W2KS Fragen zu ZertifikatsDienst?

04/12/2013 - 13:56 von Kay Martinen | Report spam
Hallo

In http://localhost/iishelp/iis/htm/core/iiocrsc.htm finde ich:


Verwenden Sie den Zertifikats-Assistenten, um ein Serverzertifikat
anzufordern und zu installieren. Anmerkungen

Onlineanforderungen zu Serverzertifikaten können nur bei Enterprise
Zertifikatsdiensten erfolgen. Der IIS-Zertifikats-Assistent erkennt
keine eigenstàndige Installation der Zertifikatsdienste auf demselben
Computer. Mithilfe der Offlinezertifikatsanforderung können Sie die
Anforderung in einer Datei speichern und dann als Offlineanforderung
verarbeiten (weitere Informationen finden Sie in der Dokumentation zu
den Zertifikatsdiensten). Die Onlineeinschreibung mittels einer
lokalen Installation der Enterprise Zertifikatsdienste wird hiervon
nicht beeinflusst.



Den Dienst Zertifizierungs-Stelle habe ich als eigenstàndige
Stammzertifizierungs-Stelle installiert - weil mir dies die Passende
Wahl erschien. Ich brauche; aktuell nur zu Testzwecken; eigentlich nur
lokale Zertifikate und will keine Externen Stellen mit einbinden,
deshalb. Und kosten soll das nat. auch erst mal nix.

Nur, war das jetzt ein Fehler? Obiges liest sich so als ob ich doch die
Standard -option beim Installieren wàhlen sollte. Oder ist das dann
immer noch kein "Enterprise" Zert.dienst?

Ich verstehe den 3. Satz auch so das der Zert.dienst auf einem
Getrennten Computer laufen muß.

Der IIS-Zertifikats-Assistent bietet auch erst gar nicht die Möglichkeit
an, sondern gleich die Offline-Methode. Doch nach dem Speichern der
Anforderung komme ich nicht weiter.

Ich fand bisher nicht raus wie ich dem ZertifikatsDienst diese Datei
vorwerfe. Der; erwartet simple; Weg über "in Datei exportieren" und "aus
Datei in ein Programm importieren" scheint falsch zu sein.

Wie geht das dann, kann mir das jemand kurz erklàren? Danke.

Kay
 

Lesen sie die antworten

#1 Joerg Gerlach
04/12/2013 - 19:50 | Warnen spam
On 04.12.2013 13:56, Kay Martinen wrote:
Wie geht das dann, kann mir das jemand kurz erklàren? Danke.



Du hast eine Stand-Alone-CA installiert. Das heisst, sie integriert sich
nicht in ein Active Directory, kann keine Benutzerzertifikate ausstellen
(zB. für Anmeldungen an Diensten), unterstützt kein Auto-Enrollment (man
muss die ausgestellten Zertifikate selbst in die Zertifikatspeicher auf
den betroffenen Systemen importieren) und kennt keine
Zertifikatsvorlagen. Diese Vorlagen sind nützlich, wenn man Benutzern
die Möglichkeit einer Zertifikatsanforderung geben möchte und dabei
diverse Dinge wie Gültigkeitsdauer, anzugebende Infos etc. vorschreiben
möchte.

Dafür sollte man die Stand-Alone-CA als Root-CA einsetzen. Unter diese
Root-CA kann man das Sub-CAs setzen, deren Zertifikat von der Root-CA
signiert wurde und welche man nutzt, um eben die eigentlichen Benutzer-
und Clientzertifikate auszustellen.

Du nutzt Deine Root-CA dafür, um direkt Serverzertifikate auszustellen.
Kann man machen, für Deine Testzwecke sicherlich ausreichend.
Vergiss nicht, das Zertifikat dieser Root-CA auf Deinen Systemen als
vertrauenswürdiges Stammzertifizierungsstellenzertifikat zu verteilen.
Andernfalls wird Dein Webserver-Zertifikat als nicht vertrauenswürdig
moniert.

Da Dein Webserver keine Enterprise-CA findet, bietet er nur die
Offline-Zertifikatsanforderung an.

Mit dieser Zertifikatsanforderung gehst Du zur Website Deiner CA
(http://fqdn-deiner-ca/certsrv) und startest den Vorgang "Request a
certificate).

Alles weitere findest Du zum Beispiel hier:

http://www.isaserver.org/img/upl/ex...ebcert.htm
(ab Abbildung 26 und ja, die Bilder sind bei mir auch schwarz)

teilweise auch hier:
http://www.techrepublic.com/article...-2000-pro/

Viele Grüße,

J-

Ähnliche fragen