Re: Eigene CA

[jz <j.zimmermann@xsiteing.de>]

Hi,

Michelle Konzack wrote:
> Hallo *,
> 
> ich habe schon auf mehreren Listen gefragt, aber leider keine 
> zufriedenstellende antwort bekommen.

Dann solltest Du Deine Frage präziser formulieren.

> Es geht um ein Netzwerk mit rund 3800 Rechnern weltweit wobei
> rund 400 Server sind.  Diese sollen mit signierten Zertifikaten
> ausgestattet werden.
> 
> Beruflich bedingt, sind Verisign & Co als untrusted deklariert.
> 
> Nun ist es so, das wir in Paris einen speziellen Server aufbauen
> müssen, der die CA übernimmt.
> 
> Die Fragen sind:    1)  Wie macht man sowas ?

ISBN: 3-8266-0781-3, PKI e-security implementieren, RSA PRESS
Gibt es auch in englisch.
Sehr empfehlenswert um sich dem Thema PKI zu nähern.
Bei 400 Servern sollte das als Kostenfaktor auch keine Rolle spielen.

>                     2)  Was benötigen wir als Software?

OpenLDAP, openssl, Perl, Apache ..., kommt drauf an.

> Anm.:   Selbstsignierte Certs gehen nicht, da diese auf einem
>         geonwnten Server ja gefälscht werden können.

??
Zur Uebersicht, Du erzeugst ein selbstsignierte CA, welche fuer alle
Zertifikate als oberste Vertrauensintanz anerkannt ist.
Diese CA liegt natuerlich nicht auf irgendeinem Server, sondern auf
einem Rechner, USB-Stick, whatever und ist sicher verschlossen
(Schliessfach bei der Bank). Alle unteren Instanzen vertrauen dieser CA
und gut ist.
Bei dieser Menge an Rechner, kann ich Dir nur wärmstens empfehlen, lies
Dich etwas tiefer ein. Die Probleme sind eher nicht technischer Natur,
sondern organisatorischer.

-Joerg