Zum Inhalt springen
  • 0

ROOT CA standort


f3nnek

Frage

6 Antworten auf diese Frage

Empfohlene Beiträge

  • 0

Moin,

vor 38 Minuten schrieb f3nnek:

wo sind den diese (Standort)

da wo die Firmen ihren Hauptsitz haben. Das findest du auf der jeweiligen Website der CA. Achte aber nicht nur auf den Standort der jeweiligen CA, sondern vor allem auf die Vertraulichkeit der CA, welche Prüfverfahren angeboten werden und wie die Akzeptanz der Zertifikate von der CA bei Browsern und Betriebsystemen sind. 

Zitat

Ausstellung eigentlich mit Kosten verbunden?

Das kommt auf die jeweilige CA drauf an, welches Zertifikat und wie die Verifizierung ablaufen soll. In den meisten Fällen reicht aber ein Zertifikat von Lets Encrypt vollkommen aus. Die sind kostenlos, einfach und schnell zu besorgen. Die Zertifikate werden inzwischen von allen gängigen Browsern und Systemen akzeptiert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor einer Stunde schrieb f3nnek:

Eine Frage diese Root CA´s die Root Zertifikate ausstellen, wo sind den diese (Standort)

"Im Internet" sind sie :)

Wahrscheinlich am Hauptstandort der Firmen, es kann aber auch sein, dass nur die firmeninterne Root-CA dort steht und diverese Sub-CAs auf den unterscheidlichen Kontinenten verteilt sind. Das halte ich sogar für wahrscheinlich, alles auf ein Pferd (eine Maschine) zu setzen wäre in dem Bereich grob Fahrlässig.

Zitat

und ist so eine Ausstellung eigentlich mit Kosten verbunden?

Jemand, der sich im Breicht Zertifikate weiterbilden möchte, sollte in der Lage sein das selbst herauszufinden :).

Kurze Antwort: Kommt darauf an.

Lange Antwort: Kommt darauf an für was ein Zertifikat verwendet werden soll, wie angesehen es sein soll, welche Laufzeit, managed PKI...

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Zunächst mal ist eine ROOT CA kein Ding sondern auch nur ein Stück Software, einen Standort zu bestimmen ist in dem Fall recht irrelevant. Da eine ROOT CA sich normalerweise selbst signiert sind auch die Kosten für so ein Zertifikat nicht wirklich bestimmbar. 

Letztlich kannst du deine eigene CA aufsetzen und auf Computern über die du die Kontrolle hast zu einer ROOT CA machen. Du kannst deine CA auch von jemand anderem signieren lassen, dann ist es aber keine ROOT CA (mehr).

vor 10 Stunden schrieb Maniska:

Sub-CAs auf den unterscheidlichen Kontinenten verteilt sind. Das halte ich sogar für wahrscheinlich, alles auf ein Pferd (eine Maschine) zu setzen wäre in dem Bereich grob Fahrlässig.

Fragwürdig, ich kann zwar mehrere ROOT CAs haben, aber wenn meine "SUB CAs" auf die gleiche ROOT CA angewiesen wären, hätte ich ja wieder das "Problem" das du verhindern willst. Allerdings ist das auch gar kein Problem, eine ROOT CA muss nicht 24/7 erreichbar sein. Ausgestellte Zertifikate bleiben gültig bis sie zurückgezogen werden. Auch wird die Chain-of-Trust dadurch nicht unterbrochen. Natürlich können in der Zeit keine Zertifikate ausgestellt oder zurückgezogen werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Aso ok. dachte immer das eine Root CA immer selbstständig sein muss (eigene Firma). Habe schon Anleitungen gesehen wie dann quasi eine root Zertifikatsstelle erstellt wird. siehe: https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil-1-installation-einer-enterprise-root-ca/

ist dann eine "normale" Zertifizierungsstelle unter Windows Server dann eine Untergeordnete Stelle?

16a2.png

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
Zitat

Aso ok. dachte immer das eine Root CA immer selbstständig sein muss (eigene Firma)

Nein. Grundsätzlich kann jeder eine Root CA aufbauen. Der Knackpunkt ist aber, dass das Zertifikat deiner CA nicht im Trusted Store des Zertifikatsspeichers in Betriebsystemen/Browsern vorhanden ist. Sowas wird daher vor allem nur für die interne IT angewendet, wo du das Zertifikat deiner Root CA an die Clients automatisch ausrollen kannst.

Nun gibt es Firmen wie Thawte oder Comodo, dessen Zertifikate für ihre Root CAs in den Betriebsystemen/Browsern hinterlegt ist. Somit vertrauen weltweilt alle Clients dessen ausgestellte Zertifikate. Wenn du also z.B eine Website betreibst, dann brauchst du ein solches Zertifikat von einer öffentlichen CA.

Zitat

ist dann eine "normale" Zertifizierungsstelle unter Windows Server dann eine Untergeordnete Stelle?

Nein. Es gibt ja noch keine Untergeordnete Stelle. Du baust dir ja erstmals eine komplett eigene CA auf. Anschließend könntest du weitere Sub CAs auf Basis der Root CA erstellen. Das ist vor allem bei größeren Unternehmen von Vorteil, für den Fall, dass eine Sub CA kompromittiert wird. In diesen Fall muss lediglich die Sub CA und alle von der ausgestellten Zertifikate widerrufen werden statt alle. Somit hält sich der Schaden in grenzen.

Bearbeitet von ADM
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 23 Minuten schrieb f3nnek:

Aso ok. dachte immer das eine Root CA immer selbstständig sein muss (eigene Firma). Habe schon Anleitungen gesehen wie dann quasi eine root Zertifikatsstelle erstellt wird. siehe: https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil-1-installation-einer-enterprise-root-ca/

ist dann eine "normale" Zertifizierungsstelle unter Windows Server dann eine Untergeordnete Stelle?

Gib mal spaßeshalber bei einem Windowsrechner certlm.msc ein und schau mal was sich da alles unter "vertrauenswürdige Stammzertifizierungsstellen" tummelt. Vor allem schau mal was für eine lange Laufzeit diese Zertifikate haben.

Prinzipiell kann sich jeder eine Root-CA basteln, nur wird dieser "in der Welt" niemand vertrauen.

Vergleiche es mal mit Bargeld, den Spruch "das Papier nicht wert auf dem es gedruckt ist" kennst du sicher. Eine öffentliche CA ist wie der Euro, der Dollar, das Pfund oder auch Gold, man vertraut dieser Währung. Deine eigene Root-CA ist hingegen wie Monopolygeld oder Muscheln: Wenn man sich im sozialen Umfeld einig ist dass man intern damit bezahlen kann, dann ist das zwar toll, beim Bäcker bekommt man aber doch eher eine Schelle, statt einer Stulle für die bunten Scheine :)

Da "richtige" Zertifikate von öffentlichen Stellen Geld kosten (und max. 3 Jahre gültig sind) gehen viele Firmen her und nutzen intern sogenannte "self signed" Zertifikate, also Zertifikate die sie sich selbst signiert haben. Damit spart man Geld und kann trotzdem gewisse Sicherheitsstandards einhalten oder durchsetzen. Sei es https für das Urlaubstool im Intranet oder das Clientzertifikat für die Anmeldung im internen WLAN. Auch VMware kann nur über https erreicht werden, es wird aber im Default das Zertifikat als "nicht vertrauenswürdig" angemeckert, da es von keiner RootCA ausgestellt wurde, der man vertraut.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...