Für einen Intranet-Server verwende ich ein selbstsigniertes Zertifikat, dem ich systemweit vertrauen möchte. Ich habe die Zertifikatsausnahme in Firefox hinzugefügt, aber dies ist in Chrome, Konsolenanwendungen, IDEs usw. nicht möglich.
Aus diesem Grund möchte ich, dass das Zertifikat systemweit als vertrauenswürdig eingestuft wird. So wie ich es verstanden habe, ist die empfohlene Vorgehensweise, es als Stammzertifizierungsstelle zu installieren:https://blogs.technet.microsoft.com/sbs/2008/05/08/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista/
So wie ich es auch verstanden habe, bedeutet das, dass derjenige, der das selbstsignierte Zertifikat kontrolliert, nun eine Stammzertifizierungsstelle kontrolliert, die gefälschte Zertifikate signieren kann fürbeliebigSite auf meinem Rechner. Stimmt das und wenn ja, wie kann ich das verhindern? Ich möchte nur einen einzigen Intranet-Server selbstsigniert haben, nicht möglicherweise alle Dienste, die ich verwende.
Was ist hier die empfohlene Vorgehensweise im Umgang mit Intranet-TLS?
Antwort1
Wenn der Server unter Ihrer Kontrolle ist:
- Erstelle eintatsächlichStammzertifizierungsstelle (z. B. mit Easy-RSA- oder XCA- oder Windows Server-CA-Rolle).
- Ersetzen Sie das selbstsignierte Serverzertifikat durch ein von Ihrer benutzerdefinierten Zertifizierungsstelle ausgestelltes Zertifikat.
- Stellen Sie sicher, dass das gerade ausgestellte Zertifikat tatsächlich als „Leaf“-/„End-Entity“-Zertifikat gekennzeichnet ist. Suchen Sie nach der Erweiterung „X.509v3 Basic Constraints“ – sie muss vorhanden sein und „CA: FALSE“ lauten.
- Installieren Sie das Stammzertifikat der benutzerdefinierten Zertifizierungsstelle auf Ihrem Computer.
- Speichern Sie den privaten CA-Schlüssel sicher, sodass er nur dann zugänglich ist, wenn Sie ein neues Zertifikat ausstellen müssen.
Da das Zertifikat des Servers „Grundlegende Einschränkungen: CA: FALSE“ enthält, kann er keine neuen Zertifikate nur mit seinem eigenen Schlüssel ausstellen.
(Der Grund, warum Sie eine separate Zertifizierungsstelle benötigen, liegt darin, dass die direkte Installation des selbstsignierten Zertifikats des Servers in den Ordner „Vertrauenswürdige Zertifizierungsstelle“ dazu führen kann, dass das System grundlegende Einschränkungen ignoriert – schließlich wird es als Zertifizierungsstelle installiert. Durch die Trennung wird dieses Problem vermieden, da Sie die Schlüssel der Stammzertifizierungsstelle schützen können.)
Als Bonusfunktion müssen Sie dem Serverzertifikat nicht erneut vertrauen, wenn es abläuft oder sich sein Name ändert – verwenden Sie einfach dieselbe Stammzertifizierungsstelle, um ein neues Zertifikat auszustellen.