Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Zertifizierungsstellen und Active Directory

Mitglied: ahnungsl00ser
Guten Morgen,

ich hab diesmal eine ganz selstame Frage:
Ich arbeite derzeit ein Projekt über VPN mit und ohne IPSec und allem möglichen Tralala aus.
Nun bin ich bei den Zertifikatsdiensten und den damit verbundenen Zertifizierungsstellen angelangt.
Für einige Zertifizierungsstellen ist Active Directory erforderlich, für andere wiederum nicht. Aber warum ist das so?
Warum braucht die "Organisation: Stammzertifizierungsstelle" AD und die "Eigenständig: Stammzertifizierungsstelle" nicht?
Ich komme einfach auf keinen vernünftigen Nenner um das ganze plausibel in die Dokumentation einzufügen.
Ich hoffe Ihr könnt mir da helfen...

Schönen Gruss,

Robert

Content-Key: 4060

Url: https://administrator.de/contentid/4060

Ausgedruckt am: 18.10.2021 um 18:10 Uhr

Mitglied: Samtpfote
Samtpfote 18.11.2004 um 10:03:00 Uhr
Goto Top
Bei der Stammzertifizierungsstelle Organisation werden die Zertifikate im Active Directory gepeichert.
Mitglied: ahnungsl00ser
ahnungsl00ser 18.11.2004 um 10:36:10 Uhr
Goto Top
dankeschön ! :) face-smile
Ich habe das ganze nun so formuliert
"Bei den beiden organisatorischen Zertifizierungsstellen werden die Zertifikate im AD gespeichert. Somit wird ein Backup gewährleistet, wenn zum Beispiel ein Server ausfällt und dieser sich bereits mit einem zweiten Server im Netz repliziert hat".
Mitglied: Samtpfote
Samtpfote 18.11.2004 um 11:10:05 Uhr
Goto Top
Du mußt aber aufpassen! Im Active Directory werden KEINE private Keys gespeichert; nur Zertifikate (das sind quasi die Beglaubigungen, daß ein Key einem, bestimmten User zugegordnet ist; ein Zertifikat ist nichts anderes als der durch die CA signierte öffentliche Schlüssel des Users)! Man kann eine Keyarchivierung in der CA aktivieren, eine Wiederherstellung ist aber nur durch einen (gesondert zu konfigurierenden) KeyRecovery Agent möglich. Grundsätzlich liegen die Private Keys nur im Zertifikatsspeicher des Computers/Users oder auf dessen Token (zB Smartcard); in einer Organisation würde ich auf jeden Fall eine Keyarchivierung vornehmen; da es zu gefährlich ist, wenn ein User Daten verschlüsselt und dann den Key zerstört.


Die Enterprise Zertifizierungsstelle kann nur Zerifikate an User und Computer innerhalb Deiner Domain ausgegeben werden; wenn Du etwa Zertifikate für den Zugriff externer Kunden an Dein Netz zB für IPSec ausgeben möchtest, muß das eine standalone Zertifizierungsstelle sein. (Die natürlich auch in einem Active Directory Environment laufen darf)

Enterprise CAs:
Best practice ist es außerdem, eine Enterprise Root Zertifizierungsstelle zu installieren, davon eine Subordinate Zertifizierungsstelle abhängig machen und dann die Root Zertifizierungsstelle OFFLINE zu nehmen. (aus Sicherheitsgründen, da der Private Key der Root Zertiifierungsstelle auf der Root Zertifizierungsstelle selbst gespeichert wird), Die subordinate CA stellt dann die Zertifikate aus.

Hope this helps
A.
Mitglied: Zenon123
Zenon123 03.04.2007 um 15:18:47 Uhr
Goto Top
Ich arbeite jetzt auch an einem PKI-Projekt und hab auch einmal eine Frage zu dem Thema.

Um ein Autoenrollment der Zertifikate in der Active Directory zu gewährleisten benötigt man ja eine Enterprise CA.
Allerdings hab ich durch Recherche im Internet 2 verschiedene Aussagen gefunden:

1. Eine Enterprise CA lässt sich nur auf einem "Windows Server 2003 Enterprise Edition" einrichten

2. Eine Enterprise CA lässt sich sowohl auf einen "Windos Server 2003 Standard Edition" als auch einem "Windows Server 2003 Enterprise Edition" einrichten.

Kann mir jemand sagen welche dieser Aussagen stimmt?
Mitglied: Samtpfote
Samtpfote 03.04.2007 um 16:39:20 Uhr
Goto Top
Auch mit der Standardedition möglich!
Pfoti
Heiß diskutierte Beiträge
question
Server mit zwei Interfaces und Standardgateways am selben Switch gelöst incisor2kVor 1 TagFrageNetzwerkgrundlagen12 Kommentare

Guten Morgen. Ich brauche bitte ein bisschen Hirnschmalz von euch, um ggf. Auswirkungen nachfolgendes Szenarios zu verstehen. Gestern ist mir etwas seltsames untergekommen. Kurz umrissen: ...

question
Windows 11 Upgrade nicht möglichben1300Vor 10 StundenFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
SFP+ auf RJ45 AdapterHasahirnVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo, bin neu hier und hoffe das richtige Unterforum mit meiner Frage erwischt zu haben. Falls das nicht der Fall sein sollte bitte entsprechend verschieben, ...

question
Anfänger benötigt Hilfe bei PDFsBarabanVor 23 StundenFrageMicrosoft8 Kommentare

Hallo zusammen, ich bin ein leidgeplagter Endnutzer der bei dem leidigen Thema PDFs zusammenführen Hilfe benötigt. Ich habe mir hier schon ein paar Beiträge durchgelesen ...

question
Langsamer Neustart DELL Inspiron 3501 - überarbeitet gelöst markaurelVor 1 TagFrageWindows 104 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab einen Dell Inspiron (3501) vor mir, welcher mit einem Intel i5, 16 GB RAM und einer ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 16 StundenFrageFestplatten, SSD, Raid7 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Spam in den PNserikroVor 9 StundenFrageAdministrator.de Feedback7 Kommentare

Moin, das habe ich heute in meinen PNs gefunden: Hallo, Schatz . Ich hoffe, es geht dir gut, mein Name ist Naomi Haider, ich habe ...

question
VPN per LTE? Hardware? Alternativen? gelöst HerrKohlVor 1 TagFrageRouter & Routing8 Kommentare

Hallo, ich stehe vor einem Problem, welches ich als Laie mit wenig Ahnung lösen möchte/muss. Kurz umrissen: ich betreibe in meinem Büro mehrere Endgeräte, die ...