Hi Jörg! >>>>Anm.: Selbstsignierte Certs gehen nicht, da diese auf einem >>>> geonwnten Server ja gefälscht werden können. >>>> >>>Dies versteh ich in diesem Zusammenhang allerdings nicht. >> >> Selbstsignierte Certifikate können nicht überprüft werden... >> Bei einem von einer CA signiertem Cert reicht ein klick zum testen. > >Und wer signiert CA cert's? ... >Es gibt keinen technischen Unterschied zwischen einer Root CA und >einer eigenen CA (die in dem jeweiligen Kontext ebenso eine Root CA >darstellt). >Auch Root CA's sind selbstsigniert, bestenfalls signieren sich die >Root CA's gegenseitig. Das ist das Wesen einer Root CA, sie steht >halt an der Wurzel.
Für Deinen Fall würde ich einfach allen Roots nicht trauen, eine eigene Root-CA (ja, mit self-signed-CA) aufsetzen, alle clients trauen dann explizit nur dieser Root-CA, und sämtliche Zertifikate für Rechner werden durch diese Root-CA signiert. Alle clients kennen also nur deine Root und die Server sind absolut trusted... (sofern du den Private-Key deiner Root-CA usw gut aufbewahrst, wie bereits früher vorgeschlagen ;;-) ) So ist doch kein Zertifikat fälschbar, oder was stellst du dir da noch für Hacks vor? Und ähm ... schöne Festtage! +-------------------------------+ +-------------------------------+ | Miro Dietiker | | MD Systems Miro Dietiker | +-------------------------------+ +-------------------------------+
