lcer00
Goto Top

Zertifikate für Linux Webserver von Windows-CA - wie vorgehen?

Hallo zusammen,

ich habe hier ein paar Geräte und Linux-VMs die für die Web-Adminoberfläche Zertifikate von einer Windows-CA bekommen sollen. Wie ich einen Zertifikat-Request erzeuge, das Zertifikat ausstelle und in das passende Zertifikatformat umwandle weiß ich. Wobei ich hier eigentlich die Erzeugung des requests über Openssl präferiere (hab das mit certreq -new noch nicht so oft gemacht... wäre aber egal).

Aber wie sollte man das praktisch machen, damit der Ablauf möglichst sicher ist? Folgende Varianten sind aus meiner Sicht möglich:

  • Variante "Alles auf dem Server mit der Zertifzierungsstelle", Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
  • Variante "Zertifikatrequest auf dem Webserver erzeugen", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
  • Variante "Eigener Rechner für die Erzeugung der Certifikatsrequests", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner

Die erste und die letzte Variante hätten den Vorteil, das man die verschiedenen Anforderungen für die gesamte Infrastruktur auf einem zentralen System als Skript ablegen könnte, was die Administration vereinfacht. Oder ist das ein Nachteil? Variante 3 geht ja eh nicht für Switches, NAS & Co.

Prinzipiell bin ich mir auch nicht sicher, ob es einen Unterschied macht, die privaten Schlüssel & Zertifikatrequests für Nicht-Windows-Systeme mit openssl oder Windows certreq zu erzeugen.

Oder ist das alles egal?

Grüße

lcer

PS: Falls es eine Rolle spielt - Server 2012R2 AD, Debian und diverse managed Hardware

Content-Key: 585403

Url: https://administrator.de/contentid/585403

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: NetzwerkDude
NetzwerkDude 07.07.2020 aktualisiert um 14:16:34 Uhr
Goto Top
Möglichts sicher ist das der private Key immer auf dem Gerät verbleibt, und du nur das csr der Windows CA zum signieren gibst - also genaso wie in der freien Web-Wildbahn

Edit: Da die CA aber sowieso dir gehört, würde ich alles dort machen und einfach die fertigen Keys an die Geräte verteilen - weil es auch, wie du es sagst, eben auch die möglichkeit der automatisierung bietet
Mitglied: Dani
Dani 18.07.2020 um 20:18:09 Uhr
Goto Top
Moin,
Variante "Zertifikatrequest auf dem Webserver erzeugen", Transfer von Zertifikatanforderung auf den Windows-Zertifizierungsstellenserver und Transfer von Zertifikat und privatem Schlüssel auf den Zielrechner
bei erstellen eines CSR Requests ist der Private Schlüssel bereits auf dem Linux Server. Daher wird nur noch das eigentliche Zertifikat aus dem Webregistrierungsdienst der Zertitifizierungsstelle heruntergeladen und entsprechend plaziert.


Gruß,
Dani