Private CA
Zertifikate sind Garanten für die sichere und vertrauensvolle Kommunikation mit einer Gegenstelle. Vergleichbar zur "beglaubigten urkunde", wie sie im Rechtsverkehr (Notare, Gemeinden, Zeugnisse für Bewerbungen etc.) stellen Sie die Authentizität sicher. Allerdings kostet dieses "Beglaubigen" Geld, so dass viele Firmen dies nur für die wenigen offiziellen Seiten einsetzen (z.B. Shop, OWA, ActiveSync, RDP, VPN) aber intern mit privaten Zertifikaten arbeiten.
Wer eine eigene Zertifizierungsstelle einrichten will, kann dies bei Windows sehr einfach tun. Einfach und schnell heißt aber nicht immer auch "richtig", denn etwas Planung sollten Sie schon an den Tag legen. Lesen Sie daher diese Seite komplett durch. Verstehen Sie auch die Rolle der CA.
Für den Einsatz in Firmen habe ich hier zwei Installationsoptionen zusammengestellt, die aus meiner Sicht einen Betrieb einer eigenen CA ermöglichen. Ich unterscheide hierbei zwischen einer "Keinen CA" und einer vollwertigen CA
- Kleine CA
Mit einem Windows Standard Server lässt sich eine CA aufbauen, mit der aber weder Key Recovery noch angepasste Vorlagen möglich sind. Daher ist diese CA eigentlich nur sinnvoll für Computer und Webserver-Zertifikate. Alle anderen Templates sollten daher von der CA entbunden werden, damit da kein Fehlverhalten möglich ist - Vollständige CA
Mit dem Enterprise Server und nach erfolgter Konfiguration können hiermit nahezu alle Belange einer Zertifizierungsstelle in einem unternehmen abgedeckt werden.
Die "Kleine CA" ist daher deutlich unkritischer im Betrieb und Verwaltung, da verlorene Zertifikate am einfachsten einfach neu angefordert und installiert werden. Die vollwertige CA bedarf aber einige zusätzlicher Schritte um den sicheren Betrieb zu erhalten
Die "angepasste CA"
Um solche Probleme zu vermeiden, sollten Sie sich sehr früh entscheiden, ob sie "nur" eine kleine CA für die Ausstellung von vertrauenswürdigen Serverzertifikaten benötigen oder doch eine richtige CA. Entsprechend unterscheidet sich dies im Aufwand und den Windows Lizenzen.
Kriterium | "Kleine CA" für den Hausgebrauch | Vollwertige CA Infrastruktur |
---|---|---|
Server | 1x Windows Standard, auch Parallelbetrieb auf einem DC oder anderen Server |
Ein eigenständiger Enterprise
Server.' |
Einsatzbereich |
|
|
Einschränkungen |
Zertifikate sollten nicht zur dauerhaften Verschlüsselung von Daten genutzt werden. Der "private Key" liegt nur "lokal" und wird meist nicht gesichert.
|
CA kann für fast alle Anforderungen genutzt werden. Allerdings sollten Sie einige Tage Planung und Umsetzung vorsehen. |
Gültigkeit ausgestellter Zertifikate |
1 Jahr |
Default 1 Jahr Aber dank eigener Templates und CA-Konfiguration können Zertifikate auch länger gültig sein, was z-.B: für interne Server interessant ist, um nicht jedes Jahr ein "Renew" durchführen zu müssen. Aber denken Sie dabei an die Änderungen im Sep 2020: Certificate Lifetime ab 1. Sep 2020 |
Templates |
(Alle anderen Templates sollten sie in der CA entfernen, damit z.B.: Anwender z.B.: kein S/MIME-taugliches Zertifikat anfordern können. |
|
CRL | Nur intern erreichbar. Interner Name und LDAP-Abfrage ist aber ausreichend. |
Idealerweise per HTTPS von intern undextern erreichbar. |
Aufwand | <1 Tag für Nachinstallation auf bestehendem Server |
2-3 Tage für eine Basisfunktion (keine verbindliche Aussage, sehr kundenspezifisch) |
Und selbst dann sollten Sie die folgenden Seiten und natürlich andere Quellen nicht außer Acht lassen. Es ist also tatsächlich einiges zu tun, ehe Sie eine eigene CA mal eben schnell installieren.
Weitere Links
- Rolle der CA
- CA installieren
- CRL - Zertifikate zurückziehen
- SSL-Grundlagen
- SAN-Zertifikate
- IIS Zertifikat einrichten
- Clientzertifikat anfordern
- ISA-Server und SSL
- SelfSSL
- Certificate Lifetime ab 1. Sep 2020
-
Authenticode
Digitale Signaturen bei Code und die Bedeutung der CRL -
Active Directory Certificate Services (AD CS) Overview
http://social.technet.microsoft.com/wiki/contents/articles/1137.aspx -
Windows 2008 PKI / Certificate Authority (AD CS) basics
http://www.corelan.be:8800/index.php/2008/07/14/windows-2008-pki-certificate-authority-ad-cs-basics/ -
Configuring and Troubleshooting Certification Authority
Clustering in Windows Server 2008
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=15C75333-BE26-4955-A32C-03077DAF1631&displaylang=en -
OpenSSL
Umfangreiches Werkzeug zum Ausstellen, Signieren, prüfen und Konvertieren von Zertifikaten - Informationen dazu, wie Windows Stammzertifikate in
Windows Vista aktualisiert
http://technet.microsoft.com/de-de/library/cc749503(WS.10).aspx (http://technet.microsoft.com/de-de/library/cc749503(WS.10).aspx) - Informationen dazu, wie Windows Stammzertifikate in
Windows Server 2003 aktualisiert
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03mngd/04_s3cer.mspx - Informationen dazu, wie Windows Stammzertifikate in
Windows XP aktualisiert
http://technet.microsoft.com/de-de/library/bb457097.aspx - Informationen dazu, wie Windows Stammzertifikate in
Windows Server 2003 aktualisiert
http://technet.microsoft.com/de-de/library/bb457160.aspx -
General PKI Planning Considerations
http://technet.microsoft.com/en-us/library/aa996408(EXCHG.65).aspx
Beschreibung des Feld "UserCertificate" zur Ablage von Zertifikaten im Active Directory - Informationen über PKI
http://www.Microsoft.com/windows2000/docs/cryptPKI.doc - 295663 How to import third-party certification
authority (CA) certificates into the Enterprise NTAuth
store
Wie importiere ich andere Stammzertifikate in das Active Directory unter "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld"