Die Zertifikatsstelle in der eigenen Firma
Dieser Teilbereich widmet sich der Planung und dem Aufbau einer Zertifizierungsstelle in einem eigenen unternehmen. für den produktiven Einsatz sollten Sie natürlich ein Zertifikat einer offiziell bekannten und vertrauten Zertifikatsstelle installieren. Das ist aber kostenpflichtig und um die ersten Gehversuche zu machen, beschreibe ich hier die Installation einer eigenen Windows Zertifizierungsstelle.
Unterstützung durch
Net at
Work:
Auch wenn die Beschreibungen hier umfangreich und trotzdem "einfach"
gehalten sind, so sollten Sie nicht einfach das Setup starten, sondern
ausgehend von einer Analyse der Anforderungen ein Zielsystem planen und dann
geordnet umsetzen. Fehler bei Zertifizierungsstellen sind schwer bis gar
nicht mehr zu korrigieren und wenn die ersten privaten Keys "verloren"
gegangen sind und sie nicht mehr an ihre eigenen Daten kommen., dann rächt
sich, dass sie vielleicht mit einem Windows Standard Server und ohne Key
Recovery Agent gearbeitet haben.
Ratsam ist immer zumindest ein Workshop und eine Planung. sprechen Sie und
an.
Schon mit der Installation der CA werden Fakten geschaffen, die zwar auch wieder korrigiert werden können, aber letztlich doch die Vorgeschichte Verraten. Einige Dinge sind hingegen gar nicht so einfach wieder zu reparieren.
Wer einfach mal nur so eine CA. installiert, der
verhindert z.B. nicht, das ein Anwender sich ein „Benutzerzertifikat" holt und damit signiert und andere an ihn verschlüsselt senden. Und schon
versagen in dem Fall Virenscanner, Spamschutz, Archiv. Haben Sie
bedacht, wenn der Anwender seinen Privaten Key „verliert“, z.B. wenn er
einen neuen PC bekommt, der Notebook verloren geht oder das Profil
gelöscht wird ? Dann kommt er an all seine verschlüsselt empfangenen
Mail mehr ran, wenn Sie nicht an ein Private-Key Backup oder Key-Roaming
oder Key Recovery gedacht haben. Mit einer Standard-CA können Sie aber
weder Private-Key archivieren noch Zertifikate mit mehr als 1 Jahr
Gültigkeit ausstellen. Reicht ihnen das als Wink zu einem "CA-Konzept"
ehe sie mal schnell eine neue Rolle auf ihrem Windows Server addieren ?
Wenn Sie sich die Planung "ersparen" wollen und eine CA installieren,
dann nehmen Sie bitte alle Vorlagen weg, so dass nur noch
Computerzertifikate und Webserver Zertifikate ausgestellt werden.
Die folgenden Seiten führen weiter in das Thema ein
Ich hoffe Sie haben damit ausreichend Informationen für die Installation und den Betrieb einer Firmen-CA.
Weitere Links
-
Rolle der CA
Was ist die Aufgabe einer Zertifizierungsstelle ? -
OpenSSL
Sehr nützliches Tool zum Analysieren und Konvertieren von Zertifikaten und Testen von SSL-Verbindungen. -
Zertifikatarten
Feinheiten von Zertifikaten und warum sie nicht immer auf eine signierte Mails verschlüsselt antworten können. -
Clientzertifikat anfordern
Mit einem Zertifikat können Sie ihre eigenen Mails digital signieren und verschlüsselt empfangen. - SSL-Grundlagen
- SAN-Zertifikate
- IIS Zertifikat einrichten
- Clientzertifikat anfordern
- ISA-Server und SSL
- SelfSSL
-
Active Directory Certificate Services (AD CS) Overview
http://social.technet.microsoft.com/wiki/contents/articles/1137.aspx - IIS virtuelle Verzeichnisse wieder einrichten: "certutil -vroot"
- 298138 How to move a certification authority to another server
- Move Root Certificate Authority from Windows Server 2003 to Windows
Server 2008
http://www.scottfeltmann.com/index.php/2010/03/02/move-root-ca-from-w2k3-to-w2k8/ - Anhänge - Sichern von Wireless LANs mit Zertifikatsdiensten
http://www.microsoft.com/germany/technet/datenbank/articles/900177.mspx - CAPolicy.inf Syntax
http://technet2.microsoft.com/WindowsServer/en/library/25127c1f-4880-4764-85e8-226ce41588881033.mspx?mfr=true - Building an Enterprise Root Certification Authority in Small and
Medium Businesses
http://www.microsoft.com/technet/security/smallbusiness/prodtech/windowsserver2003/build_ent_root_ca.mspx - How to re-install the default certificate templates?
http://blogs.technet.com/pki/archive/2007/08/06/how-to-re-install-the-default-certificate-templates.aspx - Sample Script to Configure CorporateRootCA
http://technet.microsoft.com/de-de/library/cc779083(WS.10).aspx - 555151 How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain
- 254632 How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
- 293819 How to Remove a Root Certificate from the Trusted Root Store
- Active Directory Certificate Services Step-by-Step Guide
http://technet.microsoft.com/en-us/library/cc772393.aspx - Simple Certificate Enrollment Protocol (SCEP) Add-on für Certificate
Services
http://www.microsoft.com/Downloads/details.aspx?familyid=9F306763-D036-41D8-8860-1636411B2D01&displaylang=en -
How to install a PKI based on Microsoft Certificate Services in Windows
Server 2003
http://www.windowsecurity.com/articles/Microsoft-PKI-Quick-Guide-Part3.html -
Authenticode
Digitale Signaturen bei Code und die Bedeutung der CRL -
Windows 2008 PKI / Certificate Authority (AD CS) basics
http://www.corelan.be:8800/index.php/2008/07/14/windows-2008-pki-certificate-authority-ad-cs-basics/ -
OpenSSL
Umfangreiches Werkzeug zum Ausstellen, Signieren, prüfen und Konvertieren von Zertifikaten -
BSI-Grundschutz: M 2.232 Planung der Windows 2000/2003
CA-Struktur
https://www.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/m/m02/m02232.html -
Cryptoshop - Anbieter von Smartcards
Microsoft Certificate Authority http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/index.php
MS - Stand-alone Certificate Authority http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/msstandaloneca.php
Planung der MS-PKI http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/mspkiplan.php
Verwaltung und Überwachung einer MS Enterprise CA http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/rolesaudit.php
Autoenrollment http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/autoenrollment.php