* Arno Lehmann wrote on Sun, Jan 22, 2006 at 23:44 +0100:
nur sehr wenig Ahnung habe und mich dementsprechend erst einarbeiten muß. Deshalb hatte ich ja jetzt auch hier angefragt. Ich hatte halt auf eine schnelle Antwort gehofft.
Um das zu tun, werde ich ein wenig brauchen, schätze ich! [...] Wer das erste Mal versucht sich eine CA einzurichten und ein Zertifikat zu erstellen weiss kurz danach normalerweise noch eine ganze Menge darüber. In anderen Worten: Man muss sich damit schon etwas beschäftigen.
Eine CA einzurichten dauert vermutlich sowas um einen Monat. Man muss sich um Richtliniendefinition kümmern, einen Safe (oder was man sonst als Schlüsselablage definiert hab, kann ja auch komplizierter sein) besorgen, Zugriffe erfassen (also nicht mit logfile sondern am besten mit einem handschiftlich geführtem Buch und überhaupt das ganze auditierbar machen etc. Ich vermute, es gibt nur ne Handvoll Leute, die schon jemals ne CA eingerichtet haben, und ein nur ein ganz kleiner Teil davon hat mehrere gemacht :) Sowas kostet Zeit und Geld. Wer sich damit nicht so auskennt, sollte IMHO auch nichts mit Sicherheit machen, weil die Gefahr hoch ist, durch einen Fehler eben keine echte Sicherheit zu erzeugen. Also lieber erste lesen, verstehen und dann machen. Und ohne eigene CA, wenn man deutlich weniger als hundert Zertifikate im Jahr beraucht, lohnt das wohl kaum. Für's Testen und Spielen kann man natürlich sonstwas machen, aber dann richtet man keine CA ein, sondern ruft "openssl" mit entsprechenden Parametern auf :) Da kann man Testschlüssel natürlich einfach auf der Platte von vernetzten Systemen speichern. "Schnell mal Sicherheit" macht IMHO viel kaputt. Hat auch dazu geführt, dass Sicherheitsunternehmen kaum Systeme für kleine und mittlere Firmen machen, weil die sich lieber selbst eine Firewall installieren. Gut, dass ist dann bloss ein lumpiger Paketfilter, aber egal :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.