11
Zweistufiger PKI (Two-Tier-PKI) vs. Hyper-V VMs Windows Server 2025
Hallo lieber Administrator.de Mitglieder,
Ich habe eine grundliegende Frage zum Thema des zweistufigen PKI, der auf einem Windows Server 2025 eingerichtet sein soll.
Ich habe mehrere Tutorials und Blogs durchgelesen, aber eine Sache ist mir nicht 100% klar.
Es handelt sich um die Konstellation mit den VMs.
Wie ich das verstanden habe, ich brauche außer meinem Server, noch zwei VMs mit Windows Server 2025, um das ganze realisieren zu können, also:
#1. Domain Controller Windows Server 2025
#2. VM mit Windows Server 2025 für Offline Standalone Root CA (Eigenständige Zertifizierungsstelle)
#3. VM mit Windows Server 2025 für Enterprise Subordinate CA (Unternehmenszertifizierungsstelle)
Zum Punkt #2: als Work Group Member / kein Domain Member
Zum Punkt #3: als Domain Member
Kann mir jemand noch dazu erklären bzw. bestätigen, ob meine Schlussfolgerung richtig ist?
Sollen die Einstellungen Domain Member / kein Domain Member schon beim aufsetzen der VMs (Hyper-V Manager) beachtet werden?
Vielen Dank im Voraus für die Infos.
MfG,
T-Mack
Ich habe eine grundliegende Frage zum Thema des zweistufigen PKI, der auf einem Windows Server 2025 eingerichtet sein soll.
Ich habe mehrere Tutorials und Blogs durchgelesen, aber eine Sache ist mir nicht 100% klar.
Es handelt sich um die Konstellation mit den VMs.
Wie ich das verstanden habe, ich brauche außer meinem Server, noch zwei VMs mit Windows Server 2025, um das ganze realisieren zu können, also:
#1. Domain Controller Windows Server 2025
#2. VM mit Windows Server 2025 für Offline Standalone Root CA (Eigenständige Zertifizierungsstelle)
#3. VM mit Windows Server 2025 für Enterprise Subordinate CA (Unternehmenszertifizierungsstelle)
Zum Punkt #2: als Work Group Member / kein Domain Member
Zum Punkt #3: als Domain Member
Kann mir jemand noch dazu erklären bzw. bestätigen, ob meine Schlussfolgerung richtig ist?
Sollen die Einstellungen Domain Member / kein Domain Member schon beim aufsetzen der VMs (Hyper-V Manager) beachtet werden?
Vielen Dank im Voraus für die Infos.
MfG,
T-Mack
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670419
Url: https://administrator.de/forum/zweistufiger-pki-two-tier-pki-vs-hyper-v-vms-windows-server-2025-670419.html
Ausgedruckt am: 02.01.2025 um 11:01 Uhr
11 Kommentare
Neuester Kommentar
Moin,
kann ich so bestätigen.
Nutzen VMware, aber der Server der kein Domain Member ist, hat bei mir keine Netzwerkkarte.
Viele Grüße
newit1
kann ich so bestätigen.
Sollen die Einstellungen Domain Member / kein Domain Member schon beim aufsetzen der VMs (Hyper-V Manager) beachtet werden?
Nutzen VMware, aber der Server der kein Domain Member ist, hat bei mir keine Netzwerkkarte.
Viele Grüße
newit1
Hallo Newit1,
Danke für deine Antwort zu meinen Fragen.
Deine Aussage "Kann ich so bestätigen" betrifft die oben genannte Konstellation mit den VMs, nehme ich jetzt an, oder?
#1. Domain Controller Windows Server 2025
#2. VM mit Windows Server 2025 für Offline Standalone Root CA (Eigenständige Zertifizierungsstelle)
#3. VM mit Windows Server 2025 für Enterprise Subordinate CA (Unternehmenszertifizierungsstelle)
MfG,
T-Mack
Danke für deine Antwort zu meinen Fragen.
Deine Aussage "Kann ich so bestätigen" betrifft die oben genannte Konstellation mit den VMs, nehme ich jetzt an, oder?
#1. Domain Controller Windows Server 2025
#2. VM mit Windows Server 2025 für Offline Standalone Root CA (Eigenständige Zertifizierungsstelle)
#3. VM mit Windows Server 2025 für Enterprise Subordinate CA (Unternehmenszertifizierungsstelle)
MfG,
T-Mack
Moin,
Gruß,
Dani
Nutzen VMware, aber der Server der kein Domain Member ist, hat bei mir keine Netzwerkkarte.
wie transferierst du eine neue, gültige Sperrliste auf den Webserver?Gruß,
Dani
Moin,
Gruß,
Dani
Zum Punkt #2: als Work Group Member / kein Domain Member
Zum Punkt #3: als Domain Member
Passt.Zum Punkt #3: als Domain Member
Gruß,
Dani
Wobei eine Windows Lizenz für eine Offline Root-CA verbraten, die meist eh nicht läuft, eigentlich mit Kanonen auf Spatzen geschossen ist. Die kannst du auch für umme mit OpenSSL auf einem Linux aufsetzen oder XCA usw.
1
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Nutzen VMware, aber der Server der kein Domain Member ist, hat bei mir keine Netzwerkkarte.
wie transferierst du eine neue, gültige Sperrliste auf den Webserver?Gruß,
Dani
Ich mache das ganz klassisch unter VMWare mit ner virtuellen Floppy, die ich ein- und aushänge. :D
Geht seit dem Wechsel von Flash -> HTML5 Weboberfläche allerdings nur noch per PowerCLI.
MFG
Hallo zusammen,
erstmal Gesundes Neues Jahres 2025.
Ich habe noch eine technische Frage zu dem Offline Standalone Root CA Server, und zwar der soll vom Netz getrennt werden. Sind meiner Meinung nach drei Möglichkeiten:
#1: Den Netzwerkadapter deaktivieren:
oder
#2: Den virtuellen Switch auf "Nicht Verbunden" setzen:
oder
#3: Den virtuellen Switch völlig entfernen:
Was wäre euer Vorschlag in dem Fall?
MfG,
T-Mack
erstmal Gesundes Neues Jahres 2025.
Ich habe noch eine technische Frage zu dem Offline Standalone Root CA Server, und zwar der soll vom Netz getrennt werden. Sind meiner Meinung nach drei Möglichkeiten:
#1: Den Netzwerkadapter deaktivieren:
oder
#2: Den virtuellen Switch auf "Nicht Verbunden" setzen:
oder
#3: Den virtuellen Switch völlig entfernen:
Was wäre euer Vorschlag in dem Fall?
MfG,
T-Mack
Abschalten. Eine Offline Root-CA muss/solte nicht dauerhaft laufen, sie signiert das CA intermediate Cert, womit Ihre primäre Aufgabe schon erledigt ist, wieso sollte man diese VM also weiter laufen lassen nur weil sie alle 10 Jahre mal kurz das Intermediate erneuert?!.🤔
Zitat von @t-mack:
Hallo zusammen,
erstmal Gesundes Neues Jahres 2025.
Ich habe noch eine technische Frage zu dem Offline Standalone Root CA Server, und zwar der soll vom Netz getrennt werden. Sind meiner Meinung nach drei Möglichkeiten:
#1: Den Netzwerkadapter deaktivieren:
oder
#2: Den virtuellen Switch auf "Nicht Verbunden" setzen:
oder
#3: Den virtuellen Switch völlig entfernen:
Was wäre euer Vorschlag in dem Fall?
MfG,
T-Mack
Hallo zusammen,
erstmal Gesundes Neues Jahres 2025.
Ich habe noch eine technische Frage zu dem Offline Standalone Root CA Server, und zwar der soll vom Netz getrennt werden. Sind meiner Meinung nach drei Möglichkeiten:
#1: Den Netzwerkadapter deaktivieren:
oder
#2: Den virtuellen Switch auf "Nicht Verbunden" setzen:
oder
#3: Den virtuellen Switch völlig entfernen:
Was wäre euer Vorschlag in dem Fall?
MfG,
T-Mack
Moin,
also meine Offline-CA hat seit erster Einschaltung nie einen vSwitch gesehen bzw. nie das Licht des Internets erblicken dürfen. Prinzipiell aber egal und abhängig vom Bereitstellungsprozess.
Wenn du aus einer Vorlage klonst, die schon Netzwerkadapter etc. implementiert, einfach den Adapter löschen bevor du konfigurierst mal so als Beispiel.
Wichtig ist nur: Kein Netzwerk. Das Wie ist egal.
LG
Hallo Dawnbreaker. Danke für die Erklärung. Ich habe den OffLine VM Server erstmal mit dem Internetzugriff aufgesetzt einschließlich mit den Updates und der Lizenzaktivierung. Die AD CS Rollen danach installiert. Die Konfiguration von der Zertifiezierungsstelle wollt jedenfalls ohne den vSwitch nicht starten. Ich will nun die Einrichtung vom Root CA zum Ende bringen und danach den virtuellen LAN Netzwerkadapter deaktivieren. Final soll die VM heruntergefahren werden, wie Gastric vorgeschlagen hat. MfG T-Mack
