Zertifikatsserver win2008

S

servo

New Member
Hallo,

da ja mit zunehmenden Maße die Zertifikate überall Einzug halten habe ich mir mal Gedanken gemacht zu der Sache und mich informiert. Dazu ist mir eine Frage aufgekommen.

Die qualifizierten Zertifikate,bsp. EV-SSL werden ja ziemlich teuer, scheint ja ein guter Markt zu sein^^

Wäre es eine Möglichkeit/Lösung wenn man sich 1 qualitatives Zertifikat, nehmen wir gleich das EV-SSL organisiert, und anschließend über einen Zertifikat-Server eigene Zertifikate ausstellt für Anwendungen im/für das Unternemen. Diese werden dann immer gegen das "Root" Zertifikat verifiziert.

Ist meine Annahme so richtig oder geht das nicht, Denkfehler, Lizenzfehler etc?:)
 
Last edited by a moderator:
Hallo,

nein, das geht nicht. In einem Zertifkat sind auch die Operationen aufgeführt, die mit dem Zertifikat ausgeführt werden können. Üblicherweise steht dort z.B. "Serverauthentifizierung", "Digitale Signatur" und andere. Um selber beglaubigte Zertifikate ausstellen zu können, muß etwa der Zweck "Zertifikatsignatur" in der Liste enthalten sein. Ein solches Zertifikat bekommt man aber nicht so einfach, eben weil damit dem Missbrauch Tür und Tor geöffnet würde.

Gruß
 
Intern kannst du dir eine eigene CA aufbauen. Die machst du im Unternehmen bekannt und signierst dann damit deine eigenen Zertifikate.
 
Das klappt aber nur, wenn die Zertifizierungsstelle mit einem Zertifikat ausgestattet ist, das eben den erwähnten Zweck "Zertifikatssignierung" enthält. Ein solches Zertifikat aber erhält man als Normalsterblicher nur dann, wenn man sich selbst eines erstellt. Damit erteilte Zertifikate werden natürlich von niemandem anderen als gültig (d.h. "beglaubigt") anerkannt, weil es das selbst erstellte Wurzel-Zertifikat schließlich auch nicht ist.
 
Nein. Wenn man die Hoheit über die Clients hat, kann man auch sein eigenes CA-Zertifikat verteilen. Die Clients vertrauen dann auch allen Zertifikaten, die die eigene CA signed. Genau so funktioniert jede gängige Zertifikate-Lösung.

Wie der OP schreibt, geht es hier um den Einsatz innerhalb eines Unternehmens. Die Zertifikate sollen nicht in der freien Wildbahn gültig sein.
 
Last edited by a moderator:
In einem eigenen Netzwerk, ja, klar.

Aber das bringt nichts, wenn man sich ein Zertifikat offiziell kauft, damit aber nun zwei Domains mit SSL ausstatten will.
 
You must log in or register to reply here.
Back
Top