Frage:
Erstellen einer eigenen Zertifizierungsstelle für ein Intranet
user42178
2015-05-15 19:03:13 UTC
view on stackexchange narkive permalink

Ich muss meine eigene Zertifizierungsstelle für ein Intranet erstellen, und leider scheint es auf Security.SE keine gute Antwort darauf zu geben.

Es gibt viele Online-Ressourcen dazu, aber alle sind unterschiedlich und Einige verwenden veraltete Standardeinstellungen (MD5 / SHA1 usw.), die nicht so vertrauenswürdig erscheinen. Es gibt auch Hunderte verschiedener Variationen von openssl.cnf , die von einer 10-zeiligen Datei bis zu der riesigen reichen, die standardmäßig mit meiner Distribution geliefert wurde.

Ich hätte gerne eine Kanonik Antwort zum Einrichten einer einfachen Zertifizierungsstelle für die Ausstellung von Server- und Clientzertifikaten.

Anscheinend scheinen einige Leute immer noch nicht zu verstehen, dass ich kein großes Unternehmen bin, in dem eine Zertifizierungsstelle vorhanden ist Kompromisse verursachen Verluste im Wert von Milliarden und können nicht einfach gemindert werden. Lassen Sie mich daher etwas besser erklären, warum ich die Zertifizierungsstelle benötige:

  • Mehrere Server, die über unsichere Verbindungen (das Internet) verbunden sind, benötigen um sicher zu kommunizieren.

  • Ich muss mich bei diesen Servern identifizieren können, um administrative Aufgaben ausführen zu können, ohne alle 10 Sekunden zu meinem Passwort-Manager wechseln zu müssen.

  • keine anderen Zertifizierungsstellen als meine sollten in der Lage sein, sich als einer der Server auszugeben, egal wie unwahrscheinlich ( aber möglich) dies ist ist.

Dort. Meine eigene PKI und ein auf jedem Computer installiertes Zertifikat scheinen den Anforderungen perfekt zu entsprechen. Eine der von mir verwendeten Software erfordert auch die Verwendung einer PKI, sodass die Verwendung von selbstsignierten Zertifikaten keine Option ist.

Um die PKI zu gefährden, müsste jemand meine Arbeitsmaschine kompromittieren, und wenn dies der Fall ist Dann kann der Angreifer bereits einiges an Schaden anrichten, ohne die PKI zu berühren (da ich mich sowieso von diesem Computer aus über SSH beim Server anmelden würde). Das ist ein Risiko, das ich eingehen möchte, und diese PKI erhöht nicht das Risiko, das es bereits gibt.

Vielleicht möchten Sie [meine Antwort hier] (http://security.stackexchange.com/a/66674/52676) lesen. Einige der Links sollten Ihnen den Einstieg erleichtern.
"Echo" Gib alle Hoffnung auf, ihr, die ihr hier eintretet. "
Tu es nicht. Nee. Schlechte Idee. Kaufen Sie stattdessen von CA signierte Zertifikate im Wert von 10 USD. Sei nicht deine eigene Zertifizierungsstelle. Nein, nein. Schlechte Idee.
Hier ist etwas zu sehen: https://github.com/cloudflare/cfssl
@KristoferA Für ein Intranet ist es mehr als sinnvoll, eine eigene Zertifizierungsstelle für ein Unternehmensnetzwerk zu erstellen.
Was ist übrigens mit den Migrationen zu Superuser oder ServerFault los? Ist die Verwendung von OpenSSL hier nicht perfekt zum Thema?
[Dieser Link] (https://openvpn.net/index.php/open-source/documentation/howto.html#pki) oder Schritt 2 von [diesem Tutorial] (https://www.digitalocean.com/community/ Tutorials / Einrichten eines offenen VPN-Servers auf Ubuntu-14-04) können von Interesse sein.
Ich denke nicht, dass es klar ist, ob Sie eine vollständige PKI innerhalb Ihres Netzwerks einrichten möchten oder nur eine Möglichkeit, selbstsignierte Zertifikate für die Server- <-> Serverkommunikation zu erstellen. Bisherige Antworten scheinen die eine oder andere zu beantworten. Auch für Server <-> Server sollte selbstsigniert sein .. es wird ein Problem, wenn Clients beteiligt werden.
@gnp Die von mir verwendete Software akzeptiert keine selbstsignierten Zertifikate, daher ist eine PKI obligatorisch.
@André Ein selbstsigniertes Zertifikat ist ein Zertifikat, das von einer Behörde signiert wurde, die den meisten Systemen nicht bekannt ist (alle außer 1). Unabhängig davon, ob Sie PKI einrichten oder nicht, tritt dasselbe Problem auf, und Ihre Software sollte die Möglichkeit haben, einer neuen Zertifizierungsstelle zu vertrauen. Zur Verdeutlichung sind alle CA-Stammzertifikate "selbstsignierte" Zertifikate. Sie können dies mit `openssl s_client -showcerts -connect example.com: 443` für jede" bekannte "Site sehen. Mein Punkt ist, ein Zertifikat zu erstellen, es dem Zertifikat- / Vertrauensspeicher Ihrer Server hinzuzufügen und es zum Signieren von Zertifikaten nach Bedarf zu verwenden.
@gnp Grundsätzlich benötigt meine Software, dass sowohl die Client- als auch die Serverzertifikate von derselben Zertifizierungsstelle signiert werden, für die ich das Zertifikat bereitstelle. Andernfalls weigert sich die clientseitige Software, ein eigenes clientseitiges Zertifikat vorzulegen, wenn es sich nur um zwei selbst handelt -signierte Zertifikate ohne Beziehung zueinander. Sie müssen von demselben CA-Zertifikat signiert sein, damit die Software sie akzeptiert und die Verbindung herstellt.
"... ein selbstsigniertes Zertifikat ist ein Zertifikat, das von einer Behörde signiert wurde, die den meisten Systemen nicht bekannt ist." Nein. Ein selbstsigniertes Zertifikat ist ein Zertifikat, bei dem der öffentliche Schlüssel, die Richtlinienattribute und die Identitätsattribute vom privaten Schlüssel signiert wurden, der dem durch die Signatur gebundenen öffentlichen Schlüssel entspricht. Es hat zwar überhaupt nichts damit zu tun, ob das Zertifikat aus einer bekannten Quelle stammt, aber es ist per Definition wahr, dass alle Root-Zertifikate selbstsigniert sind. Der Unterschied besteht darin, dass ein Stammzertifikat zum Signieren, jedoch nicht zur Verschlüsselung aktiviert ist, wodurch es als persönliches Zertifikat für eine App oder einen Server unbrauchbar wird.
Was André sagt, ist, dass die betroffene Software selbstsignierte Zertifikate ausdrücklich als persönliche Zertifikate verbietet und dass sowohl die Client- als auch die Serverzertifikate eine gemeinsame Zertifizierungsstelle haben müssen. Dies sind zwar ungewöhnliche Anforderungen, sie sind jedoch vollkommen gültig. Was jedoch angefordert wird, betrifft mehr Richtlinien wie "Die Pfadlänge des Stammzertifikats darf nicht größer als x sein" und "Das persönliche Zertifikat muss das Flag" isCA = No "und eine Pfadlänge von Null enthalten." Leider werden Richtlinien, auf denen der größte Teil des Vertrauens in das System basiert, wie z. B. Widerruf, Namespace-Hygiene und Root-Sicherheit, in "openssl.cnf" nicht behandelt.
@KristoferA Nutzloser Kommentar .... Er gibt klar an, dass er nicht wird. EasyRSA hat eine schöne Einrichtung, um dein eigenes pki zu machen.
@T.Rob und Andre bedanken sich für die Klarstellungen. Es scheint mir, dass Tylerers Antwort der richtige Weg ist.
Fünf antworten:
tylerl
2015-05-18 02:39:07 UTC
view on stackexchange narkive permalink

Wenn Ihre Infrastruktur winzig ist, können viele Details zum Ausführen einer Zertifizierungsstelle (z. B. CRLs und dergleichen) wahrscheinlich ignoriert werden. Stattdessen müssen Sie sich nur um das Signieren von Zertifikaten kümmern.

Es gibt eine Vielzahl von Tools, die diesen Prozess für Sie verwalten. Ich habe sogar vor vielen Jahren einen geschrieben. Aber die, die ich empfehle, wenn Sie etwas wirklich Einfaches wollen, ist easy-rsa aus dem OpenVPN-Projekt. Es ist ein sehr dünner Wrapper um das OpenSSL-Befehlszeilentool. Wenn Sie eine Menge Zertifikate verwalten und sich tatsächlich mit Widerruf und anderen Dingen befassen möchten, benötigen Sie ein viel komplexeres und funktionsreicheres Dienstprogramm. Es gibt bereits mehr als genug Vorschläge. Stattdessen bleibe ich bei den Grundlagen dessen, was Sie erreichen möchten.

Aber hier ist das grundlegende Verfahren. Ich werde es mit OpenSSL erklären, aber jedes System wird es tun.

Beginnen Sie mit der Erstellung Ihrer "Stamm" -CA - es wird ein selbstsigniertes Zertifikat sein. Es gibt verschiedene Möglichkeiten, dies zu tun. Dies ist einer. Wir machen unser 10-Jahres-Zertifikat mit einem 2048-Bit-Schlüssel. Passen Sie die Zahlen entsprechend an. Sie haben erwähnt, dass Sie sich Sorgen um den Hashing-Algorithmus gemacht haben. Deshalb habe ich -sha256 hinzugefügt, um sicherzustellen, dass er mit etwas Akzeptablem signiert ist. Ich verschlüssele den Schlüssel mit AES-256, aber das ist optional. Sie werden aufgefordert, den Zertifikatsnamen und dergleichen auszufüllen. Diese Details sind für eine Root-Zertifizierungsstelle nicht besonders wichtig. 

  # Erstellen Sie zuerst den Schlüssel (verwenden Sie 4096-Bit, wenn dies das ist, was Ihr Boot schwimmt) openssl genrsa -aes256 -out root.key 2048 # Verwenden Sie dann diesen Schlüssel, um ein selbstsigniertes Zertifikat zu generieren. -New -x509 -key root.key -out root.cer -days 3652 -sha256

Wenn Sie den Schlüssel im ersten verschlüsselt haben Schritt, müssen Sie das Passwort angeben, um es in der zweiten zu verwenden. Überprüfen Sie Ihr generiertes Zertifikat, um sicherzustellen, dass unter "Grundlegende Einschränkungen" "CA: TRUE" angezeigt wird. Das ist wirklich das einzige wichtige Element, über das Sie sich Sorgen machen müssen: 

  openssl x509 -text < root.cer

Cool. OK, jetzt unterschreiben wir ein Zertifikat. Wir brauchen einen anderen Schlüssel und diesmal eine Anfrage. Sie werden erneut nach Ihrem Namen und Ihrer Adresse gefragt. Welche Felder Sie ausfüllen und was Sie angeben, liegt bei Ihnen und Ihrer Bewerbung. Das wichtigste Feld ist jedoch der "Common Name". Hier geben Sie Ihren Hostnamen oder Anmeldenamen an oder was auch immer dieses Zertifikat bestätigen wird. 

  # Neue keyopenssl erstellen genrsa -aes256 -out client1.key 2048 # Verwenden Sie diesen Schlüssel, um eine requestopenssl-Anforderung zu generieren -new -key client1.key -out client1.req # Signieren Sie diese Anforderung zum Generieren a new certopenssl x509 -req -in client1.req -out client1.cer -CA root.cer -CAkey root.key -sha256 -CAcreateserial

Beachten Sie, dass dadurch eine Datei namens root erstellt wird. srl, um unsere Seriennummern gerade zu halten. Das Flag -CAcreateserial weist openssl an, diese Datei zu erstellen, sodass Sie sie für die erste von Ihnen signierte Anforderung und dann nie wieder angeben. Und noch einmal, Sie können sehen, wo Sie das Argument -sha256 hinzufügen müssen.

Dieser Ansatz - alles manuell zu erledigen - ist meiner Meinung nach nicht die beste Idee. Wenn Sie einen umfangreichen Vorgang ausführen, benötigen Sie wahrscheinlich ein Tool, mit dem Sie alle Ihre Zertifikate im Auge behalten können.

Stattdessen wollte ich Ihnen hier zeigen, dass die gewünschte Ausgabe - die Zertifikate, die wie gewünscht signiert wurden - nicht von den von Ihnen verwendeten Tools abhängt, sondern von den Optionen, die Sie diesen zur Verfügung stellen Werkzeuge. Die meisten Tools können eine Vielzahl von Konfigurationen ausgeben, sowohl starke als auch schwache, und es liegt an Ihnen, die Zahlen anzugeben, die Sie für angemessen halten. Veraltete Standardeinstellungen sind selbstverständlich.

Es ist wichtig zu beachten, dass es sich beim Signieren eines Client-Zertifikats nur um den ** öffentlichen ** Teil handelt. Von der Zertifizierungsstelle sollte kein privater Schlüssel übertragen oder generiert werden.
Könnten Sie bitte Ihre Antwort zum Erstellen eines CA-Zwischenzertifikats erweitern? Vielen Dank.
@André Zwischenzertifikate sind nur normale Zertifikate, deren erweiterte Attribute "basicConstraints = CA: TRUE" festlegen. Nichts Magisches, nur ein weiteres Zertifikat.
@tylerl Alter, du rockst.
Diese Antwort ist FANTASTISCH und war super hilfreich, aber ich muss ein Update für 2017 hinzufügen.Chrome und andere benötigen jetzt die x509v3-Erweiterung "subjectAlternativeName".Andernfalls halten sie das Zertifikat für ungültig, selbst wenn ein CA-Stammzertifikat ordnungsgemäß auf dem System installiert ist.Ich hatte einige Zeit Mühe, die richtige Lösung zu finden.Diese Seite war für mich von unschätzbarem Wert und löste das letzte Puzzleteil für mich: http://cmrg.fifthhorseman.net/wiki/SubjectAltName.IMO: Das Hinzufügen des SAN beim Signieren im Gegensatz zum Anfordern ist sowohl einfacher als auch ähnlicher als das, was die öffentlichen Zertifizierungsstellen tatsächlich tun.
In Kürze wird Certificate Transparency auf Chrome bereitgestellt. Sie fragen sich, wie dieser Ansatz damit funktionieren wird. https://www.youtube.com/watch?v=tJFfDOQT46k
@NickWilliams: oder In-Castle https://security.stackexchange.com/questions/172440/ und weitere Links dort
`openssl genrsa` wurde von` openssl genpkey` abgelöst.Schlagen Sie vor, die Antwort zu aktualisieren, um diese nützlichen Informationen auf dem neuesten Stand zu halten.Wenn ich richtig bin, wäre das Äquivalent (für die Schlüsselgenerierung): `openssl genpkey -algorithm RSA -out root.key -aes-256-cbc -pkeyopt rsa_keygen_bits: 2048`
Ich würde auch die folgende Zeile verwenden, um das Zertifikat zu überprüfen (anstatt die Umleitung zu verwenden): `openssl x509 -noout -text -in root.cert`
jas-
2015-05-19 16:37:47 UTC
view on stackexchange narkive permalink

Wenn Sie wirklich eine Zertifizierungsstelle sein möchten, beachten Sie die Auswirkungen auf die Sicherheit.

  1. Der private Schlüssel, der zum Generieren der Stammzertifizierungsstelle für Ihr Intranet verwendet wird, sollte buchstäblich in einem Safe gesperrt sein . Der Zugriff auf diesen Safe sollte physisch überwacht werden.
  2. Die Verwendung einer selbstsignierten Stammzertifizierungsstelle zwingt Ihre Benutzer, nicht nur darauf zu vertrauen, dass Sie beim sicheren Schutz von Schlüsseln die erforderliche Sorgfalt walten lassen, sondern auch einen anfangs nicht vertrauenswürdigen Stamm einzufügen können in ihre Zertifikatkette aufgenommen werden.
  3. Dies unterbricht auch die OSCP-Heftfunktionalität in Bezug auf die externe Überprüfung der Zertifikatkette, weshalb Identitätsverwaltungsdienste überhaupt vorhanden sind.
    4. ol>

    Nicht wenige würden die Gründe für die Verwaltung Ihrer eigenen Zertifizierungsstelle argumentieren, wie z. Es ist für ein Unternehmens-Intranet gedacht, in dem ein Teil unserer Desktop-Builds die Root-Funktion enthält, oder für eine kleine Anzahl von Benutzern.

    Dies ist zwar nicht unbedingt falsch und bietet möglicherweise einige Vorteile Negieren Sie die Überprüfungskette, für die die zertifikatbasierte Identitätsverwaltung erstellt wurde.

    Wenn Sie sich für die Implementierung Ihrer eigenen Root-CA entscheiden, stellen Sie einfach sicher, dass Sie dieselben Sicherheitspraktiken befolgen wie bei allen anderen Root-Ca-Anwendungen. Als Unternehmen möchten Sie als letztes, dass jemand den privaten Schlüssel, der für Ihre Root-CA verwendet wird, kompromittiert und damit beginnt, Zertifikate für Phishing-Kampagnen gegen Ihre Kunden zu signieren.

    Es stehen unzählige Best Practices-Anleitungen zur Verfügung Das NIST (Nationales Institut für Standards und Technologie) ist eine kollaborative Gruppe, die sich mit verschiedenen Standards für Computersicherheitsthemen befasst.

    Empfohlene Lektüre:
    Auditing (PDF)
    Disaster Recovery (PDF)
    Public-Key-Systeme (PDF)
    Sans Institute in Bezug auf kleinere PKI-Bereitstellungen

    Ok, ich sehe, Sie haben Ihre Frage genauer aktualisiert.

    Zwei Dokumente zum Konfigurieren Ihrer openssl.cnf-Datei für CA-Besonderheiten:

    https: / /www.openssl.org/docs/apps/ca.html

    https://www.openssl.org/docs/apps/config.html

    Mir ist klar, dass dies möglicherweise nicht die gewünschte Antwort ist, sondern die Umgebung und die Anforderungen aller Wenn Sie anders sind, müssen Sie einen Bereich für Ihre CA-Implementierung für eine gute Beispielkonfiguration definieren.

Es gibt keinen Grund, warum Ihre eigene Zertifizierungsstelle OCSP nicht ausführen kann.Sogar die OpenSSL-Befehlszeile kann dies, und das ist ungefähr der niedrigste mögliche Balken.
openssl links sind jetzt 404
LvB
2015-05-15 19:18:25 UTC
view on stackexchange narkive permalink

Es gibt keine Möglichkeit, dies einfach zu tun. Es gibt einige Tools, die Ihnen den Einstieg erleichtern können.

like:

  • XCA
  • EJBCA
  • openssl

    • Abgesehen von möglicherweise EJBCA ist keine von ihnen eine vollständige PKI, aber die Einrichtung ist nicht trivial.

    • XCA ist klein Frontend-Tool, um eine grafische Oberfläche zum Generieren, Signieren und Widerrufen von Zertifikaten zu erhalten.
    • EJBCA oder Enterprise Java Beans Certificate Authority ist eine JBOSS / Jetty-Webanwendung, die die gesamte PKI-Infrastruktur für ein Unternehmen bereitstellen kann.
    • openssl ist das grundlegende Befehlszeilentool. Es kann alle Offline-Bits einer Zertifizierungsstelle ausführen, jedoch keine Überprüfung (sofort einsatzbereit). Sie können damit Ihre eigenen OCSP-Verifizierer erstellen, müssen jedoch den Online-Code dafür selbst erstellen.
    hr>

    Wenn Sie nur nach der richtigen openssl-Konfiguration suchen. XCA kann Ihnen bei der Generierung helfen. (Es verfügt über eine OpenSL-Konfigurations-Exportfunktion

    EJBCA verfügt jetzt über ein VM-Image, das Sie verwenden können. Andernfalls kann "nicht trivial einzurichten" als Untertreibung angesehen werden. Es ist im Grunde ein riesiges Ant-Skript, das versucht, den (JBoss-) Anwendungsserver zu konfigurieren, der ausfallen kann (und in meinem Fall * wird *).
    Das VM-Image dient zu Evaluierungszwecken, daher würde ich es für einen Produktionsserver nicht empfehlen.
    Ich kann in XCA schauen. EJBCA ist definitiv keine Option - ein Webinterface fügt eine unnötige Angriffsfläche hinzu und ist schwieriger einzurichten. Ich bevorzuge es definitiv, nur openssl zu verwenden.
    @André in Bezug auf EJBCA kann auch über die Befehlszeile verwendet werden, sodass Sie die Weboberfläche nicht verfügbar machen müssen. Aber es ist eine Sache auf Unternehmensebene und wahrscheinlich übertrieben für Ihre Zwecke (und ich sage dies als jemand, der seinen Lebensunterhalt damit verdient).
    T.Rob
    2015-05-21 09:27:00 UTC
    view on stackexchange narkive permalink

    Einige gute Hintergrundinformationen finden Sie in meiner Präsentation Erstellen und Betreiben Ihres eigenen Zertifikatsverwaltungszentrums für Mittelmäßigkeit . Der Kern der Präsentation ist, dass das, was am meisten benötigt wird, nicht eine Liste der auszuführenden Befehle ist, sondern ein tiefes Verständnis aller verschiedenen Steuerelemente, die für den Betrieb einer kommerziellen Zertifizierungsstelle erforderlich sind, wie sie miteinander interagieren und welche genauen Auswirkungen das Entfernen hat einer von ihnen, die kumulative Auswirkung des Entfernens mehrerer von ihnen und die mildernden Kontrollen, die erforderlich sind, um die verringerte Sicherheit zu kompensieren.

    Aus diesem Grund gibt es keine "kanonische Antwort zum Einrichten einer einfachen Zertifizierungsstelle". Entweder gehen Sie den gesamten ISO-Weg, beginnend mit einer Schlüsselsignaturpartei, doppelten Stammzertifikaten mit Luftspalt und Tresor, mehreren Zwischenunterzeichnern, Widerrufsservern usw. usw., oder Sie müssen einen Kompromiss auf der Grundlage des einzigartigen Kosten-Nutzen-Verhältnisses entwickeln Risikoprofil, das das Unternehmen zu akzeptieren bereit ist. Jeder, der über ausreichende Fähigkeiten und Erfahrung verfügt, um diese Bewertung per Definition vorzunehmen, benötigt keinen Spickzettel. Sie können die richtige Befehlssyntax analysieren, basierend auf einem tiefen Verständnis der auszuführenden Geschäftsfunktion und der Sicherheitsprimitive, die zur Implementierung dieser Anforderung verwendet werden.

    In der Präsentation finden sich Geschichten aus echten Engagements von Geschäften, die diesen Weg gegangen sind und es schrecklich falsch verstanden haben. In einigen Fällen ergab meine Einschätzung, dass absolut nichts, was ich mit Ihrer Middleware-Sicherheit tun kann, möglicherweise die inhärenten Schwächen der internen Zertifizierungsstelle überwinden kann. Jeder in den USA sollte erkennen, dass er wahrscheinlich Dienstleistungen von mindestens einem der Anbieter kauft, auf die sich die Präsentation bezieht. Dies sind Banken, Kreditgenossenschaften, Krankenversicherer, Einzelhändler und mehr.

    Damit die Empfehlungen "korrekt" sind, muss der Antwortende wichtige Annahmen über Ihre akzeptablen Risikoprofile treffen und Sie müssen wichtige Annahmen darüber treffen, inwieweit Ihre und ihre Risikovorstellungen aufeinander abgestimmt und synchron sind Sehr Vorschlag ist auf den ersten Blick riskant. In den meisten Fällen hat die Beurteilung der Eignung der angebotenen Tutorials mehr mit der Präsentation zu tun als mit dem effektiven Sicherheitsniveau, das sich aus der Einhaltung ihrer Verfahren ergibt. Wenn es gut organisiert und klar artikuliert ist, ist dies VIEL wichtiger als ob es effektiv ist. Wir wählen den kanonischen Spickzettel aus, der für uns am besten aussieht.

    Aus diesen Gründen glaube ich nicht, dass ein glaubwürdiger Experte "korrektes und aktuelles openssl" liefern würde. cnf -Dateien ", sondern bieten bestenfalls einen Bewertungsprozess, um die Anforderungen und das akzeptable Risiko vollständiger zu bewerten. Da Sie das Geschäft auf das Ergebnis setzen, würde dies kein glaubwürdiger Experte außerhalb des Schutzes eines Vertrags tun. Alle Empfehlungen, die Sie erhalten, müssen fast per Definition von einem in glaubwürdigen Experten stammen. Viel Glück.

    Auch für ein Intranet für interne Ressourcen? Möglicherweise möchten Sie auch angeben, dass die Präsentation Ihre eigene ist.
    "Auch für ein Intranet für interne Ressourcen?" *** Besonders *** für das Intranet, da dort die meisten Datenverletzungen auftreten. "Vielleicht möchten Sie auch angeben, dass die Präsentation Ihre eigene ist." Ich dachte, ich hätte bei der Beschreibung meiner Erfahrungen mit den Bewertungen, aber Punkt genommen. Ich habe es aktualisiert.
    goodguys_activate
    2015-05-18 01:52:48 UTC
    view on stackexchange narkive permalink

    Befolgen Sie diese Anweisungen, um eine Windows-basierte Zertifizierungsstelle zu konfigurieren. Beachten Sie beim Ausstellen von Client-Zertifikaten, dass SHA2-Hashes unter XP nicht unterstützt werden.

    Die einfache Antwort lautet:

    1. AD installieren
    2. Installieren Sie eine Unternehmenszertifizierungsstelle auf dem Domänencontroller.
    3. Bearbeiten Sie die Zertifikatvorlage, um Endbenutzerzertifikate auszustellen (legen Sie die Berechtigung für Benutzer fest, sich selbst zu registrieren oder eine Webseite aufzurufen)
    4. Stellen Sie den öffentlichen Schlüssel des Stammzertifikats auf allen Servern bereit, die Benutzer validieren.
    5. Wenn sich die Benutzer in AD befinden, aktivieren Sie die automatische Registrierung mithilfe des Gruppenrichtlinienobjekts


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...