Kann ich Active Directory als Zertifizierungsstelle zum Erstellen von Test-SSL-Zertifikaten für IIS verwenden?

7

Wir haben eine interne Testversion unserer Website, die (über interne DNS-Zonen) als www.mysite.com.test verfügbar ist

Ich möchte ein SSL-Zertifikat für www.mysite.com.test erstellen, damit unsere Tester keine ungültige Zertifikatwarnung erhalten (das "echte" Zertifikat ist an www.mysite.com gebunden).

Ich weiß, wie man mit OpenSSL selbstsignierte Zertifikate erstellt, aber ich frage mich, ob es eine Möglichkeit gibt, die Zertifizierungsstelle mit unserer Active Directory-Domäne zu verknüpfen, damit jeder Benutzer auf einem PC, der Mitglied der Domäne ist, die selbstzertifizierten Zertifikate akzeptiert. signiertes Zertifikat, ohne es explizit installieren zu müssen (oder explizit die selbstsignierende Zertifizierungsstelle als vertrauenswürdige Autorität zu installieren)

Irgendwelche Ideen?

active-directory iis ssl openssl certificate Dylan Beattie
quelle
1
Ich würde vorschlagen, den Titel zu ändern, da Sie Begriffe missbrauchen. OpenSSL- oder MS-Zertifikatdienste wären die CA-, AD- oder Gruppenrichtlinie, lediglich eine Methode zum Ausrollen des vertrauenswürdigen Stamms.
James Ryan

Antworten:

8

Sie können vertrauenswürdige Wurzeln über Gruppenrichtlinien hinzufügen. Erstellen Sie also ein selbstsigniertes Zertifikat, rollen Sie dieses als vertrauenswürdiges Stammverzeichnis aus, und jedes Zertifikat, mit dem Sie es signieren, wird als vertrauenswürdig eingestuft.

Policy Object Name/Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certification Authorities

Das Einrichten der MS Certificate Authority ist nicht erforderlich

James Ryan
quelle
Fantastisch. Genau das, wonach ich gesucht habe, aber nicht wusste, wie ich danach fragen soll. :)
Dylan Beattie
2

Wenn auf einem Server, auf dem die AD CS-Rolle ausgeführt wird, ein Zertifikat ausgestellt wird, ist es nicht mehr selbstsigniert, sondern wird von Ihrer internen Zertifizierungsstelle ausgestellt. Um den größeren Punkt zu beantworten, können Sie dies tun. Sie müssen die Rolle der Active Directory-Zertifikatdienste installieren und von dort aus die Zertifikate erstellen / verteilen. Für diesen Anwendungsfall muss OpenSSL nicht berührt werden.

MDMarra
quelle
1
Sie benötigen dazu keine MS-Zertifizierungsstelle, wenn Sie die Zertifikate bereits mit OpenSSL
JamesRyan
@JamesRyan Absolut richtig, ich habe den letzten Absatz der Frage gelesen, als er eine Zertifizierungsstelle wollte, die vollständig in AD integriert ist. Ich wollte nicht implizieren, dass Sie ein in OpenSSL erstelltes Zertifikat nicht verteilen können - nur, dass es mit einem ADCS-Server nicht erforderlich wäre.
MDMarra
1

Um Ihre Frage genau zu beantworten: Nein, Sie können mit Active Directory kein selbstsigniertes Zertifikat erstellen. Ich denke jedoch, dass Ihre Frage verschiedene Dinge vermischt.

  • Selbstsignierte Zertifikate werden NICHT von einer Behörde ausgestellt (deshalb sind sie selbstsigniert ).
  • Sie können eine Zertifizierungsstelle in Active Directory integrieren, um Server- und Benutzerzertifikate zu automatisieren.

Für die Erstellung selbstsignierter Zertifikate stehen Ihnen zahlreiche Optionen zur Verfügung. Wenn Sie ein Windows-Shop sind, ist dies am einfachsten über IIS (siehe hierzu: http://technet.microsoft.com/library/cc753127%28WS.10%29 ). Sie können dies auch mit OpenSSL tun (ziemlich chaotisch, funktioniert aber), mit dem Tool makecert.exe, das mit dem .NET SDK geliefert wird, oder mit einer Reihe ähnlicher Tools (ich verwende dafür mein eigenes Tool, aber das bin nur ich).

Für die Integration einer Zertifizierungsstelle in AD besteht die einfachste Möglichkeit darin, die Zertifikatsdienstrolle auf einem Computer zu installieren und für die AD-Integration zu konfigurieren (obwohl dies in Ihrem Fall nicht erforderlich zu sein scheint, es sei denn, Sie möchten sie für andere Zwecke verwenden ).

Schließlich möchten Sie möglicherweise Ihr eigenes Stammverzeichnis erstellen, das nicht in AD integriert ist. Sofern Sie nicht mit der Clientzertifikatauthentifizierung arbeiten müssen, verfügen Sie über viele verschiedene Server (mit unterschiedlichen Namen), die Sie zum Testen (und möglicherweise zum automatisierten Testen) verwenden möchten, oder wenn Sie in der Lage sein möchten, einen Aspekt Ihrer Anwendung zu testen, der spezielle verwendet Zertifikateigenschaften oder Verkettung, es ist wahrscheinlich nicht die Mühe wert.

Unter der Annahme, dass ich es richtig verstanden habe und Sie Ihre Web-App nur mit einem Zertifikat testen möchten, würde ich in Ihrem Fall lediglich ein selbstsigniertes Zertifikat generieren (mit einem beliebigen Tool, das Ihnen am besten gefällt) und dieses Zertifikat dann im installieren korrekte Speicherung auf Ihrem Testcomputer (um Zertifikatswarnungen und -fehler zu vermeiden)

Stephane
quelle
Vielen Dank. Das Problem hierbei ist, dass es sich nicht um eine Testmaschine handelt, sondern um etwa zwei Dutzend Personen, die verschiedene Dinge an verschiedenen Produkten testen. Das Installieren und Autorisieren des Zertifikats bereitet also Kopfschmerzen. Vielen Dank für den Rat - Zertifikatsservices scheinen eine gute Idee zu sein ...
Dylan Beattie
Test bedeutet nicht, dass es auf ein einzelnes System beschränkt ist. Dies bedeutet, dass es auf eine bestimmte Sicherheitszone beschränkt ist, in der Sie ein zusätzliches Risiko als Preis für die für das Testen erforderliche Flexibilität akzeptieren. Es ist ziemlich üblich, dass zwei verschiedene Zertifizierungsstellen für eine einzelne Anwendung verwendet werden: of wird nur zum Testen verwendet (und ist im Allgemeinen eine private, da es auf diese Weise viel billiger ist), die andere ist eine öffentliche, die für die allgemeine Bereitstellung verwendet wird.
Stephane
-2

Kann ich mit Active Directory als Zertifizierungsstelle ein selbstsigniertes IIS-Zertifikat erstellen?

Nein, du kannst nicht. Einfacher Punkt - AD ist KEINE CA. Einfach so.

Windows verfügt über eine CA-Komponente, die Sie installieren können, es handelt sich jedoch nicht um AD. Es ist eine separate Rolle. Sobald Sie dies getan haben - warum sollten Sie überhaupt ein selbstsigniertes Zertifikat verwenden?

TomTom
quelle
Er bittet eigentlich nicht darum, AD als Zertifizierungsstelle zu verwenden. Er fragt, wie Zertifikate für eine Domain bereitgestellt werden sollen. Sein Titel ist falsch, aber Sie beantworten das eigentliche Problem nicht.
James Ryan