Toon posts:

[SCOM 2007 R2] Public of Internal certificates?

Pagina: 1
Acties:

vrijdag 21 december 2012 08:24

Acties:
  • 0 Henk 'm!
  • SirBlade
  • Registratie: September 2001
  • Laatst online: 26-04 14:16

SirBlade

Topicstarter
Ik heb hier een medium sized SCOM omgeving draaien. Zo'n 165 Windows agents, 2000 clients in AEM,
3rd party MP's voor citrix, vmware, xSNMP. Alle windows clients zijn lid van dezelfde AD als de SCOM servers.

We hebben echter ook een behoorlijke hoeveelheid linux servers en een paar standalone windows servers. Het is de bedoeling deze ook via SCOM te gaan monitoren. Ik weet dat je om systemen buiten de AD te monitoren gebruik moet maken van certificaten. En ik heb een aantal duidelijke how-to's gevonden die precies laten zien hoe je alles moet instellen.

http://kevingreeneitblog....rtificates-with-scom.html
http://kevingreeneitblog....ficates-with-scom_31.html
http://kevingreeneitblog....cates-with-scom_1324.html
http://kevingreeneitblog....rtificates-with-scom.html

http://kevingreeneitblog....rtificates-with-scom.html
http://kevingreeneitblog....ficates-with-scom_21.html
http://kevingreeneitblog....cates-with-scom_2220.html

Wat ik alleen nog niet heb kunnen vinden is: welke type certificaten kan ik het beste gebruiken in welke situaties? Ik neig er toe om voor public certificates te kiezen.

[ Voor 6% gewijzigd door SirBlade op 21-12-2012 08:25 ]

zaterdag 22 december 2012 12:28

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

SirBlade schreef op vrijdag 21 december 2012 @ 08:24:
Wat ik alleen nog niet heb kunnen vinden is: welke type certificaten kan ik het beste gebruiken in welke situaties? Ik neig er toe om voor public certificates te kiezen.
De zelfgemaakte certificaten zijn makkelijk, in die zin je maakt ze zelf aan en ze kosten je verder niets. Nadeel is dat ze standaard niet als geldig gezien zullen worden door computers buiten je AD. Je zal ze toe moeten voegen als vertrouwd.

Voor een officieel certificaat moet je betalen, hoeveel ligt aan je gekozen CA. Voordeel is wel dat alle computers het certificaat meteen accepteren.

De keuze is aan jou, beide keuzes zijn te beargumenteren, en beiden bereiken wat je wil.

zaterdag 22 december 2012 12:53

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Heb je al een lokale CA draaien (die is te gebruiken voor servers buiten je domein) of zou je die nog moeten opzetten / beheren? Bij niet-kleine productie zou ik al snel voor publieke gaan. Vergeleken met de vele andere kosten hoeft een certificaat afaik niet heel duur te zijn. Maar er zijn inderdaad altijd argumenten voor gratis zelf doen - bijvoorbeeld als het om heel veel (interne) servers gaat.

Overigens staan ook op Technet een aantal artikelen over hoe dit in te richten. Maar de howtos die jij geeft zijn inderdaad wel lekker eenvoudig te volgen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 22 december 2012 21:45

Acties:
  • 0 Henk 'm!
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 04-05 21:08

Semt-x

Afgaande op de groote van de omgeving die je schetst zou ik altijd voor eigen certificaten gaan.
Het verbaast me eerlijk gezegd dat op jouw schaal de nondomain joined SCOM agents de eerste vraag vormen naar een pki oplossing. dat zullen een hoop non-managed self signed certificaten betekeken op je lan. (https bijv)

Ontwerp en bouw een nieuwe PKI omgeving, ook al klinkt het nu als omweg en is er nieuwe kennis voor nodig die niet handig op internet te vinden is (overal staan fragmenten, ik kon nergens een overview vinden) of je vraagt externe hulp bij het ontwerp/inrichten ;]

zaterdag 22 december 2012 21:54

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Gezien het scenario (de certs zullen voor management doeleinden worden gebruikt binnen de eigen org en niet voor externe client operaties) is een eigen PKI infra met ADCS voor de hand liggend.
De cert requests komen alleen van de eigen beheerorg, en je hebt gelijk voor andere interne toepassingen (codesigning, TLS communicatieflows binnen je org) een oplossing.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 23 december 2012 00:59

Acties:
  • 0 Henk 'm!
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Dit is ook wel een goede howto (Kevin Holman is echt de OpsMgr guru binnen Microsoft):
Deploying Unix/Linux Agents using OpsMgr 2012

Ik ken je omgeving niet, maar in dit geval zou ik ook kiezen voor interne certificaten. Het opzetten van een CA valt op zich wel mee, en je kunt die CA daarna ook voor andere dingen gebruiken. Het hangt ook een beetje van het aantal servers af waarop je een certificaat wil gaan gebruiken.

[ Voor 34% gewijzigd door Turdie op 23-12-2012 10:06 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq