Re: AW: Eigene CA
hi Miro,
Miro Dietiker, MD Systems wrote:
> Hi Jörg!
>
>>>>>Anm.: Selbstsignierte Certs gehen nicht, da diese auf einem
>>>>> geonwnten Server ja gefälscht werden können.
>>>>>
>>>>
>>>>Dies versteh ich in diesem Zusammenhang allerdings nicht.
>>>
>>>Selbstsignierte Certifikate können nicht überprüft werden...
>>>Bei einem von einer CA signiertem Cert reicht ein klick zum testen.
>>
>>Und wer signiert CA cert's? ...
>>Es gibt keinen technischen Unterschied zwischen einer Root CA und
>>einer eigenen CA (die in dem jeweiligen Kontext ebenso eine Root CA
>>darstellt).
>>Auch Root CA's sind selbstsigniert, bestenfalls signieren sich die
>>Root CA's gegenseitig. Das ist das Wesen einer Root CA, sie steht
>>halt an der Wurzel.
>
>
> Für Deinen Fall würde ich einfach allen Roots nicht trauen,
> eine eigene Root-CA (ja, mit self-signed-CA) aufsetzen, alle
> clients trauen dann explizit nur dieser Root-CA, und sämtliche
> Zertifikate für Rechner werden durch diese Root-CA signiert.
>
> Alle clients kennen also nur deine Root und die Server sind
> absolut trusted... (sofern du den Private-Key deiner Root-CA
> usw gut aufbewahrst, wie bereits früher vorgeschlagen ;;-) )
>
> So ist doch kein Zertifikat fälschbar, oder was stellst du dir da noch
> für Hacks vor?
Ich glaube Du verwechselst mich. Ich habe keinen Zweifel an der
Sicherheit einer eigenen CA.
Eher im Gegenteil ;)
> Und ähm ... schöne Festtage!
Ja Danke, und ruhige bitte.
-Joerg
Reply to:
- References:
- AW: Eigene CA
- From: "Miro Dietiker, MD Systems" <miro.dietiker@md-systems.ch>