{"id":1885,"date":"2015-01-17T17:26:40","date_gmt":"2015-01-17T15:26:40","guid":{"rendered":"http:\/\/www.windows-infrastructure.de\/?p=1885"},"modified":"2021-03-06T18:09:00","modified_gmt":"2021-03-06T16:09:00","slug":"installation-einer-zweistufigen-pki-two-tier-pki","status":"publish","type":"post","link":"http:\/\/www.windows-infrastructure.de\/installation-einer-zweistufigen-pki-two-tier-pki\/","title":{"rendered":"Installation einer zweistufigen PKI (two tier pki)"},"content":{"rendered":"

das folgende\u00a0Beispiel zeigt das Setup\u00a0f\u00fcr eine interne zweistufige Zertifizierungsstelle.\u00a0Die erste Stufe\u00a0ist eine CA (Certification Authority)<\/em>\u00a0auf\u00a0einem Server, der nicht\u00a0Mitglied der Dom\u00e4ne ist. Dieser Server\u00a0(Root CA)\u00a0stellt\u00a0lediglich ein Zertifikat f\u00fcr eine untergeordnete Instanz aus, und hat damit auch die M\u00f6glichkeit diese zu sperren. Die Root CA ist aus Sicherheitsgr\u00fcnden ausgeschalten, und wird nur zum Verl\u00e4ngern der Sperrliste eingeschalten. Die untergeordnete Instanz (Enterprise CA)<\/em> ist ein Server, der Mitglied der Dom\u00e4ne ist. Dieser stellt die Zertifikate f\u00fcr die Clients aus, und nimmt die Requests entgegen.<\/p>\n

Das Setup sieht die Verteilung der Zertifikate und Sperrlisten (Root- und Enterprise CA)<\/em> an zwei Punkten vor.\u00a0Der erste ist ein Webserver, der auch\u00a0von nicht Dom\u00e4nen Clients kontaktiert werden kann. Voraussetzung ist eine funktionierende Namensaufl\u00f6sung sowie Zugriff mit dem HTTP Protokoll. Der Webserver wird mit einem im DNS System definierten CNAME angesprochen. Das bietet die M\u00f6glichkeit, den Webserver\u00a0unkompliziert auszutauschen oder\u00a0mit einem Loadbalancer f\u00fcr Redundanz auszustatten. Der zweite Verteilungspunkt ist das Active Directory. Der Zugriff erfolgt von Dom\u00e4nen Clients bevorzugt an diesem Punkt mit dem LDAP Protokoll. Beim\u00a0Einsatz mehrerer\u00a0Domain Controller ist der Zugriff hochverf\u00fcgbar.<\/p>\n

In Aussenstellen\u00a0werden die Clients durch die AD Site-Awareness die angefragten Informationen vom lokalen Domain Controller erhalten. Die Zertifikatspr\u00fcfung ist dann f\u00fcr\u00a0Domain Clients schneller, und auch bei Ausfall der Leitung zur\u00a0Zentrale m\u00f6glich. Der Webserver ist in der Regel nur \u00fcber die\u00a0Zentrale erreichbar.<\/p>\n

\u00a0\"zweistufige<\/h3>\n

<\/h3>\n

<\/span><\/span><\/p>\n

Vorbereitungen<\/h2>\n

folgende Server sind neben einer vorhandenen Active Directory Dom\u00e4ne notwendig<\/p>\n