Zertifikate für Linux Webserver von Windows-CA - wie vorgehen?
Hallo zusammen,
ich habe hier ein paar Geräte und Linux-VMs die für die Web-Adminoberfläche Zertifikate von einer Windows-CA bekommen sollen. Wie ich einen Zertifikat-Request erzeuge, das Zertifikat ausstelle und in das passende Zertifikatformat umwandle weiß ich. Wobei ich hier eigentlich die Erzeugung des requests über Openssl präferiere (hab das mit certreq -new noch nicht so oft gemacht... wäre aber egal).
Aber wie sollte man das praktisch machen, damit der Ablauf möglichst sicher ist? Folgende Varianten sind aus meiner Sicht möglich:
Die erste und die letzte Variante hätten den Vorteil, das man die verschiedenen Anforderungen für die gesamte Infrastruktur auf einem zentralen System als Skript ablegen könnte, was die Administration vereinfacht. Oder ist das ein Nachteil? Variante 3 geht ja eh nicht für Switches, NAS & Co.
Prinzipiell bin ich mir auch nicht sicher, ob es einen Unterschied macht, die privaten Schlüssel & Zertifikatrequests für Nicht-Windows-Systeme mit openssl oder Windows certreq zu erzeugen.
Oder ist das alles egal?
Grüße
lcer
PS: Falls es eine Rolle spielt - Server 2012R2 AD, Debian und diverse managed Hardware
ich habe hier ein paar Geräte und Linux-VMs die für die Web-Adminoberfläche Zertifikate von einer Windows-CA bekommen sollen. Wie ich einen Zertifikat-Request erzeuge, das Zertifikat ausstelle und in das passende Zertifikatformat umwandle weiß ich. Wobei ich hier eigentlich die Erzeugung des requests über Openssl präferiere (hab das mit certreq -new noch nicht so oft gemacht... wäre aber egal).
Aber wie sollte man das praktisch machen, damit der Ablauf möglichst sicher ist? Folgende Varianten sind aus meiner Sicht möglich:
- Variante "Alles auf dem Server mit der Zertifzierungsstelle", Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
- Variante "Zertifikatrequest auf dem Webserver erzeugen", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
- Variante "Eigener Rechner für die Erzeugung der Certifikatsrequests", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
Die erste und die letzte Variante hätten den Vorteil, das man die verschiedenen Anforderungen für die gesamte Infrastruktur auf einem zentralen System als Skript ablegen könnte, was die Administration vereinfacht. Oder ist das ein Nachteil? Variante 3 geht ja eh nicht für Switches, NAS & Co.
Prinzipiell bin ich mir auch nicht sicher, ob es einen Unterschied macht, die privaten Schlüssel & Zertifikatrequests für Nicht-Windows-Systeme mit openssl oder Windows certreq zu erzeugen.
Oder ist das alles egal?
Grüße
lcer
PS: Falls es eine Rolle spielt - Server 2012R2 AD, Debian und diverse managed Hardware
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 585403
Url: https://administrator.de/forum/zertifikate-fuer-linux-webserver-von-windows-ca-wie-vorgehen-585403.html
Ausgedruckt am: 03.04.2025 um 15:04 Uhr
2 Kommentare
Neuester Kommentar
Möglichts sicher ist das der private Key immer auf dem Gerät verbleibt, und du nur das csr der Windows CA zum signieren gibst - also genaso wie in der freien Web-Wildbahn
Edit: Da die CA aber sowieso dir gehört, würde ich alles dort machen und einfach die fertigen Keys an die Geräte verteilen - weil es auch, wie du es sagst, eben auch die möglichkeit der automatisierung bietet
Edit: Da die CA aber sowieso dir gehört, würde ich alles dort machen und einfach die fertigen Keys an die Geräte verteilen - weil es auch, wie du es sagst, eben auch die möglichkeit der automatisierung bietet
Moin,
Gruß,
Dani
Variante "Zertifikatrequest auf dem Webserver erzeugen", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
bei erstellen eines CSR Requests ist der Private Schlüssel bereits auf dem Linux Server. Daher wird nur noch das eigentliche Zertifikat aus dem Webregistrierungsdienst der Zertitifizierungsstelle heruntergeladen und entsprechend plaziert.Gruß,
Dani