Die Zertifikatsstelle in der eigenen Firma

Dieser Teilbereich widmet sich der Planung und dem Aufbau einer Zertifizierungsstelle in einem eigenen unternehmen. für den produktiven Einsatz sollten Sie natürlich ein Zertifikat einer offiziell bekannten und vertrauten Zertifikatsstelle installieren. Das ist aber kostenpflichtig und um die ersten Gehversuche zu machen, beschreibe ich hier die Installation einer eigenen Windows Zertifizierungsstelle.

Unterstützung durch Net at Work:
Auch wenn die Beschreibungen hier umfangreich und trotzdem "einfach" gehalten sind, so sollten Sie nicht einfach das Setup starten, sondern ausgehend von einer Analyse der Anforderungen ein Zielsystem planen und dann geordnet umsetzen. Fehler bei Zertifizierungsstellen sind schwer bis gar nicht mehr zu korrigieren und wenn die ersten privaten Keys "verloren" gegangen sind und sie nicht mehr an ihre eigenen Daten kommen., dann rächt sich, dass sie vielleicht mit einem Windows Standard Server und ohne Key Recovery Agent gearbeitet haben.
Ratsam ist immer zumindest ein Workshop und eine Planung. sprechen Sie und an.

Schon mit der Installation der CA werden Fakten geschaffen, die zwar auch wieder korrigiert werden können, aber letztlich doch die Vorgeschichte Verraten. Einige Dinge sind hingegen gar nicht so einfach wieder zu reparieren.

Wer einfach mal nur so eine CA. installiert, der verhindert z.B. nicht, das ein Anwender sich ein „Benutzerzertifikat" holt und damit signiert und andere an ihn verschlüsselt senden. Und schon versagen in dem Fall Virenscanner, Spamschutz, Archiv. Haben Sie bedacht, wenn der Anwender seinen Privaten Key „verliert“, z.B. wenn er einen neuen PC bekommt, der Notebook verloren geht oder das Profil gelöscht wird ? Dann kommt er an all seine verschlüsselt empfangenen Mail mehr ran, wenn Sie nicht an ein Private-Key Backup oder Key-Roaming oder Key Recovery gedacht haben. Mit einer Standard-CA können Sie aber weder Private-Key archivieren noch Zertifikate mit mehr als 1 Jahr Gültigkeit ausstellen. Reicht ihnen das als Wink zu einem "CA-Konzept" ehe sie mal schnell eine neue Rolle auf ihrem Windows Server addieren ?
Wenn Sie sich die Planung "ersparen" wollen und eine CA installieren, dann nehmen Sie bitte alle Vorlagen weg, so dass nur noch Computerzertifikate und Webserver Zertifikate ausgestellt werden.

Die folgenden Seiten führen weiter in das Thema ein

  • CA Planung
    Grundlegende Informationen zur Planung einer eigenen Zertifizierungsstelle
  • Private CA
    Hier stelle ich zwei Ausprägungen einer eigenen Zertifizierungsstelle vor
  • CA Templates
    Informationen zur Bedeutung von Templates
  • CRL
    Die "Certificate Recocation" List und ihre Bedeutung bei einer privaten Zertifizierungsstelle
  • CSR
    Wenn alles fertig ist, dann darf mit einem Request auch ein Zertifikat angefordert werden.
  • Checkliste CA-Setup
    Checkliste zur Planung und auch zur Dokumentation einer Installation ihrer FirmenCA
  • Win2003CA installieren
    Bebilderte Anleitung zur Installation einer CA unter Windows 2003
  • Win2008 CA installieren
    Bebilderte Anleitung zur Installation einer CA unter Windows 2008
  • Deinstallation einer CA
    Checkliste zur Deinstallation einer CA
  • CA Monitoring
    Überwachen einer Zertifizierungsstelle und ausgestellter Zertifikate
  • Benutzerzertifikate im AD
    Wo liegen sie, wie können Sie exportiert und importiert werden.
  • Clientzertifikat Roaming
    Wie die privaten Schlüssel zwischen PCs mitgenommen werden können
  • Rights Management Server
    Ohne Zertifikate aber als effektiver Dokumentschutz gegen Weiterleiten, Ausdrucken etc.

Ich hoffe Sie haben damit ausreichend Informationen für die Installation und den Betrieb einer Firmen-CA.

Weitere Links