Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?
Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatdienste installieren und Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatsperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen des Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone

Rheinwerk Computing - Zum Seitenanfang

12.11 Das Online Certificate Status Protocol (OCSP) Zur nächsten Überschrift

Die Benutzung von Sperrlisten ist zwar seit den Anfängen der Zertifikatsverwendung bewährt, weit verbreitet und funktioniert auch, allerdings ist der Ansatz nicht unbedingt der modernste: In regelmäßigen Abständen eine Datei zu veröffentlichen, die heruntergeladen werden kann, hört sich in der Tat nicht so nach dem Höhepunkt der Softwarearchitektur an, oder?

Mit dem Online Certificate Status Protocol (OCSP) gibt es seit geraumer Zeit einen Nachfolger für die gute alte Sperrliste. Der Grundgedanke ist, dass im Zertifikat ein Verweis auf einen sogenannten Responder des Zertifikatherausgebers vorhanden ist. Bei diesem Responder kann ein Zertifikatdienst-Client abfragen, ob ein ihm vorliegendes Zertifikat gesperrt ist. Der Vorteil dieses Verfahrens ist, dass der Client im besten Fall stets aktuelle Informationen erhält und nicht – wenn er denn die aktuelle Sperrliste bereits im Cache hat – erst nach deren Ablauf wieder neue Sperrinformationen anfordert.

Weiterhin böte sich die Chance, dass der Responder nicht nur schaut, ob das Zertifikat nicht gesperrt ist, sondern auch prüft, ob er dieses Zertifikat überhaupt ausgestellt hat. Immerhin wäre es ja denkbar, dass der Client ein gefälschtes Zertifikat erhalten hat, das zwar nicht auf der Sperrliste steht, aber von der Zertifizierungsstelle auch nie ausgestellt worden ist. Diese Funktionalität ist allerdings in den meisten Respondern nicht umgesetzt.

Die Active Directory-Zertifikatdienste verfügen über einen OCSP Online-Responder. Dieser kann als Rollendienst Online-Responder installiert werden.

Falls Sie ein älteres Betriebssystem als Server 2012 verwenden

Der Online-Responder steht nur zur Verfügung, wenn die Zertifikatdienste auf der Enterprise Edition des Betriebssystems installiert werden.


Rheinwerk Computing - Zum Seitenanfang

12.11.1 Konfiguration des Online-Responders Zur nächsten ÜberschriftZur vorigen Überschrift

Ist der Rollendienst installiert, findet sich in der Computerverwaltung ein Eintrag namens Online-Responderverwaltung; es startet das auf Abbildung 12.80 gezeigte Konfigurationswerkzeug (man kann es einfach auf der Startseite suchen). Im obersten Knoten gelangen Sie zu einem Eigenschaftendialog, in dem Sie unter anderem die Überwachung konfigurieren können, die durchaus hilfreich bei der Ersteinrichtung ist.

Abbildung

Abbildung 12.80 Die Eigenschaften des Online-Responders können in einem grafischen Werkzeug konfiguriert werden.

Die Antworten des OCSP-Responders werden signiert. Zu diesem Zweck wird ein spezielles Signaturzertifikat erstellt. Das hört sich komplizierter an, als es tatsächlich ist. Bei der Installation einer Unternehmenszertifizierungsstelle wird die benötigte Zertifikatvorlage OCSP-Antwortsignatur direkt installiert (in den englischen Versionen heißt die Vorlage übrigens OCSP Response Signing). In der Konfiguration der Zertifikatvorlage muss allerdings noch eine kleine Änderung vorgenommen werden (Abbildung 12.81):

  • Öffnen Sie die Eigenschaften der Zertifikatvorlage OCSP-Antwortsignatur.
  • Wechseln Sie auf die Registerkarte Sicherheit.
  • Fügen Sie das Computerkonto des Systems, auf dem die Zertifizierungsstelle läuft, hinzu, und erteilten Sie die Berechtigungen Lesen und Registrieren.

Nun können Sie im Kontextmenü des Knotens Sperrkonfiguration den Assistenten zum Erstellen einer neuen Sperrkonfiguration starten. Dies dient dazu, dem Online-Responder beizubringen, für welche Sperrlisten er zuständig ist. Ein Online-Responder kann übrigens beliebig viele Sperrlisten verwalten.

Abbildung

Abbildung 12.81 Bei der Vorlage »OCSP-Antwortsignatur« muss das Computerkonto des PCs hinzugefügt werden.

Abbildung

Abbildung 12.82 Die Vorlage muss zur Liste der von der CA ausstellbaren Vorlagen hinzugefügt werden.

Im ersten Dialog des Assistenten geht es um die Identifikation der neuen Sperrkonfiguration. Der Name ist zwar beliebig, im Normalfall bietet sich aber der Name der Zertifizierungsstelle an, zu der die in dieser Konfiguration verwaltete Sperrliste gehört (Abbildung 12.83).

Abbildung

Abbildung 12.83 Der Assistent zur Erstellung einer Sperrkonfiguration

Der Online-Responder kann für eine Active Directory-integrierte Unternehmenszertifizierungsstelle konfiguriert werden, er könnte aber auch beispielsweise für eine Offline-CA auf Linux-Basis arbeiten. Er ist also flexibel. In den nächsten beiden Dialogen wird das Zertifizierungsstellenzertifikat ausgewählt, dessen Zertifikate überprüft werden sollen. Im ersten Dialog (Abbildung 12.84) wählen Sie aus, wo das Zertifikat gefunden wird (Unternehmenszertifizierungsstelle, Zertifikatsspeicher oder Datei). Im folgenden Dialog wählen Sie dann das Zertifikat selbst aus (Abbildung 12.85).

Abbildung

Abbildung 12.84 In diesem Fall bezieht sich die Sperrkonfiguration auf eine Unternehmenszertifizierungsstelle.

Abbildung

Abbildung 12.85 Hier wird die Unternehmenszertifizierungsstelle ausgewählt, die die zu überprüfenden Zertifikate ausgestellt hat.

Abbildung

Abbildung 12.86 Sie können den Assistenten anweisen, automatisch ein OCSP-Signaturzertifikat zu registrieren.

Wie ich bereits erwähnt habe, wird die Antwort des Online-Responders signiert, wozu natürlich ein Zertifikat benötigt wird. Am einfachsten ist es, wenn der Assistent die Anforderung eines geeigneten Zertifikats initiiert (Abbildung 12.86).

Achtung

Beachten Sie, dass die Zertifikatanforderung nur dann funktionieren wird, wenn Sie die Berechtigungen der Zertifikatvorlage so angepasst haben, wie auf Abbildung 12.81 gezeigt.

Ansonsten wird die Registrierung des Zertifikats scheitern; eine Fehlermeldung wird dann im Ereignisprotokoll zu finden sein.

Der letzte Schritt ist die Auswahl eines Sperranbieters. Hier stecken einfach die Sperrlisten dahinter, die in Abbildung 12.87 bereits vorbelegt sein werden.

Abbildung

Abbildung 12.87 Als Sperranbieter werden die vorhandenen Sperrlisten konfiguriert.

Es wäre recht elegant, wenn der Online-Responder direkt die Zertifizierungsstelle abfragen und nicht den Umweg über die Sperrlisten nehmen würde. In diesem Fall würde ein als gesperrt eingetragenes Zertifikat direkt als solches erkannt werden. Da der Online-Responder aber auf Sperrlisten zurückgreift, ist die Einstellung Sperrlisten basierend auf ihren Gültigkeitszeiträumen aktualisieren recht wichtig. Wenn Sie ein Zertifikat sperren, könnten Sie mit certutil –crl die sofortige Erzeugung einer neuen Sperrliste erzwingen. Wenn der Online-Responder die Sperrlisten aber nur alle sieben Tage einliest, ist die Aktualisierung eben doch recht träge. Es könnte sich also anbieten, beispielsweise den Online-Responder alle 60 Minuten die Sperrlisten einlesen zu lassen.

Nach dem Beenden des Assistenten wird das System ein paar Augenblicke damit beschäftigt sein, die Konfiguration zu erstellen. Ob alles in Ordnung ist, erkennen Sie im Sperrkonfigurationsstatus auf der Begrüßungsseite des Online-Responders. Auf Abbildung 12.88 ist zwar alles in Ordnung (grüner Haken), es könnte aber durchaus Probleme geben.

Abbildung

Abbildung 12.88 In der Übersicht können Sie erkennen, ob die Sperrkonfiguration korrekt ausgeführt wird.

Der meines Erachtens nach häufigste Fehler ist ein Problem bei der Registrierung des OCSP-Antwortsignaturzertifikats. Dieser Fehler tritt insbesondere dann auf, wenn die Anpassungen der Zertifikatvorlage vergessen wurden (siehe Abbildung 12.82).

Entsprechende Hinweise auf einen Fehler finden Sie übrigens auch in der Ereignisanzeige.


Rheinwerk Computing - Zum Seitenanfang

12.11.2 Anpassung der Zertifizierungsstelle Zur nächsten ÜberschriftZur vorigen Überschrift

Nun hilft es freilich nicht, den Online-Responder zu installieren und zu konfigurieren. In die ausgestellten Zertifikate muss ebenfalls die entsprechende URL integriert werden. Dies geschieht in den Eigenschaften der Zertifizierungsstelle, wie auf Abbildung 12.89 gezeigt (beachten Sie insbesondere die Checkboxen).

Abbildung

Abbildung 12.89 Hinzufügen der Information über den OCSP-Online-Responder zu den ausgestellten Zertifikaten


Rheinwerk Computing - Zum Seitenanfang

12.11.3 TestenZur nächsten ÜberschriftZur vorigen Überschrift

Auf Abbildung 12.90 sehen Sie ein Zertifikat, das die OCSP-Erweiterung enthält – im Grunde genommen nicht weiter spektakulär. Sofern Sie keine Kompatibilität mit älteren Programmen/Betriebssystemen, die keine OCSP-Prüfung unterstützen, gewährleisten müssen, brauchen Sie die Sperrlisten-Verteilungspunkte nicht in die Zertifikate zu integrieren.

Mit Certutil können Sie nun direkt einen kleinen Test mit dem neu erstellten Zertifikat durchführen, nämlich die Gültigkeitsprüfung mit certutil –verify –urlfetch –v. Im Ergebnis wird der Zugriff auf die OCSP-URL aufgezeichnet (Abbildung 12.91). Sofern keine Fehlermeldung erscheint, war der Zugriff erfolgreich.

Abbildung

Abbildung 12.90 Dieses Zertifikat enthält die OCSP-URL.

Abbildung

Abbildung 12.91 »certutil -verify -urlfetch -v« für das Zertifikat mit OCSP-Erweiterung


Rheinwerk Computing - Zum Seitenanfang

12.11.4 ISA Server-Veröffentlichung Zur vorigen Überschrift

Falls Sie, wie zuvor vorgeschlagen, für die Veröffentlichung der Sperrliste eine Website-Veröffentlichungsregel mit dem ISA Server erstellt haben, müssen Sie diese noch für den Zugriff auf den Online-Responder erweitern. Öffnen Sie dazu die Eigenschaften der Regel, wechseln Sie auf die Registerkarte Pfade, und fügen Sie den Pfad /ocsp/* hinzu (Abbildung 12.92).

Abbildung

Abbildung 12.92 Der zusätzliche Pfad muss in die Website- Veröffentlichungsregel eingetragen werden.


Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück



Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365

Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V

Zum Rheinwerk-Shop: Linux-Server






 Linux-Server

Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5

Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren

 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo