ollembyssan
30.04.2009, aktualisiert am 01.05.2009
view27604
view2
0
Goto Top

Zweistufige Architektur der PKI (Step by Step)

AnleitungMicrosoftWindows Server
Dieses HOWTO beschreibt die Installation einer "Zweistufigen Architektur" der "PKI" (Public Key Infrastructur)

- Es wird eine "Standalone Zertifzierungsstelle" installiert, die nur Zertifikate für "untergeordnete Zertifzierungsstellen" installiert.
- Es wird eine "Untergeordnete Zertifzierungsstelle" installiert, die dann Zertifikate an Benutzer, Computer etc. vergibt.

In mittleren Organisationen sollte man mindestenes eine "zweistufige Architektur" zur Zertifikatsverwaltung installieren,
wegen der enormen Schutzbedürftigkeit des privaten Schlüssels der Stammzertifizierungsstelle!

  • In einer solchen Organisation existieren eine Stammzertifzierungsstelle (ROOT CA) und eine oder mehrere untergeordnete Zertifzierungsstellen (ISSUING CA).
  • Die Ausstellung der Zertifikate erfolgt dann ausschließlich von den "untergeordneten Zertifzierungsstellen.

ROOT CA
  • Die ROOT CA ist kein Domänenmitglied, deswegen wird diese eine Standalone Zertifzierungsstelle, die nicht in das AD integriert ist.
  • Normalerweise verfügt dieser Server auch nicht über einen Netzwerkanschluss und ist physikalisch geschützt.
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifzierungsstellen aus, die dann z.B. über Diskette transportiert werden
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist sehr lange z.B. 10 Jahre

ISSUING CA
  • Die ISSUING CA stellt Zertifikate an Benutzer, Computer etc. aus
  • Dieser Server ist z.B. ein Domänencontroller
  • Sie ist eine "untergeordnete Stammzertifzierungsstelle" welche ins AD integriert ist
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist nicht so lange z.b. 5 Jahre

  1. Installation der Standalone Zertizierungsstelle (ROOT CA)

8fe5c40d94c3d8d6c2b22342a5abaa3d-1

48624e40b65ea3688231fd0749a323cf-2

4941c714f416de40f2ed2e064acb3fe9-3

Erstellen der Zertifikatsanforderung

2ec7703eb3c90dc409b33dacd7305cfd-4

7b4344e5508bc0045fd3ed1a9ae38aae-5

78a05a1bbdbdd1806b53d12b893383c7-6

09d929a16c448b1b3f5881d25abb6697-7

426cbb00a5125619fdc0982c135ff1c8-8

35fd368a74bea14d8eb2091f4e15b3a5-9

a2269ff5344b7cb6c96eb93408239b6f-10

9b65e6a0a9a31d5429a432846ecd41c0-11

99a892033bf7283561af171240c56aaa-12

b5876c12268bf93e7f749bb78e908a62-13

69a72745425168e7eb13864749a1085b-14

  • (Hier wird die codierte Anforderung der vorhin gespeicherten "certreq.txt" Datei importiert)

331c9e85ecc8b58058e29299149f7045-15

35aaa9c543351292849a3e3cf4a964ff-16

Austellen vom angeforderten Zertifikats

707e6d3d0be60ab234d6870a825430db-17

d41b162bec18000cb1ed9c06c907e267-18

a728cc30ff92b75acfdc1a5f17aab5c9-19

Installation des ausgestellten Zertifikats

6ee46a3d5ff9129a68a6e34ae99d2db0-20

33ec3f61a618dea1f641a9dd31f917c6-21

567f3f91375c96501bdd86e987bd6d39-22

1fb6318db2cbdc1477d7e5cc10a94e17-23


2. Installation der untergeordneten Zertifizierungsstelle (ISSUING-CA)

  • (Diese ISSUING-CA ist im AD integriert und kann Benutzern, Computern etc. Zertifikate ausstellen)

94fc61962fa213b144a0fe3937481703-1

c0f16ff9ecdd711f56c85d0ef017a7f8-2

  • Die Anforderung ist natürlich an die übergeordnete Zertifizierungsstelle gerichtet (ROOT CA)

0e92f53378a022d4bf079a4973080cc6-3


3. Ausstehende Anforderungen der ROOT CA

  • (Hier sieht man nun die Anforderung eines Zertifikats, das gerade von der "ISSUING-CA" angefordert worden ist)

af195fe82235ad929ab9260b6177ccff-4

df1c9b87fb9b168715df77a75bcbba75-5

fa614bc4d3f95b111ff937eda6a6abe1-6

b71cd299fcb1b5b1ec471fb8cb66280f-7


4. ISSUING-CA Konfiguration und Bereitstellung

ce4aeccc8771735cc2fd4f8a93ebe741-1

24d7a1504fdccb484ec4ed3f1548608b-2

a4f04e50d7ef75d3df95cbba2ec38465-3

1ca97deaa1c67ad1a647c3a56f3cb174-4

0fef7b36cea56c7812294bb1f63a8c85-5

40ada9de546ccb1267d3a9354368cb91-6

403986cd2e6de58a230f0b667c10ad93-7

7528af2149a94a90f3ec9471c9276d24-8

1b34d6ed3d0e45f81d0a6e43c6fa8b0f-9

50b70d4745edd322b74cd89171be142d-10
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 115058

Url: https://administrator.de/contentid/115058

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
PapaMo
PapaMo 26.05.2009 um 16:36:03 Uhr
Goto Top
Zum Nachvollziehn bleiben zu viele Fragen offen z.B. wenn die Root CA nicht im Netz ist, wie kann dann die Anfrage über das Netzwerk erfolgen? oder Wenn die Root CA nicht in der Domäne liegt, wieso hat Sie dann den gleichen FQN?
ollembyssan
ollembyssan 27.05.2009 um 08:19:37 Uhr
Goto Top
1. Die ROOT CA hat nicht den gleichen FQN!
2. Die ISSUING CA (Enterprise Zertifzierungsstelle) stellt Cert. zur Verfügung!
AnleitungMicrosoftWindows Server
Mehr von ollembyssanollembyssanExchange 2003 zu Exchange 2010 IntraOrg Migrationsanleitungollembyssan - 1 KommentarollembyssanHow to manage groups with groups in Exchange 2010 - Exchange Team Blogollembyssan - 2 KommentareollembyssanInternet Explorer 9 vs. ForeFront TMGollembyssan - 2 KommentareollembyssanInternet Explorer 9 vs. Exchange 2007 Exchange 2010ollembyssan - 3 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 KommentareManuManu2021Verpasster Anruf von +49-030-123456 mit einer Mobilfunk Prepaid SIMManuManu2021 - 11 Kommentare