingetragen ist. Allerdings möchte ich das Ganze ohne die AD-Integration auf dem Windows 2008 R2-Server versuchen. Da liegt die Krux: Wenn ich keine Zertifikatsvorlagen benutze, wird beim (auf dem Windows 2008 R2-Srv) erstellten Zertifikat der Antragsteller (Linux) auch als Aussteller (Linux) eingetragen. Dem Zertifikat wird automatisch nicht vertraut, solange es nicht im Speicher für Stammzertifizierungsstellen eingetragen ist.
Trag ich es aber dort ein, könnte auf dem Linux-System (wenn es die Funktion unterstützen würde) ebenfalls Zertifikate ausgestellt werden, es wäre quasi dann für den Windows 2008 R2 eine CA - das will ich nicht.
Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.
Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.
Um es kurz zu machen:
Der Windows 2008R2 soll (als RootCA) für einen Gegenpart ein Zertifikat erstellen und diesem auch vertrauen, ohne daß das AD davon behelligt wird.
Gruß,
Andreas
es geht nur um eine interne Zone. Mit den Zertifikaten wird nicht mit/übers Internet kommuniziert
Zitat von @108012:
> Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2
installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!
> Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".
Zertifikat auf einem Windows 2008 R2 erstellt mittels AD-integrierter "Unternehmens-Zertifizierungsstelle" und unter Benutzung von Zertifikatsvorlagen.> Aber versteh ich das richtig, daß, wenn ich die AD-Zertifizierungsstelle (also RootCA) auf dem Windows 2008 R2
installiert habe, definitiv keine Zertifikate für andere Systeme ausstellen kann?
Das wird Dir jemand anderes beantworten müssen!
> Zumindest ohne Zertifikatsvorlagen (weil damit hab ichs schon mal hinbekommen)?
Was und wie hast Du damit "hinbekommen".
Das Zertifikat dann auf einem Linux-System eingespielt - es wurde auch akzeptiert.
> Ich würde es nur gerne mit der Installation ohne die AD-Integration hinkriegen...
Was willst Du denn hinbekommen!?
Trag ich es aber dort ein, könnte auf dem Linux-System (wenn es die Funktion unterstützen würde) ebenfalls Zertifikate ausgestellt werden, es wäre quasi dann für den Windows 2008 R2 eine CA - das will ich nicht.
Man nimm diese Programme, und installiert diese auf einem System und dann kann man sich für interne Zwecke
Zertifikate ausstellen und zwar läuft das dann in der Regel so ab, das ein Zertifikat (Root) auf einem Server oder einer
Firewall bzw. einem Router installiert wird und die andere Seite als der Klient bekommt dann eine .pam Datei für Linux
und Mac basierende Klienten und eine .pem Datei für Windows basierende Klienten. Das war es dann auch schon.
Alles andere muss dann eben der Server, Die Firewall oder der Router erledigen.
Um es kurz zu machen:
Der Windows 2008R2 soll (als RootCA) für einen Gegenpart ein Zertifikat erstellen und diesem auch vertrauen, ohne daß das AD davon behelligt wird.
Gruß,
Andreas
Hallo,
danke erst mal für die Erläuterung, dass sollte doch dann aber mit dem Windows Tool xCA gut funktionieren.
Gruß
Dobby
P.S.
Notfalls nach dem integrieren des Zertifikates, das Zertifikat noch einmal anklicken und
auf Eigenschaften gehen und dann das Zertifikat als vertrauenswürdig kennzeichnen
und dann sollte das ganze doch funktionieren.
danke erst mal für die Erläuterung, dass sollte doch dann aber mit dem Windows Tool xCA gut funktionieren.
Gruß
Dobby
P.S.
Notfalls nach dem integrieren des Zertifikates, das Zertifikat noch einmal anklicken und
auf Eigenschaften gehen und dann das Zertifikat als vertrauenswürdig kennzeichnen
und dann sollte das ganze doch funktionieren.
Hallo Dobby,
besten Dank für Deine Hilfe.
Mit xCA hab ich das relativ problemlos und sozusagen fast auf Anhieb zum Laufen bekommen.
Genau das, was ich gesucht hab.
Vielen Dank!
Gruß,
Andreas
besten Dank für Deine Hilfe.
Mit xCA hab ich das relativ problemlos und sozusagen fast auf Anhieb zum Laufen bekommen.
Genau das, was ich gesucht hab.
Vielen Dank!
Gruß,
Andreas
