Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?
Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatdienste installieren und Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatsperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen des Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone

Rheinwerk Computing - Zum Seitenanfang

12.7 Mehrstufige Architekturen Zur nächsten Überschrift

In dem bisher gezeigten Szenario kommt nur eine einzige Zertifizierungsstelle zum Einsatz, die gleichzeitig die Funktion der Stammzertifizierungsstelle (Root CA) und der ausstellenden Zertifizierungsstelle (Issuing CA) übernimmt. Das funktioniert zwar, ist aber, zumindest für eine größere Organisation, nicht die empfohlene Konfiguration. Der Grund ist vor allem die extreme Schutzbedürftigkeit des privaten Schlüssels der Stammzertifizierungsstelle.

Aus diesem Grund wird man, zumindest in einer größeren Umgebung, ein mehrstufiges Zertifikatswesen aufbauen. Man kennt ein-, zwei-, drei- und vierstufige Architekturen.

  • In kleinen Umgebungen wird man, insbesondere aus Kostengründen, eine einstufige PKI-Infrastruktur aufbauen.
  • In mittleren Umgebungen bietet sich eine zweistufige PKI-Infrastruktur an. In einer solchen Infrastruktur existieren eine Stammzertifizierungsstelle und eine oder mehrere untergeordnete Zertifizierungsstellen. Das Ausstellen der Zertifikate wird ausschließlich von den untergeordneten Zertifizierungsstellen übernommen. Die Stammzertifizierungsstelle ist im Optimalfall gar nicht mit dem Netzwerk verbunden.
  • In großen Umgebungen kann noch eine zusätzliche Schicht eingezogen werden. Die zusätzlichen Zertifizierungsstellen werden Intermediate CA genannt. Eine solche Vorgehensweise bietet sich beispielsweise an, um für die Europa- und die Asien-Organisation separat administrierbare große PKI-Infrastrukturen aufzubauen, die aber sozusagen ein gemeinsames »Erbe«, also eine gemeinsame Stammzertifizierungsstelle, haben.
  • Wenn auch eine dreistufige Architektur nicht reicht, kann eine weitere Schicht unterhalb der obersten Zertifizierungsstelle eingezogen werden. Diese Zertifizierungsstellen werden Subordinate CA genannt. Da nur die wenigsten Leser eine vierstufige PKI-Architektur implementieren werden, wird diese hier nicht weiter besprochen.

Die unterschiedlichen Rollen, die eine Zertifizierungsstelle einnehmen kann, unterscheiden sich in der technischen Umsetzung.


Rheinwerk Computing - Zum Seitenanfang

12.7.1 Rollen Zur nächsten ÜberschriftZur vorigen Überschrift

Im Folgenden werden stichwortartig die unterschiedlichen Rollen beschrieben, die eine Zertifizierungsstelle einnehmen kann.

Stammzertifizierungsstelle/Root CA

Die oberste Stammzertifizierungsstelle hat das Stammzertifikat der ganzen PKI-Struktur ausgestellt. Dieses ist, wie bereits erwähnt, extrem schutzbedürftig. Würde es einer fremden und/oder bösartigen Person in die Hände fallen, ist Ihre komplette PKI wertlos, da die Person beliebige Zertifikate ausstellen kann, die bei einer kryptografischen Prüfung als gültig erkannt werden.

Aus diesem Grund wird diese Stammzertifizierungsstelle in einer zweistufigen (bzw. drei- oder vierstufigen) Architektur im günstigsten Fall als Offline-CA angelegt. Das bedeutet:

  • Dieser Server ist kein Domänenmitglied.
  • Demzufolge wird die Zertifizierungsstelle nicht als Enterprise-/Unternehmens-, sondern Standalone-CA (eigenständige CA) installiert. (Eine Enterprise-/Unternehmens-CA ist in das Active Directory integriert.)
  • Dieser Server verfügt über keinen Netzwerkanschluss.
  • Dieser Server muss physikalisch geschützt sein. (Denken Sie an die Folgen eines Diebstahls des ganzen Servers oder des Zertifikats.)
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifizierungsstellen aus. Diese Zertifikate werden dann auf einer Diskette transportiert.
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifizierungsstelle ist sehr lang, beispielsweise 10 oder 20 Jahre. Als Schlüssellänge kann man 4.096 Bit wählen.

Intermediate CA

Die Intermediate CAs werden in einer dreistufigen Architektur verwendet. Es handelt sich um Zertifizierungsstellen mit erhöhtem Schutzbedarf, die nicht dazu gedacht sind, Zertifikate für andere Objekte als die untergeordneten Zertifizierungsstellen auszustellen. Die Intermediate CAs kommen insbesondere dann zum Einsatz, wenn in einer sehr großen Organisation in verschiedenen Bereichen Zertifikate mit unterschiedlichen Policys erstellt und separat administriert werden sollen. Ebenso können separate Zertifikatsperrlisten (CRL, Certificate Revocation List) erzeugt werden.

Für den Aufbau einer Intermediate CA gelten folgende Regeln:

  • Dieser Server ist kein Domänenmitglied.
  • Demzufolge wird die Zertifizierungsstelle nicht als Enterprise-, sondern als Standalone-CA installiert. (Eine Enterprise-CA ist in das Active Directory integriert.)
  • Dieser Server verfügt im Optimalfall über keinen Netzwerkanschluss.
  • Dieser Server muss physikalisch geschützt sein. (Denken Sie an die Folgen eines Diebstahls des ganzen Servers oder des Zertifikats.)
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifizierungsstellen aus. Diese Zertifikate werden dann auf einer Diskette transportiert.
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifizierungsstelle ist sehr lang, beispielsweise 10 oder 20 Jahre. Als Schlüssellänge kann man 2.048 oder 4.096 Bit wählen.

Sie sehen, dass der Anforderungskatalog von Stammzertifizierungsstellen (Root CA) und Intermediate CAs so gut wie identisch ist.

Issuing CA

Die Issuing CAs erstellen nun tatsächlich Zertifikate für Benutzer, Computer, Webserver, Codesignatur und vieles andere mehr. Diese Zertifizierungsstellen haben einen Netzwerkanschluss, sind als Enterprise-CA in die Domäne integriert und kommunizieren mit anderen Systemen.

Hier einige Stichpunkte zum Aufbau einer Issuing CA:

  • Dieser Server ist ein Domänenmitglied.
  • Die Zertifizierungsstelle wird als Enterprise-CA (Unternehmenszertifizierungsstelle) installiert.
  • Dieser Server verfügt über einen Netzwerkanschluss und kommuniziert mit anderen Systemen.
  • Die Installation muss mit besonderer Sorgfalt erfolgen, um keine »Hintertüren« zum unbefugten Zugriff auf diesen Server zu ermöglichen.
  • Dieser Server muss physikalisch geschützt sein. (Denken Sie an die Folgen eines Diebstahls des ganzen Servers oder des Zertifikats.)
  • Diese Zertifizierungsstelle stellt Zertifikate für Benutzer, Computer, Codesignatur und vieles andere aus.
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifizierungsstelle ist weniger lang als bei einer Root- oder Intermediate CA. Ein guter Wert sind fünf Jahre. Als Schlüssellänge kann man 2.048 Bit wählen.
  • Nur bei Vorgängerversionen von Server 2012/R2: Diese Zertifizierungsstellen sollten auf einem Betriebssystem der Enterprise Edition installiert werden, um alle Zertifikatvorlagen verwenden zu können.

Rheinwerk Computing - Zum Seitenanfang

12.7.2 Architekturen Zur vorigen Überschrift

In Abbildung 12.47, Abbildung 12.48 und Abbildung 12.49 sehen Sie zwei- und dreistufige PKI-Infrastrukturen in unterschiedlichen Ausprägungen.

Abbildung 12.47 zeigt den einfachsten Fall einer zweistufigen PKI-Infrastruktur. Sie besteht aus einer Stammzertifizierungsstelle und einer Zertifizierungsstelle, die Zertifikate für Benutzer und Computer erstellt. Wie zuvor beschrieben wird die Root CA möglichst als Offline-System ohne Netzwerkanschluss realisiert. Diese Architektur dürfte für die meisten mittelständischen Unternehmen geeignet sein.

Abbildung

Abbildung 12.47 Die einfachste Möglichkeit einer zweistufigen PKI-Infrastruktur

Die zweistufige Architektur bietet die Möglichkeit, eine beliebige Anzahl von Issuing CAs einzurichten (Abbildung 12.48). Dies könnte beispielsweise interessant sein, wenn die Organisation sehr groß und verteilt und nur durch sehr schmalbandige Weitverkehrsverbindungen verbunden ist. Eine Issuing CA könnte beispielsweise in Europa, eine andere in Asien stehen.

Abbildung

Abbildung 12.48 Eine zweistufige PKI-Infrastruktur

Die nächste Ausbaustufe ist die Verwendung von Intermediate CAs, die ihrerseits Zertifikate für die Issuing CAs erstellen (Abbildung 12.49). Diese PKI-Architektur bietet die Möglichkeit, mit separaten Policys und separaten Zertifikatsperrlisten zu arbeiten. Unter einer Intermediate CA können jeweils beliebig viele Issuing CAs betrieben werden – oder technisch korrekter: Eine Intermediate CA kann für beliebig viele Issuing CAs Zertifikate erzeugen.

Abbildung

Abbildung 12.49 Eine dreistufige PKI-Infrastruktur

Obgleich die PKI-Architektur nun bereits recht komplex und weitverzweigt ist, lässt sich alles auf ein Zertifikat zurückführen, nämlich auf das Zertifikat der Stammzertifizierungsstelle.


Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück



Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365

Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V

Zum Rheinwerk-Shop: Linux-Server






 Linux-Server

Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5

Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren

 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo