Wie kann ich dafür sorgen, dass ein privates SSL-Zertifikat von Endbenutzern in zwei separaten ActiveDirectory-Domänen als vertrauenswürdig eingestuft wird?

Wie kann ich dafür sorgen, dass ein privates SSL-Zertifikat von Endbenutzern in zwei separaten ActiveDirectory-Domänen als vertrauenswürdig eingestuft wird?

Ich habe eine Webanwendung, die SSL verwendet. Die Website ist nicht öffentlich zugänglich und nur für den privaten internen Zugriff in unserem Unternehmen bestimmt.

Aus Sicherheitsgründen betreiben wir zwei separate Active Directory-Domänen und -Netzwerke, aber diese spezielle Webanwendung ist für Benutzer beider Domänen zugänglich. Wir unterhalten in jeder Domäne private Zertifizierungsstellen, um Zertifikate für Webserver zu generieren.

Die betreffende Webanwendung verfügt über ein gültiges Zertifikat, das von einer der Zertifizierungsstellen ausgestellt wurde, und alle Benutzer dieser Domäne „vertrauen“ der Website. Benutzer der anderen Domäne können auf die Website zugreifen, erhalten jedoch eine Zertifikatswarnung.

Da ich meine Benutzer nicht dazu erziehen möchte, Warnungen zu ignorieren, würde ich gerne eine Art Vertrauensbeziehung zwischen den Zertifizierungsstellen herstellen, weiß aber nicht, wie das geht.

Um es noch einmal zu wiederholen …

DOMAIN1 und DOMAIN2 haben jeweils ihre eigenen Zertifizierungsstellen. WEBAPP ist Mitglied von DOMAIN1 und verfügt über ein signiertes SSL-Zertifikat der Zertifizierungsstelle von DOMAIN1, sodass alle Benutzer von DOMAIN1 dem Zertifikat vertrauen. Alle Benutzer von DOMAIN2 erhalten Zertifikatsfehler.

Antwort1

Es besteht keine Möglichkeit, dass der Eindruck entsteht, ein Zertifikat sei von mehr als einer Zertifizierungsstelle ausgestellt worden – es handelt sich um eine direkte Eltern-Kind-Beziehung.

Zwei Optionen, die mir einfallen:

  • Vertrauen Sie der Zertifizierungsstelle von Domäne1 für Clients in Domäne2. Sie kann in die AD-Zertifikatspeicher importiert oder direkt über die Gruppenrichtlinie angewendet werden.
  • Richten Sie auf dem Webserver an einem anderen Port oder einer anderen IP einen separaten Listener ein, auf den die Clients von Domäne2 mit einem von der Zertifizierungsstelle von Domäne2 ausgestellten Zertifikat zugreifen können.

Antwort2

Ich vermute, dass Ihre Sicherheitsgründe die Erstellung einer Domänenvertrauensstellung zwischen den beiden nicht zulassen.

Exportieren Sie also das Root-CA-Zertifikat aus DOMAIN1. Veröffentlichen Sie es als vertrauenswürdige Root-CAüber ein Gruppenrichtlinienobjektin DOMAIN2. Ihre Benutzer sollten keine Warnungen mehr zu nicht vertrauenswürdigen CAs sehen.

Alternativ können Sie sich viel Zeit und Ärger sparen, wenn die betreffenden internen Sites öffentlich routbare FQDNs haben (also site.com statt site.local), indem Sie ein 10-Dollar-SSL-Zertifikat von eNom oder einem ähnlichen Anbieter erwerben. Wenn die Konfiguration viel Zeit in Anspruch nimmt, ist es lohnenswert, die 10 Dollar auszugeben, anstatt Ihre wertvollere Zeit zu investieren.

verwandte Informationen