3
Valid SSL Cert in AD Domain
Hallo zusammen,
ich stehe vor einem Problem und brauche Hilfe, da meine Erfahrungen in der Windows AD-Administration begrenzt sind.
Wir haben ein AD mit einer .local-Domain (ich weiß, dass das nicht optimal ist, aber so ist es nun mal) und nutzen den DNS-Server über den DC, um auf verschiedene Services im Netzwerk zuzugreifen.
Ich möchte gerne erreichen, dass alle Services, die über diese .local AD-Domain erreichbar sind, mit einem gültigen SSL-Zertifikat verschlüsselt sind. Ist es möglich, ein Zertifikat über den DC zu erstellen, hochzuladen und auf die .local-Domain zu verteilen? Wenn ja, wie genau?
Mir ist bekannt, dass man mit echten Domains, die auf interne IP-Adressen verweisen, und der Verwendung eines Wildcard-Zertifikats über die DNS-01 Challenge lokale Services mit einer Domain und SSL-Zertifikat erreichen kann.
Danke im Voraus
ich stehe vor einem Problem und brauche Hilfe, da meine Erfahrungen in der Windows AD-Administration begrenzt sind.
Wir haben ein AD mit einer .local-Domain (ich weiß, dass das nicht optimal ist, aber so ist es nun mal) und nutzen den DNS-Server über den DC, um auf verschiedene Services im Netzwerk zuzugreifen.
Ich möchte gerne erreichen, dass alle Services, die über diese .local AD-Domain erreichbar sind, mit einem gültigen SSL-Zertifikat verschlüsselt sind. Ist es möglich, ein Zertifikat über den DC zu erstellen, hochzuladen und auf die .local-Domain zu verteilen? Wenn ja, wie genau?
Mir ist bekannt, dass man mit echten Domains, die auf interne IP-Adressen verweisen, und der Verwendung eines Wildcard-Zertifikats über die DNS-01 Challenge lokale Services mit einer Domain und SSL-Zertifikat erreichen kann.
Danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7538261617
Url: https://administrator.de/contentid/7538261617
Printed on: April 27, 2024 at 08:04 o'clock
3 Comments
Latest comment
Moin,
https://learn.microsoft.com/en-us/mem/configmgr/core/plan-design/network ...
https://www.google.de/search?q=pki+site%3Aadministrator.de
https://www.gradenegger.eu/
https://www.rheinwerk-verlag.de/pki-und-ca-in-windows-netzwerken-das-umf ...
Lese dich ein, verstehe die Thematik und damit verbundenen Problematiken. Gerne können wir auf Unklarheiten und Fragen eingehen. Aber einen Workshop im Bereich PKI kann und will ich hier nicht geben.
Gruß,
Dani
Mir ist bekannt, dass man mit echten Domains, die auf interne IP-Adressen verweisen, und der Verwendung eines Wildcard-Zertifikats über die DNS-01 Challenge lokale Services mit einer Domain und SSL-Zertifikat erreichen kann.
nicht wirklich. TLD's ala .local. werden inzwischen von allen PKIs abgelehnt - unabhängig davon wie die Validierung durchgeführt wird.Ist es möglich, ein Zertifikat über den DC zu erstellen, hochzuladen und auf die .local-Domain zu verteilen? Wenn ja, wie genau?
Da du oberflächlich gefragt hast, gibt es eine kurze Antwort: Nein, Ja, siehe Links:https://learn.microsoft.com/en-us/mem/configmgr/core/plan-design/network ...
https://www.google.de/search?q=pki+site%3Aadministrator.de
https://www.gradenegger.eu/
https://www.rheinwerk-verlag.de/pki-und-ca-in-windows-netzwerken-das-umf ...
Lese dich ein, verstehe die Thematik und damit verbundenen Problematiken. Gerne können wir auf Unklarheiten und Fragen eingehen. Aber einen Workshop im Bereich PKI kann und will ich hier nicht geben.
Gruß,
Dani
Moin,
setz im Netzwerk eine lokale Certification Authority (CA) auf, stell für alle internen Dienste Zertifikate von der CA aus und verteil das Stammzertifikat der CA per GPO im Netzwerk.
LG
setz im Netzwerk eine lokale Certification Authority (CA) auf, stell für alle internen Dienste Zertifikate von der CA aus und verteil das Stammzertifikat der CA per GPO im Netzwerk.
LG
2
Moin.
Ohne lokale PKI keine Chance - zumindest nicht, wenn du mit .local arbeiten willst.
Du kannst natürlich deine "Services" über Split-DNS auch über deinen "echten" Domain-Namen erreichbar machen, dann kannst du ein "echtes" SSL-Zertifikat nutzen. Anders gesagt: Wenn dein Switch01.meinedomain.local die IP 192.168.01 hat => Split-DNS bauen, Eintrag für Switch01.meinedomain.tld machen => lokale IP-Adresse des Switch im lokalen DNS eintragen.
Natürlich musst du dann auf dem Switch das "echte" Zertifikat hinterlegen - aber das musst du auch, wenn du ne eigene PKI mit .local-Zertifikaten hast. Letztlich eine Frage des administrativen Aufwands: PKI bauen, absichern, warten, konfigurieren etc. ist nicht "mal eben" gemacht. Die Lernkurve dafür ist recht steil. Im Vergleich dazu kostet ein Wildcard-SSL-Zertifikat <100,- Euro und kann halt einfach benutzt werden. Klar, Laufzeit max. 12 Monate, muss regelmäßig erneuert und getauscht werden etc. Ich halte das mittlerweile für den besseren Weg.
Wobei das natürlich auch und vor allem davon abhängt, was genau du denn mit SSL absichern willst.
Cheers,
jsysde
Ohne lokale PKI keine Chance - zumindest nicht, wenn du mit .local arbeiten willst.
Du kannst natürlich deine "Services" über Split-DNS auch über deinen "echten" Domain-Namen erreichbar machen, dann kannst du ein "echtes" SSL-Zertifikat nutzen. Anders gesagt: Wenn dein Switch01.meinedomain.local die IP 192.168.01 hat => Split-DNS bauen, Eintrag für Switch01.meinedomain.tld machen => lokale IP-Adresse des Switch im lokalen DNS eintragen.
Natürlich musst du dann auf dem Switch das "echte" Zertifikat hinterlegen - aber das musst du auch, wenn du ne eigene PKI mit .local-Zertifikaten hast. Letztlich eine Frage des administrativen Aufwands: PKI bauen, absichern, warten, konfigurieren etc. ist nicht "mal eben" gemacht. Die Lernkurve dafür ist recht steil. Im Vergleich dazu kostet ein Wildcard-SSL-Zertifikat <100,- Euro und kann halt einfach benutzt werden. Klar, Laufzeit max. 12 Monate, muss regelmäßig erneuert und getauscht werden etc. Ich halte das mittlerweile für den besseren Weg.
Wobei das natürlich auch und vor allem davon abhängt, was genau du denn mit SSL absichern willst.
Cheers,
jsysde
1