hm7user
Goto Top

Zusätzliche CA mit Windows Server 2008 (R2) realisieren?

Hallo Leuts! Eine zusätliche CA soll erstellt werden.

Zusätzliche CA mit Windows Server 2008 (R2) realisieren?

Die AD-Zertifikatsdienste-Rolle soll angeblich ermöglichen, mehrere Zertifizierungsstellen (CAs / Stammzertifizierungsstellen) zu verwalten.

Ein neuer (zweiter) Rollendienst "Zertifizierungsstelle" läßt sich nicht hinzufügen.

In "Zertifikatsvorlagen" der "Unternehmens-PKI" habe ich eine Vorlage "Stammzertifizierungssztelle" gefunden, das war aber das einzige.

Ich finde, verflixt nochmal, nicht, wie man eine 2. (oder 3.) CA einrichten kann.
Hat jemand einen Tip?


Habe schon stundenlang gegooglet, aber nichts gefunden.
Scheinbar nimmt niemand Windows ernst für das Erstellen von Zertifikaten.


Harald

Content-ID: 204224

Url: https://administrator.de/forum/zusaetzliche-ca-mit-windows-server-2008-r2-realisieren-204224.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

aqui
aqui 01.04.2013, aktualisiert am 20.12.2013 um 00:55:10 Uhr
Goto Top
108012
108012 01.04.2013, aktualisiert am 20.12.2013 um 00:55:20 Uhr
Goto Top
Hallo Harald,

Windows basierend xCA -Home & SOHO
Linux basierend TinyCA2 -KMU
MS Windows Server basierend r509 -Pro

Nicht alle so professionell wie Du es wolltest, nicht so gut wie @aqui es vorgeschlagen hat und nicht alle für
MS Windows Server, aber das wäre doch einmal eine Überlegung wert an eine oder mehrere VMs zu denken.

Gruß
Dobby
hm7user
hm7user 04.04.2013 aktualisiert um 03:21:33 Uhr
Goto Top

Leider 3 verschwendete Sekunden...

Ich schrieb davon, eine zweite CA einrichten zu wollen, nicht von der Heim-User-Aufgabe, ein zweites Stammzertifikat in den Zertifikatsspeicher zu importieren.

Wenn man nur einen Hammer hat, sieht eben alles aus wie ein Nagel.

Trotzdem Dank für Deine Bereitschaft, zu helfen!


Meine Konsultation vom Dr. mündete in einer 3- bis 5-stündigen Sitzung, ähnlich einer Darmspiegelung.
Und endete ohne Befund.


Gruß,
Harald
hm7user
hm7user 04.04.2013 um 03:18:32 Uhr
Goto Top
Hallo Dobby!

Vielen Dank für Deine Mühe!

(Vermutlich hätte ich allerdings ergänzen sollen, daß ich an der gefragten Lösung interessiert bin, weniger an [bekannten] Alternativen. [Ich gehe immer davon aus, daß ein Fragesteller ansonsten schreibt "oder hat jemand alternative Ideen".])

Zitat von @108012:
Hallo Harald,

Nicht alle so professionell wie Du es wolltest, nicht so gut wie @aqui es vorgeschlagen hat und nicht alle für
MS Windows Server, aber das wäre doch einmal eine Überlegung wert an eine oder mehrere VMs zu denken.

Ob die Verwendung von MS' Zertifikatsdiensten professionell ist, kann ich jetzt nicht so ganz beurteilen. Denke eher nicht.

Aber eines würde mich interessieren: Was hast Du gutes in dem Vorschlag von @aqui gesehen?


Grüße,
Harald
108012
108012 04.04.2013, aktualisiert am 20.12.2013 um 00:55:03 Uhr
Goto Top
Hallo nochmal,

Aber eines würde mich interessieren: Was hast Du gutes in dem Vorschlag von @aqui gesehen?
In drei Minuten, genau zu Deiner Überschrift, von MS TechNet die richtige und passende Antwort gefunden.

Die Überschrift von Dir zu diesem Beitrag lautete:
"Zusätzliche CA mit Windows Server 2008 (R2) realisieren?"

Und das was der @aqui gefunden hatte wurde unter folgender Überschrift angeboten:
"How to add a second CA in Windows Server 2008"

Na also ich denke das passt wohl sehr gut zu dem was Du nachgefragt hast.

Gruß
Dobby
aqui
aqui 04.04.2013, aktualisiert am 20.12.2013 um 00:55:00 Uhr
Goto Top
MMmmhh auch wenn man kein Englisch versteht und einen Übersetzer im Internet benutzt bedeutet doch:
"How to add a second CA in Windows Server 2008"
ganz klar "Wie man eine 2te CA in Windows Server 2008 hinzufügt" genau das nachdem du gefragt hast.
Aber wie immer vermutlich hier nichtmal die Mühe gemacht zu lesen und zu verstehen, denn es handelt genau das ab.
Aber egal vermutlich können wir hier alle nur kein richtiges English...hoffentlich reichts dann noch zu einem
Wie kann ich einen Beitrag als gelöst markieren?
hm7user
hm7user 20.12.2013 um 00:53:03 Uhr
Goto Top
@aqui und @d.o.b.b.y

Wie inkompetent muß man sein!?

Da versteht Ihr erst die Frage nicht, dann auch die Erklärung nicht, wo ich beschreibe, daß etwas aderes gesucht ist, und nun erwartet Ihr noch, daß ich den Beitrag als erledigt kennzeichne?

Und Ihr wollt noch festlegen, daß Eure falschen Antworten zu meiner Frage passen!?

Hört mal: Dümmer geht's nicht! Sorry.


Nochmal:
Ich wollte kein CA-Zertifikat hinzufügen, sondern eine CA realisieren! Das steht eindeutig auch so in der Überschrift: "CA" + "REALISIEREN", nicht "Zertifikate hinzufügen".


Harald
aqui
aqui 20.12.2013, aktualisiert am 06.01.2014 um 17:24:43 Uhr
Goto Top
Wie war das nochmal mit der Inkompetenz... ??? 2 Sek. bei Dr. Google:
http://technet.microsoft.com/de-de/library/ee649240(v=ws.10).aspx
hm7user
hm7user 06.01.2014 um 02:49:18 Uhr
Goto Top
Und schon wieder eine falsche Antwort...
(Was besonders peinlich wirkt, da Du den Mund so voll nimmst.)

Sag' mal: Liest Du die Fragen überhaupt, bevor Du irgendwas zufällig per Google gefundenes verlinkst?

Es geht nicht um "eine Zertifizierungsstelle", sondern um eine *zuätzliche* - also mehrere Zertifizierungsstellen.


Wie wär's, wenn Du Dich heraushältst, wenn Du die Frage nicht verstehst. Googlen kann man selber. Falsche Antworten von "Google-Experten" sind nutzlos.


Harald
wiesi200
wiesi200 06.01.2014 um 08:48:53 Uhr
Goto Top
Sag mal kann es sein das du 2x die gleiche Rolle auf einem Windows Server zu installieren?
hm7user
hm7user 06.01.2014 um 17:24:30 Uhr
Goto Top
Hallo wiesi200!

Zitat von @wiesi200:

Sag mal kann es sein das du 2x die gleiche Rolle auf einem Windows Server zu installieren?

Wie bitte? (Kannst Du den Satz bitte nochmal verständlich formulieren?)


Was ich vermute, was Du meinst:
Mir eigentlich egal, ob die Rolle 2x installiert wird, oder sonstwie eine 2. (und 3.) Zertifizierungsstelle eingerichtet werden kann - hauptsache man findet heraus, wie es geht.
(Nach meinem Verständnis einer "Rolle" hat soeine jemand/etwas natürlich nur einmal - aber das ist ja Definitionssache.)


Gruß,
Harald
wiesi200
wiesi200 06.01.2014 um 17:46:49 Uhr
Goto Top
Zitat von @hm7user:

Hallo wiesi200!

> Zitat von @wiesi200:
>
> Sag mal kann es sein das du 2x die gleiche Rolle auf einem Windows Server zu installieren?

Wie bitte? (Kannst Du den Satz bitte nochmal verständlich formulieren?)

Na so kompliziert hab ich das doch nicht geschrieben.
Aber mal anders

Willst du nur 2 Zertifizierungsstellen innerhalb einer Domain, oder 2 Zertifizierungsstellen auf einem Server?
108012
108012 06.01.2014 um 18:46:07 Uhr
Goto Top
Hallo nochmal,

Mir eigentlich egal, ob die Rolle 2x installiert wird, oder sonstwie eine 2. (und 3.) Zertifizierungsstelle eingerichtet werden kann
Also funktionieren tut es recht gut und es gibt dafür auch mehrere Wege das so umzusetzen und sogar die Möglichkeit so etwas
rein Software seitig zu erledigen und/oder Hardware gestützt aufzusetzen, allerdings nicht so wie es sich die meisten Leute vorstellen
und auch nicht ganz ohne den Einsatz von Hard- und Software.

- hauptsache man findet heraus, wie es geht.
Dafür stehen mehrere Möglichkeiten zur Verfügung nur leider nicht für alle Vorhaben!
Es wäre daher schon recht schön zu wissen was Du damit genau vorhast und bezwecken bzw. erreichen möchtest.
- Einen Hardware WLAN Controller mit einem Captive Portal und einem zusätzlichen Radius Server
- Eine kleine Alix oder Soekris Box mit einem Linux Server und einer weiteren CA (TinyCA2)
- Einen MS Windows Server mit einer CA für ein oder mehrere VLANs und einen anderen (Hardware oder VM)
für den Rest des Netzwerkes bzw. andere VLANs
- Eine oder beliebig viele weitere CAs in einer oder mehreren VMs

Gruß
Dobby


(Nach meinem Verständnis einer "Rolle" hat soeine jemand/etwas natürlich nur einmal - aber das ist ja Definitionssache.)
hm7user
hm7user 07.01.2014 um 19:56:30 Uhr
Goto Top
Hallo wiesi200!

Zitat von @wiesi200:
Na so kompliziert hab ich das doch nicht geschrieben.

;) Lies Deinen Satz nochmal ganz langsam.


Zitat von @wiesi200:
Willst du nur 2 Zertifizierungsstellen innerhalb einer Domain, oder 2 Zertifizierungsstellen auf einem Server?

2 (oder mehr) Zertifizierungsstellen auf einem Server.

(Inwieweit Zertifikate innerhalb der Domain genutzt werden / werden können, damit habe ich mich noch nicht intensiv beschäftigt.
Klar, z.B. für Authetizität von Domänenmitgliedern [z.B. bei Remotedesktop] und so. Aber ich brauchte die Zertifikate für was anderes.)


Gruß,
Harald
hm7user
hm7user 07.01.2014 um 20:01:31 Uhr
Goto Top
Hallo Dobby!

Es wäre daher schon recht schön zu wissen was Du damit genau vorhast und bezwecken bzw. erreichen möchtest.

Ein Windows-Server (egal, ob in Domäne oder nicht), der nebenbei für die Erstellung von Zertifikaten für verschiedene Zertifizierungsstellen genutzt werden kann.

Was im einzelnen mit den Zertifikaten gemacht wird, spielt keine Rolle. Verschiedene Sachen halt (eher weniger microsoftsche/domänen-interne Automatismen).


Gruß,
Harald
wiesi200
wiesi200 07.01.2014 um 20:17:21 Uhr
Goto Top
Zitat von @hm7user:

Hallo wiesi200!

> Zitat von @wiesi200:
> Na so kompliziert hab ich das doch nicht geschrieben.

;) Lies Deinen Satz nochmal ganz langsam.
Den kann ich langsam und schnell lesen und versteh ihn auch.
Gut das Wort "versuchst" währ am Schluss noch sinnvoll. Aber verstehen könnte man es schon wenn man will.


> Zitat von @wiesi200:
> Willst du nur 2 Zertifizierungsstellen innerhalb einer Domain, oder 2 Zertifizierungsstellen auf einem Server?

2 (oder mehr) Zertifizierungsstellen auf einem Server.

(Inwieweit Zertifikate innerhalb der Domain genutzt werden / werden können, damit habe ich mich noch nicht intensiv
beschäftigt.
Klar, z.B. für Authetizität von Domänenmitgliedern [z.B. bei Remotedesktop] und so. Aber ich brauchte die
Zertifikate für was anderes.)

Da wirst du nicht viel glück haben. Das geht meiner Meinung nach so nicht, und macht auf der anderen Seite für mich so nicht mal wirklich Sinn.
Vermutlich deshalb auch das Verständnisproblem von Aqui.

Der Windows Zertifikats Dienst ist ja Stark in der Richtung ausgelegt innerhalb der Windows Domain Zertifikate bereit zu stellen. Da reicht einer auf einem Server.
Für Redundanz kann auf einem zweiten Server natürlich ein weiterer Installiert werden. Beide kannst du wie auch bei anderen Diensten über eine Management Konsole Verwalten. Für Subdomains ist dann wieder ein eigenständiger Zuständig.