Private CA

Zertifikate sind Garanten für die sichere und vertrauensvolle Kommunikation mit einer Gegenstelle. Vergleichbar zur "beglaubigten urkunde", wie sie im Rechtsverkehr (Notare, Gemeinden, Zeugnisse für Bewerbungen etc.) stellen Sie die Authentizität sicher. Allerdings kostet dieses "Beglaubigen" Geld, so dass viele Firmen dies nur für die wenigen offiziellen Seiten einsetzen (z.B. Shop, OWA, ActiveSync, RDP, VPN) aber intern mit privaten Zertifikaten arbeiten.

Wer eine eigene Zertifizierungsstelle einrichten will, kann dies bei Windows sehr einfach tun. Einfach und schnell heißt aber nicht immer auch "richtig", denn etwas Planung sollten Sie schon an den Tag legen. Lesen Sie daher diese Seite komplett durch. Verstehen Sie auch die Rolle der CA.

Für den Einsatz in Firmen habe ich hier zwei Installationsoptionen zusammengestellt, die aus meiner Sicht einen Betrieb einer eigenen CA ermöglichen. Ich unterscheide hierbei zwischen einer "Keinen CA" und einer vollwertigen CA

  • Kleine CA
    Mit einem Windows Standard Server lässt sich eine CA aufbauen, mit der aber weder Key Recovery noch angepasste Vorlagen möglich sind. Daher ist diese CA eigentlich nur sinnvoll für Computer und Webserver-Zertifikate. Alle anderen Templates sollten daher von der CA entbunden werden, damit da kein Fehlverhalten möglich ist
  • Vollständige CA
    Mit dem Enterprise Server und nach erfolgter Konfiguration können hiermit nahezu alle Belange einer Zertifizierungsstelle in einem unternehmen abgedeckt werden.

Die "Kleine CA" ist daher deutlich unkritischer im Betrieb und Verwaltung, da verlorene Zertifikate am einfachsten einfach neu angefordert und installiert werden. Die vollwertige CA bedarf aber einige zusätzlicher Schritte um den sicheren Betrieb zu erhalten

Die "angepasste CA"

Um solche Probleme zu vermeiden, sollten Sie sich sehr früh entscheiden, ob sie "nur" eine kleine CA für die Ausstellung von vertrauenswürdigen Serverzertifikaten benötigen oder doch eine richtige CA. Entsprechend unterscheidet sich dies im Aufwand und den Windows Lizenzen.

Kriterium "Kleine CA" für den Hausgebrauch Vollwertige CA Infrastruktur
Server

1x Windows Standard, auch Parallelbetrieb auf einem DC oder anderen Server

Ein eigenständiger Enterprise Server.'
Optional als Subordinate einer Standalone CA

Einsatzbereich
  • Zertifikate für interne Webserver
  • Zertifikate für interne OCS-Server
  • Zertifikate für andere interne Systeme
    (z.B. Router, Gateways etc.)
  • Zertifikate für interne Webserver
  • Zertifikate für interne OCS-Server
  • Zertifikate für andere interne Systeme
    (z.B. Router, Gateways etc.)
  • Zertifikate für Radius
  • Zertifikate für Smartcards
  • Zertifikate für S/MIME
  • Zertifikate für ...
Einschränkungen

Zertifikate sollten nicht zur dauerhaften Verschlüsselung von Daten genutzt werden. Der "private Key" liegt nur "lokal" und wird meist nicht gesichert.

  • Kurze Laufzeit der Zertifikate
  • kein Externer Einsatz
  • Kein 802.1x -Radius Zertifikat
  • Kein Key Recovery Agent
  • Nicht für Benutzer-Zertifikate (S/MIME) anzuraten
  • Nicht vertrauenswürdig, wenn Stamm-CA nicht offiziell

CA kann für fast alle Anforderungen genutzt werden. Allerdings sollten Sie einige Tage Planung und Umsetzung vorsehen.

Gültigkeit
ausgestellter
Zertifikate

1 Jahr
Die Standardversion kann keine Custom Templates verwenden und ist damit auf 1 Jahr festgelegt.

Default 1 Jahr

Aber dank eigener Templates und CA-Konfiguration können Zertifikate auch länger gültig sein, was z-.B: für interne Server interessant ist, um nicht jedes Jahr ein "Renew" durchführen zu müssen. Aber denken Sie dabei an die Änderungen im Sep 2020: Certificate Lifetime ab 1. Sep 2020

Templates
  • WebServer
  • Server

(Alle anderen Templates sollten sie in der CA entfernen, damit z.B.: Anwender z.B.: kein S/MIME-taugliches Zertifikat anfordern können.

  • Standard Templates
  • Eigene Templates möglich
    Diese können sogar die Standardtemplates "ersetzen"
CRL

Nur intern erreichbar. Interner Name und LDAP-Abfrage ist aber ausreichend

Idealerweise per HTTPS von intern undextern erreichbar.

Aufwand

<1 Tag für Nachinstallation auf bestehendem Server

2-3 Tage für eine Basisfunktion (keine verbindliche Aussage, sehr kundenspezifisch)

Und selbst dann sollten Sie die folgenden Seiten und natürlich andere Quellen nicht außer Acht lassen. Es ist also tatsächlich einiges zu tun, ehe Sie eine eigene CA mal eben schnell installieren.

Weitere Links