Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Zertifikatsdienste

Gast diana
Gast diana
in Windows

Empfohlene Antworten

Guten Morgen,

es geht um Verschlüsselung von Daten. Da habe ich erfahren, dass man solche Dinge wie Zertifikate und Authentifizierung auch auf Windows 2000 Server konfigurieren kann, ohne ein Programm mit asymmetrischer Verschlüsselung zu schreiben. Leider habe ich keinen blassen Schimmer und auch keine Literatur darüber. Wäre also schön, wenn jemand Bescheid weiß oder gar schonmal so was aufgebaut hat. Ich weiß nämlich nicht mal wo ich anfangen soll... :-(

Hallo!

Nun, ein Zertifikat bekommst Du entweder von einer im Web erreichbaren Zertifizierungsstelle (=CA) oder von einer solchen, die möglicherweise im Unternehmensnetz installiert ist.

Ab Windows 2000 besteht die Möglichkeit, über IPsec den Netzwerkverkehr zu verschlüsseln: Start, Ausführen: mmc

Dort: Konsole (Datei) Snap-In hinzufügen, hinzufügen: IP-Sicherheitsrichtlinienverwaltung -> beim Server "lokaler Computer" auswählen, Fenster schließen.

Du siehst innerhalb der MMC die drei Standardimplementierungen für IPsec-Verkehr:

1. Client (nur Antwort): bedeutet, dass der Client keinen IPsec-Verkehr initiieren kann; wenn er aber danach gefragt wird, kann er auf IPsec-Ebene antworten und eine verschlüsselte Kommunikation ist möglich.

2. Server (Sicherheit anfordern): bedeutet, dass dieser Rechner gerne IPsec machen würde; unterstützt der Kommunikationspartner dies, erfolgt die Kommunikation verschlüsselt, andernfalls eben nicht.

3. Sicherer Server (Sicherheit erforderlich): bedeutet, dass die Gegenseite IPsec unterstützen muss, andernfalls lehnt der Server die Kommunikation ab.

In der Standardeinstellung nutzt IPsec Kerberos als Authentifizierungsmethode; ist allerdings nur nützlich, wenn eine ActiveDirectory vorhanden ist (ActiveDirectory spricht Kerberos; wenn Du einen Client hast, der nicht in der Domäne ist, kann keine Authentifizierung desselben per Kerberos stattfinden und somit findet auch keine Kommunikation statt). Hier gibt es die Möglichkeit, Dein oben erworbenes Zertifikat als Authentifizierungsmethode anzugeben oder Du entscheidest Dich für einen sog. preshared key, der allerdings im Klartext innerhalb dieser IPsec-Richtlinie abgelegt wird und somit von jedermann mit Adminrechten ausgelesen werden kann (nicht soooo sicher).

Nach erfolgter Authentifizierung (via Kerberos, Zertifikat oder preshared key) erfolgt die Kommunikation verschlüsselt (ESP - Encapsulating Security Payload).

Noch Fragen?

Dran denken, dass wenn Du eine Richtlinie wie oben (1., 2. oder 3.) auf dem Server einrichtest, dass Du auf den Kommunikationspartnern (Clients) ebenfalls Richtlinien (evtl. per GPO) verteilst/erstellst....

Gruß,

pepper

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Konto

Navigation

Suchen

Suchen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.