timmer
Goto Top

Zertifikatsstruktur in kleinem Unternehmen

Hallo zusammen,

folgende Ausgangslage liegt vor:
- kleines Unternehmen (ca. 10 Mitarbeiter/Benutzer)
- SBS 2011 mit den bekannten Komponenten
- lokale TLD abcdomain.local
- pfsense Firewall mit direkter PPOE Einwahl, VPN Server und Squid3 Package (Reverse Proxy für OWA und ActiveSync)
- 1x feste IP mit DNS Eintrag remote.xyz.de
- OWA und ActiveSync sind über remote.xyz.de/owa etc. aus dem www erreichbar.

zusätzlich soll folgendes eingerichtet werden:
- 1x Debian/Ubuntu Server/VM für owncloud in einer DMZ, erreichbar unter remote.xyz.de/owncloud oder alternativ unter owncloud.xyz.de (den Sharepoint des SBS möchte ich vorerst nicht nutzen)
- 1x MDM Ubuntu Server/VM für bis zu 10 Smartphones, erreichbar unter remote.xyz.de/mdm oder alternativ unter eigener Subdomain mdm.xyz.de

Durch die Einführung der owncloud und vor allem der MDM Lösung bin ich gezwungen mich mit Zertifikaten sowie der Zertifikatsstruktur in meinem Netzwerk näher auseinanderzusetzen. Zum einen sollen die Benutzer nicht ständig mit Zertifikatswarnungen konfrontiert werden sobald sie OWA, die Smartphones, etc. nutzen und zum anderen möchte ich mein Wissen in diesem Bereich erweitern.
- Als einfachste Lösung sehe ich bisher den Kauf eines Zertifikats für die Domain remote.xyz.de mit "Domain Verified" oder alternativ "Organization Verified" welches ich sowohl in der pfsense (Reverse Proxy) als auch im SBS2011 (für den OWA bzw. ActiveSync Zugriff der Smartphones aus dem LAN) importiere.
- Als Alternative würde ich auch selbst signierte Zertifikate verwenden (Interesse und Lerneffekt). Dass dabei ein einmaliger Import der Stammzertifikate bzw. Verteilung auf die Endgeräte notwendig ist, ist mir klar.

So nun zu meinen Fragen:
- Welche Herangehensweise empfehlt ihr für die Integration der beiden zusätzlichen Server bzw. der Gesamtstruktur bezüglich des Aspekts Zertifikate/Zertifikatsstruktur?
-- Eigene Subdomain pro Dienst/Server?
-- Zertifikate kaufen oder selbst ausgeben?
- Falls selbstsignierte Zertifikate: Wie baue ich eine konsistente Zertifikatskette mit selbst signierten Zertifikaten innerhalb der beschriebenen Netzwerkstruktur auf (SBS, pfsense, etc.)?

Danke schon einmal im Voraus für alle Tipps und Anregungen.
Fehlende Informationen liefere ich natürlich gerne nach.

Grüße
timmer

Content-ID: 279906

Url: https://administrator.de/forum/zertifikatsstruktur-in-kleinem-unternehmen-279906.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

keine-ahnung
keine-ahnung 12.08.2015 um 10:16:26 Uhr
Goto Top
Moin,
was hast Du lokal für eine TLD?

LG, Thomas
timmer
timmer 12.08.2015 um 13:32:07 Uhr
Goto Top
Hallo Thomas,

stimmt das habe ich vergessen anzugeben. Lokal hatte ich beim Einrichten (leider noch) das Schema "abcdomain.local" verwendet.

Grüße
clSchak
Lösung clSchak 12.08.2015, aktualisiert am 24.09.2015 um 22:38:17 Uhr
Goto Top
Hi

der einfachste Weg, vor allem für deine lokale Umgebung, eine eigene Zertifizierungsstelle einzurichten, der SBS sollte das eigentlich können, dann musst nur noch das Root Cert an deine Clients verteilen. Die Dienste & Server beantragen dann ein Zertifikat bei deiner CA und die bindest dann ein auf deiner pFense usw. - da die Clients das Root Cert haben wird das auch keine Meldungen bei den Clients geben.

Ist einmal ein wenig Aufwand erspart aber einiges an "Frustarbeit" mit den Usern wegen "der IE meldet das ist nicht sicher" usw.

CA einrichten:
https://technet.microsoft.com/de-de/library/Cc731183.aspx

Cert Verteilung im AD:
http://www.msxfaq.de/signcrypt/usercert.htm
http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/
(du kannst über die GPO auch die Zertifikate deiner einzelnen Server verteilen, der Aufwand ist auf jeden Fall geringer face-wink )

Gruß
@clSchak
timmer
timmer 13.08.2015 um 10:11:13 Uhr
Goto Top
Hi clSchak,

danke dir für die Tipps und Links. Dann werde ich es mal mit der eigenen CA probieren.

Grüße
108012
108012 13.08.2015 um 10:53:53 Uhr
Goto Top
Hallo zusammen,

(den Sharepoint des SBS möchte ich vorerst nicht nutzen)
Überlege Dir das gut, denn wenn Du es schon so machst @clSchak, dann
nimm auch gleich den SharePoint mit hinzu und dann hast Du auch für den
das mit dem Zertifikat gleich erledigt.

Gruß
Dobby
timmer
timmer 13.08.2015 um 14:09:43 Uhr
Goto Top
Hallo Dobby,

das stimmt, dass damit die Arbeit hinsichtlich Zertifikaten natürlich geringer ist.
Die Intention eine owncloud Instanz anstatt des Sharepoints für den externen Dateiaustausch zu verwenden basiert auf der Überlegung, dass ich diese in eine DMZ setzen kann. Werde es mir aber nochmal durch den Kopf gehen lassen.

an alle:
Wie sollte ich es eurer Meinung nach mit den Domains handhaben? Eine Subdomain pro Server/Dienst und dann mehrere Zertifikate oder auch ein Wildcard Zertifikat bei meiner internen CA ausstellen, oder eine einzelne Subdomain für alle Server/Dienste (remote.xyz.de/<dienst>) und der Reverse Proxy auf der pfsense verteilt dann die Anfragen auf die einzelnen Server? Eine Aussage nach dem Motto "So wird es in der Regel gemacht, weil ..." wäre mir ganz lieb. Details kann ich mir dann noch anlesen.

Danke und Grüße
108012
108012 13.08.2015 um 15:05:26 Uhr
Goto Top
verwenden basiert auf der Überlegung, dass ich diese in eine DMZ setzen kann.
Ne klar das habe ich dann falsch verstanden dann nimm mal lieber die OwnCloud!!!

Gruß
Dobby
clSchak
clSchak 14.08.2015 um 13:41:55 Uhr
Goto Top
Hi

Child-Domains pro Dienst? ôÔ wie viel Arbeit willst du dir denn machen - mehr Aufwand kann man wohl nicht betreiben face-big-smile. Du hast eine feste IP Adresse und die Kontrolle über deine xyz.de Domain, setze dort einfach entsprechende DNS Einträge und bei dir einen Reverseproxy der die interne Serverzuweisung macht.
timmer
timmer 24.09.2015 um 22:40:56 Uhr
Goto Top
Etwas spät, aber besser als nie:

Vielen Dank für eure Unterstützung!