Zertifikatsstruktur in kleinem Unternehmen
Hallo zusammen,
folgende Ausgangslage liegt vor:
- kleines Unternehmen (ca. 10 Mitarbeiter/Benutzer)
- SBS 2011 mit den bekannten Komponenten
- lokale TLD abcdomain.local
- pfsense Firewall mit direkter PPOE Einwahl, VPN Server und Squid3 Package (Reverse Proxy für OWA und ActiveSync)
- 1x feste IP mit DNS Eintrag remote.xyz.de
- OWA und ActiveSync sind über remote.xyz.de/owa etc. aus dem www erreichbar.
zusätzlich soll folgendes eingerichtet werden:
- 1x Debian/Ubuntu Server/VM für owncloud in einer DMZ, erreichbar unter remote.xyz.de/owncloud oder alternativ unter owncloud.xyz.de (den Sharepoint des SBS möchte ich vorerst nicht nutzen)
- 1x MDM Ubuntu Server/VM für bis zu 10 Smartphones, erreichbar unter remote.xyz.de/mdm oder alternativ unter eigener Subdomain mdm.xyz.de
Durch die Einführung der owncloud und vor allem der MDM Lösung bin ich gezwungen mich mit Zertifikaten sowie der Zertifikatsstruktur in meinem Netzwerk näher auseinanderzusetzen. Zum einen sollen die Benutzer nicht ständig mit Zertifikatswarnungen konfrontiert werden sobald sie OWA, die Smartphones, etc. nutzen und zum anderen möchte ich mein Wissen in diesem Bereich erweitern.
- Als einfachste Lösung sehe ich bisher den Kauf eines Zertifikats für die Domain remote.xyz.de mit "Domain Verified" oder alternativ "Organization Verified" welches ich sowohl in der pfsense (Reverse Proxy) als auch im SBS2011 (für den OWA bzw. ActiveSync Zugriff der Smartphones aus dem LAN) importiere.
- Als Alternative würde ich auch selbst signierte Zertifikate verwenden (Interesse und Lerneffekt). Dass dabei ein einmaliger Import der Stammzertifikate bzw. Verteilung auf die Endgeräte notwendig ist, ist mir klar.
So nun zu meinen Fragen:
- Welche Herangehensweise empfehlt ihr für die Integration der beiden zusätzlichen Server bzw. der Gesamtstruktur bezüglich des Aspekts Zertifikate/Zertifikatsstruktur?
-- Eigene Subdomain pro Dienst/Server?
-- Zertifikate kaufen oder selbst ausgeben?
- Falls selbstsignierte Zertifikate: Wie baue ich eine konsistente Zertifikatskette mit selbst signierten Zertifikaten innerhalb der beschriebenen Netzwerkstruktur auf (SBS, pfsense, etc.)?
Danke schon einmal im Voraus für alle Tipps und Anregungen.
Fehlende Informationen liefere ich natürlich gerne nach.
Grüße
timmer
folgende Ausgangslage liegt vor:
- kleines Unternehmen (ca. 10 Mitarbeiter/Benutzer)
- SBS 2011 mit den bekannten Komponenten
- lokale TLD abcdomain.local
- pfsense Firewall mit direkter PPOE Einwahl, VPN Server und Squid3 Package (Reverse Proxy für OWA und ActiveSync)
- 1x feste IP mit DNS Eintrag remote.xyz.de
- OWA und ActiveSync sind über remote.xyz.de/owa etc. aus dem www erreichbar.
zusätzlich soll folgendes eingerichtet werden:
- 1x Debian/Ubuntu Server/VM für owncloud in einer DMZ, erreichbar unter remote.xyz.de/owncloud oder alternativ unter owncloud.xyz.de (den Sharepoint des SBS möchte ich vorerst nicht nutzen)
- 1x MDM Ubuntu Server/VM für bis zu 10 Smartphones, erreichbar unter remote.xyz.de/mdm oder alternativ unter eigener Subdomain mdm.xyz.de
Durch die Einführung der owncloud und vor allem der MDM Lösung bin ich gezwungen mich mit Zertifikaten sowie der Zertifikatsstruktur in meinem Netzwerk näher auseinanderzusetzen. Zum einen sollen die Benutzer nicht ständig mit Zertifikatswarnungen konfrontiert werden sobald sie OWA, die Smartphones, etc. nutzen und zum anderen möchte ich mein Wissen in diesem Bereich erweitern.
- Als einfachste Lösung sehe ich bisher den Kauf eines Zertifikats für die Domain remote.xyz.de mit "Domain Verified" oder alternativ "Organization Verified" welches ich sowohl in der pfsense (Reverse Proxy) als auch im SBS2011 (für den OWA bzw. ActiveSync Zugriff der Smartphones aus dem LAN) importiere.
- Als Alternative würde ich auch selbst signierte Zertifikate verwenden (Interesse und Lerneffekt). Dass dabei ein einmaliger Import der Stammzertifikate bzw. Verteilung auf die Endgeräte notwendig ist, ist mir klar.
So nun zu meinen Fragen:
- Welche Herangehensweise empfehlt ihr für die Integration der beiden zusätzlichen Server bzw. der Gesamtstruktur bezüglich des Aspekts Zertifikate/Zertifikatsstruktur?
-- Eigene Subdomain pro Dienst/Server?
-- Zertifikate kaufen oder selbst ausgeben?
- Falls selbstsignierte Zertifikate: Wie baue ich eine konsistente Zertifikatskette mit selbst signierten Zertifikaten innerhalb der beschriebenen Netzwerkstruktur auf (SBS, pfsense, etc.)?
Danke schon einmal im Voraus für alle Tipps und Anregungen.
Fehlende Informationen liefere ich natürlich gerne nach.
Grüße
timmer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 279906
Url: https://administrator.de/forum/zertifikatsstruktur-in-kleinem-unternehmen-279906.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
9 Kommentare
Neuester Kommentar
Hi
der einfachste Weg, vor allem für deine lokale Umgebung, eine eigene Zertifizierungsstelle einzurichten, der SBS sollte das eigentlich können, dann musst nur noch das Root Cert an deine Clients verteilen. Die Dienste & Server beantragen dann ein Zertifikat bei deiner CA und die bindest dann ein auf deiner pFense usw. - da die Clients das Root Cert haben wird das auch keine Meldungen bei den Clients geben.
Ist einmal ein wenig Aufwand erspart aber einiges an "Frustarbeit" mit den Usern wegen "der IE meldet das ist nicht sicher" usw.
CA einrichten:
https://technet.microsoft.com/de-de/library/Cc731183.aspx
Cert Verteilung im AD:
http://www.msxfaq.de/signcrypt/usercert.htm
http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/
(du kannst über die GPO auch die Zertifikate deiner einzelnen Server verteilen, der Aufwand ist auf jeden Fall geringer )
Gruß
@clSchak
der einfachste Weg, vor allem für deine lokale Umgebung, eine eigene Zertifizierungsstelle einzurichten, der SBS sollte das eigentlich können, dann musst nur noch das Root Cert an deine Clients verteilen. Die Dienste & Server beantragen dann ein Zertifikat bei deiner CA und die bindest dann ein auf deiner pFense usw. - da die Clients das Root Cert haben wird das auch keine Meldungen bei den Clients geben.
Ist einmal ein wenig Aufwand erspart aber einiges an "Frustarbeit" mit den Usern wegen "der IE meldet das ist nicht sicher" usw.
CA einrichten:
https://technet.microsoft.com/de-de/library/Cc731183.aspx
Cert Verteilung im AD:
http://www.msxfaq.de/signcrypt/usercert.htm
http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/
(du kannst über die GPO auch die Zertifikate deiner einzelnen Server verteilen, der Aufwand ist auf jeden Fall geringer )
Gruß
@clSchak
Hallo zusammen,
nimm auch gleich den SharePoint mit hinzu und dann hast Du auch für den
das mit dem Zertifikat gleich erledigt.
Gruß
Dobby
(den Sharepoint des SBS möchte ich vorerst nicht nutzen)
Überlege Dir das gut, denn wenn Du es schon so machst @clSchak, dannnimm auch gleich den SharePoint mit hinzu und dann hast Du auch für den
das mit dem Zertifikat gleich erledigt.
Gruß
Dobby
verwenden basiert auf der Überlegung, dass ich diese in eine DMZ setzen kann.
Ne klar das habe ich dann falsch verstanden dann nimm mal lieber die OwnCloud!!!Gruß
Dobby
Hi
Child-Domains pro Dienst? ôÔ wie viel Arbeit willst du dir denn machen - mehr Aufwand kann man wohl nicht betreiben . Du hast eine feste IP Adresse und die Kontrolle über deine xyz.de Domain, setze dort einfach entsprechende DNS Einträge und bei dir einen Reverseproxy der die interne Serverzuweisung macht.
Child-Domains pro Dienst? ôÔ wie viel Arbeit willst du dir denn machen - mehr Aufwand kann man wohl nicht betreiben . Du hast eine feste IP Adresse und die Kontrolle über deine xyz.de Domain, setze dort einfach entsprechende DNS Einträge und bei dir einen Reverseproxy der die interne Serverzuweisung macht.