Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zertifikate per http veröffentlichen

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

04.06.2018 um 12:03 Uhr, 1506 Aufrufe, 15 Kommentare

Moin,

ich möchte, dass meine Zertifizierungsstelle ihre Sperrlisten und Zertifikate über http veröffentlicht. Die http-Seite soll auch extern erreichbar sein.
Jetzt bin ich etwas am Grüblen, wie man das technisch realisieren kann. Entweder man nutzt den Provider, in diesem Fall 1und1 und nutzt dann diesen Webspace.
Oder man hat intern einen IIS laufen, der extern ereichbar ist.

Wie könnte man das am Besten lösen? Beim Provider 1und1 hätte ich jetzt das Problem, wie die Sperrlisten immer aktuell auf dem 1und1-Server hinkommen.
Beim internen IIS hätte ich das Problem nicht, jedoch erscheint mi diese Lösung unsicherer gegenüber der Lösung mit dem 1und1-Server.

Wie macht man das denn in der Praxis?
Mitglied: 136166
LÖSUNG 04.06.2018, aktualisiert um 13:30 Uhr
Zitat von RalphT:

Moin,

ich möchte, dass meine Zertifizierungsstelle ihre Sperrlisten und Zertifikate über http veröffentlicht. Die http-Seite soll auch extern erreichbar sein.
Sollte man gut planen denn eine CA hat besondere Sicherheitsbedürfnisse. Auch über HighAvailability sollte man sich Gedanken machen denn sind Sperrlisten nicht abrufbar, streiken manche Anwendungen AdHoc wie z.B. SSTP etc.
Jetzt bin ich etwas am Grüblen, wie man das technisch realisieren kann. Entweder man nutzt den Provider, in diesem Fall 1und1 und nutzt dann diesen Webspace.
Kann man, würde 1und1 sowas wichtiges aber nie anvertrauen.
Oder man hat intern einen IIS laufen, der extern ereichbar ist.
Aber nur in einer DMZ mit Applicationproxy und HA gesichert in doppelter Ausführung
Wie könnte man das am Besten lösen? Beim Provider 1und1 hätte ich jetzt das Problem, wie die Sperrlisten immer aktuell auf dem 1und1-Server hinkommen.
Per regelmäßigem FTP/SFTP Task kein Problem.
Beim internen IIS hätte ich das Problem nicht, jedoch erscheint mi diese Lösung unsicherer gegenüber der Lösung mit dem 1und1-Server.
Sicher ist wie sicher du es machst und haben willst.
Wie macht man das denn in der Praxis?
s. Kommentar oben.
Bitte warten ..
Mitglied: RalphT
04.06.2018 um 14:02 Uhr
Danke für deinen Kommentar.

Ich will jetzt nochmal abwarten, ob hier noch etwas kommt.

Aber so in etwa tendiere ich auch in gleiche Richtung, was du es schon geschrieben hast:

Dann doch lieber den Sicherheitsaufwand für den Webserver hier im Hause erhöhen, aber dafür bleiben die Sperrlisten und Zertifikate hier im Hause und ich habe das Problem mit der ständigen, immer zeitnahen Synchronisation mit dem externen Webspace nicht.
Bitte warten ..
Mitglied: elandy
LÖSUNG 04.06.2018 um 16:01 Uhr
Nur mit der in de AD veröffentlichten LDAP CRL zu fahren ist riskant, wenn irgendwann mal ein Fehler dort vorliegt.

Ich hab die CRL zusätzlich zu Certenroll an einem eigenem CRL Folder veröffentlicht und über CIFS in einem Webserver (intranet) eingebunden, der die Bereitstellung über http bewerkstelligt.

Zusätzlich auch über SFTP auf einen Webspace geladen, somit sind Zertifikate mehr oder weniger von aussen auch validierbar.
(Ja, ich weiss - OCSP...)
Ein Powershell Cmdlet kann dir das sicher übernehmen.
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 04.06.2018 um 20:21 Uhr
Hallo,

1. Würde ich über HTTPS einer Dritt-CA machen.
2. hier

Viele Grüße,

Christian
Bitte warten ..
Mitglied: 136166
04.06.2018, aktualisiert um 21:44 Uhr
Zitat von certifiedit.net:
1. Würde ich über HTTPS einer Dritt-CA machen.
Ja nee ist klar ....
Certificate revocation lists cannot be accessed over HTTPS
Bitte warten ..
Mitglied: certifiedit.net
04.06.2018 um 22:23 Uhr
Zitat von 136166:

Zitat von certifiedit.net:
1. Würde ich über HTTPS einer Dritt-CA machen.
Ja nee ist klar ....
> Certificate revocation lists cannot be accessed over HTTPS
> 

Quelle: 2009?

Quelle: 2014 - "is just a waste of ressources"

Quelle: 2018 - durch LE & Co nicht mehr.
Bitte warten ..
Mitglied: 136166
05.06.2018, aktualisiert um 08:31 Uhr

Quelle: 2009?

Quelle: 2014 - "is just a waste of ressources"

Quelle: 2018 - durch LE & Co nicht mehr.
Ja so ein Quark. Hier geht es um was ganz anderes!
Du scheinst den Thread nicht gelesen zu haben. CRL Distribution Points kann der MS Client nur per http nicht pet HTTPS herunterladen -> Henne Ei Problem!
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://social.technet.microsoft.com/Forums/windowsserver/en-US/f8a6a4f0 ...
Wie willst du also CRLs von einer SSL Seite runterladen dessen Zertifikat du ebenfalls prüfen musst und das dann wieder SSL geschützt wäre was ebenfalls geprüft werden muss??? Du siehst das würde in einem endlosen Loop enden. Deswegen darf die CRL selbst nicht SSL geschützt abrufbar sein. Kannst du ganz einfach mal selbst mit certutil versuchen.
Bitte warten ..
Mitglied: certifiedit.net
05.06.2018 um 08:38 Uhr
Richtig, deswegen achte auf meine Ausführung "Würde ich über HTTPS einer Dritt-CA machen."

Sprich, ein Zertifikat, dass auf einer ganz anderen Root-CA aufbaut. Du hast natürlich Recht, dass eine über eine sich selbst zertifizierende (ich nenn das Kind nun einfach so) HTTPS Verbindung so nicht tragbar wäre. Aber darauf wollte ich gar nicht hinaus. Von Windows hat er ferner gar nicht gesprochen.
Bitte warten ..
Mitglied: 136166
05.06.2018, aktualisiert um 08:44 Uhr
Würde ich über HTTPS einer Dritt-CA machen."
Du scheinst nicht verstehen zu wollen ...
Es gibt genügend Client- Bibliotheken die CRLs nicht über HTTPs abrufen können die Mehrzahl (Linux ist keine Ausnahme), deswegen funktioniert generell ein Bereitstellen der Listen über HTTPS nicht.
Das ist also Schwachsinn, außerdem ist http 1.1 Abruf sowieso schon deprecated, muss aber aus Kompatibilitätsgründen eben deswegen noch bereitgestellt werden.
Bitte warten ..
Mitglied: certifiedit.net
05.06.2018 um 08:52 Uhr
Danke, ich hab eben mal mit certutil etwas probiert, der Abruf per HTTPS scheint kein Problem zu sein. Weitergehende Tests überlass ich gerne dir.

(Achtung: Nicht über den CA Server, sondern von einem Drittsystem mit LE Zert.)
certutil - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 136166
05.06.2018, aktualisiert um 10:55 Uhr
Wenn die jeweilige Bibliothek das zulässt geht das natürlich (GUI Tools sowieso wenn sie nur die reine Verfügbarkeit prüfen), viele aber lassen es eben nicht zu deswegen veröffentlichen die meisten Anbieter aus Kompatibilitätsgründen eben über http und oscp. Da OCSP inzwischen so weit verbreitet ist rückt die Veröffentlichung über https in den Hintergrund (zu wenig Kompatibilität und keine offizellen Standardverfahren).
Bitte warten ..
Mitglied: certifiedit.net
05.06.2018, aktualisiert um 10:55 Uhr
Ist die unveränderte Windows... also, gehen tut es auch damit, womit es in definierter Vorgehensweise kein Schwachsinn ist.

Du meinst OCSP, nehme ich an?

Ob das so ist, wie du es nun darstellst, lass ich mal dahingestellt (auch in Hinsicht darauf, dass es entgegen deiner Aussage mit certutil klappt), wie vermutlich ersichtlich, war das nur eine kleine Fingerübung, nichts, worauf ich im weiteren viel Zeit setzen werde.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: 136166
05.06.2018, aktualisiert um 10:58 Uhr
Zitat von certifiedit.net:
Du meinst OCSP, nehme ich an?
Japp Tippfehler.
Ob das so ist, wie du es nun darstellst, lass ich mal dahingestellt
Jahrelange Erfahrung auch im programmiertechnischen Bereich. Nimm dir mal einen SSTP-Client, schon der fällt damit auf die Schnautze, es geht hier ja nicht nur um Browser sondern sämtliche auf SSL basierten Protokolle und eine CA sollte ja normalerweise so kompatibel wie möglich aufgebaut sein.
war das nur eine kleine Fingerübung
Die wohl nicht tief genug ging.
auch in Hinsicht darauf, dass es entgegen deiner Aussage mit certutil klappt
Nein das tu es hier nicht. Auf keinem System sowohl alt als auch auf den neuesten.

Naja Schuster bleib bei seinen Leisten.

Thread solved.
Bitte warten ..
Mitglied: RalphT
05.06.2018 um 11:22 Uhr
Gestern dachte ich, dass wars dann mit den beiden Antworten. Aber wie ich gesehen habe, gabs ja doch noch etwas mehr Input.

Ich bedanke mich für eure Antworten. Den Tipp mit der Dritt-CA muss ich mir erst in Ruhe durchlesen.
Bitte warten ..
Mitglied: Dani
06.06.2018, aktualisiert um 12:41 Uhr
Moin,
Den Tipp mit der Dritt-CA muss ich mir erst in Ruhe durchlesen.
das wird auf Dauer mehr Ärger machen als nutzen. Wir haben 5% von Anwendungen im Einsatz die es unterstützen könnten. Auf Grund der Mehrarbeit und des nutzen haben wir es nicht weiterverfolgt.

Oder man hat intern einen IIS laufen, der extern ereichbar ist.
Alternativ einen Linux Maschine in die DMZ stellen, einen Webserver wie lighttpd oder nginx installieren und dort hin alle x Minuten/Stunden die entsprechenden CRL-Dateien kopieren. Ist evtl. einfacher für dich umzusetzen, wie Application bzw. Reserve Proxy.

@elandy
Ich hab die CRL zusätzlich zu Certenroll an einem eigenem CRL Folder veröffentlicht und über CIFS in einem Webserver (intranet) eingebunden, der die Bereitstellung über http bewerkstelligt.
CIFS kannst in kleinen Netzwerken und ausschließlich intern nutzen. Aber setzt man es in Relation mit Security und Veröffentlichung im Internet ist es ein Security Issue. Zwei Webserver redudant auszulegen ist auch in diesem Fall einfacher.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Zertifikat Sicherheitshinweis
Frage von sk7519Exchange Server13 Kommentare

Hallo zusammen, ich habe aktuell ein Problem mit einer Sicherheitswarnung aufgrund eines abgelaufenen Zertifikats. Am Client ist Outlook 2016 ...

Windows Server
Unifi Zertifikat
Frage von Der.ITlerWindows Server5 Kommentare

Hallo Ihr, Ich habe den Unifi Controller auf einen von 8 Hyper-V Host ( pro Host 128GB RAM) insgesamt ...

Verschlüsselung & Zertifikate
Zertifikat Autoenrollment
Frage von flulukVerschlüsselung & Zertifikate5 Kommentare

Hallo, ich habe ein Problem beim ausrollen von Zertifikaten an User. Im Einsatz habe ich eine zweistufige PKI, bei ...

SAN, NAS, DAS
Synology Zertifikat
Frage von adrian138SAN, NAS, DAS5 Kommentare

Hallo zusammen, Wir haben einige Synos im Einsatz ca. 7stk. bei jedem Browserzugriff kommt die nervige "Diese Seite ist ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 1 TagHumor (lol)7 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 TagSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 2 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 2 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
gelöst Frage von Nickolas.GroheUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 729 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
Frage von hukimanLAN, WAN, Wireless29 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Firewall
Sophos UTM 9.6 Lets Encrypt Fehler
gelöst Frage von Pageman262Firewall13 Kommentare

Hallo liebe Profis, ich versuche auf einer Sophos UTM Let´s Encrypt zu aktivieren. Ich bekomme dabei diesen Fehler: 2019:11:13-11:15:20 ...