Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatsdienste installieren/Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatssperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen der Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone


Galileo Computing - Zum Seitenanfang

12.7 Mehrstufige Architekturen Zur nächsten ÜberschriftZur vorigen Überschrift

In dem bisher gezeigten Szenario kommt nur eine einzige Zertifizierungsstelle zum Einsatz, die gleichzeitig die Funktion der Stammzertifizierungsstelle (Root CA) und der ausstellenden Zertifizierungsstelle (Issuing CA) übernimmt. Das funktioniert zwar, ist aber, zumindest für eine größere Organisation, nicht die empfohlene Konfiguration. Der Grund ist vor allem die extreme Schutzbedürftigkeit des privaten Schlüssels der Stammzertifizierungsstelle.

Aus diesem Grund wird man, zumindest in einer größeren Umgebung, ein mehrstufiges Zertifikatswesen aufbauen. Man kennt ein-, zwei-, drei- und vierstufige Architekturen.

  • In kleinen Umgebungen wird man, insbesondere aus Kostengründen, eine einstufige PKI-Infrastruktur aufbauen.
  • In mittleren Umgebungen bietet sich eine zweistufige PKI-Infrastruktur an. In einer solchen Infrastruktur existieren eine Stammzertifizierungsstelle und eine oder mehrere untergeordnete Zertifizierungsstellen. Das Ausstellen der Zertifikate wird ausschließlich von den untergeordeneten Zertifizierungsstellen übernommen. Die Stammzertifizierungsstelle ist im Optimalfall gar nicht mit dem Netzwerk verbunden.
  • In großen Umgebungen kann noch eine zusätzliche Schicht eingezogen werden. Die zusätzlichen Zertifizierungsstellen werden Intermediate CA genannt. Eine solche Vorgehensweise bietet sich beispielsweise an, um für die Europa- und die Asien-Organisation separat administrierbare große PKI-Infrastrukturen aufzubauen, die aber sozusagen ein gemeinsames »Erbe«, also eine gemeinsame Stammzertifizierungsstelle haben.
  • Wenn auch eine dreistufige Architektur nicht reicht, kann eine weitere Schicht unterhalb der obersten Zertifizierungsstelle eingezogen werden. Diese Zertifizierungsstellen werden Subordinate CA genannt. Da nur die wenigsten Leser eine vierstufige PKI-Architektur implementieren werden, wird diese hier nicht weiter besprochen.

Die unterschiedlichen Rollen, die eine Zertifizierungsstelle einnehmen kann, unterscheiden sich in der technischen Umsetzung.


Galileo Computing - Zum Seitenanfang

12.7.1 Rollen Zur nächsten ÜberschriftZur vorigen Überschrift

Im Folgenden werden stichwortartig die unterschiedlichen Rollen beschrieben, die eine Zertifizierungsstelle einnehmen kann.

Stammzertifizierungsstelle/Root CA

Die oberste Stammzertifizierungsstelle hat das Stammzertifikat der ganzen PKI-Struktur ausgestellt. Dieses ist, wie bereits erwähnt, extrem schutzbedürftig. Würde es einer fremden und/oder bösartigen Person in die Hände fallen, ist Ihre komplette PKI wertlos, da die Person beliebige Zertifikate ausstellen kann, die bei einer kryptografischen Prüfung als gültig erkannt werden.

Aus diesem Grund wird diese Stammzertifizierungsstelle in einer zweistufigen (und höher) Architektur im günstigsten Fall als Offline-CA angelegt. Das bedeutet:

  • Dieser Server ist kein Domänenmitglied.
  • Demzufolge wird die Zertifizierungsstelle nicht als Enterprise-, sondern Standalone-CA installiert. (Eine Enterprise-CA ist in das Active Directory integriert.)
  • Dieser Server verfügt über keinen Netzwerkanschluss.
  • Dieser Server muss physikalisch geschützt sein. (Denken Sie an die Folgen eines Diebstahls des ganzen Servers oder des Zertifikats.)
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifizierungsstellen aus. Diese Zertifikate werden dann auf einer Diskette transportiert.
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifizierungsstelle ist sehr lang, beispielsweise 10 oder 20 Jahre. Als Schlüssellänge kann man 4 096 Bit wählen.

Intermediate CA

Die Intermediate CAs werden in einer dreistufigen Architektur verwendet. Es handelt sich um Zertifizierungsstellen mit erhöhtem Schutzbedarf, die nicht dazu gedacht sind, Zertifikate für andere Objekte als die untergeordneten Zertifizierungsstellen auszustellen. Die Intermediate CAs kommen insbesondere dann zum Einsatz, wenn in einer sehr großen Organisation in verschiedenen Bereichen Zertifikate mit unterschiedlichen Policys erstellt und separat administriert werden sollen. Ebenso können separate Zertifikatssperrlisten (CRL, Certificate Revocation List) erzeugt werden.

Für den Aufbau einer Intermediate CA gelten folgende Regeln:

  • Dieser Server ist kein Domänenmitglied.
  • Demzufolge wird die Zertifizierungsstelle nicht als Enterprise-, sondern Standalone-CA installiert. (Eine Enterprise-CA ist in das Active Directory integriert.)
  • Dieser Server verfügt im Optimalfall über keinen Netzwerkanschluss.
  • Dieser Server muss physikalisch geschützt sein. (Denken Sie an die Folgen eines Diebstahls des ganzen Servers oder des Zertifikats.)
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifizierungsstellen aus. Diese Zertifikate werden dann auf einer Diskette transportiert.
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifizierungsstelle ist sehr lang, beispielsweise 10 oder 20 Jahre. Als Schlüssellänge kann man 2 048 oder 4 096 Bit wählen.

Sie sehen, dass der Anforderungskatalog von Stammzertifizierungsstellen (Root CA) und Intermediate CAs so gut wie identisch ist.

Issuing CA

Die Issuing CAs erstellen nun tatsächlich Zertifikate für Benutzer, Computer, Webserver, Codesignatur und vieles andere mehr. Diese Zertifizierungsstellen haben einen Netzwerkanschluss, sind als Enterprise CA in die Domäne integriert und kommunizieren mit anderen Systemen.

Hier einige Stichpunkte zum Aufbau einer Issuing CA:

  • Dieser Server ist ein Domänenmitglied.
  • Die Zertifizierungsstelle wird als Enterprise-CA (Unternehmenszertifizierungsstelle) installiert.
  • Dieser Server verfügt über einen Netzwerkanschluss und kommuniziert mit anderen Systemen.
  • Die Installation muss mit besonderer Sorgfalt erfolgen, um keine »Hintertüren« zum unbefugten Zugriff auf diesen Server zu ermöglichen.
  • Dieser Server muss physikalisch geschützt sein. (Denekn Sie an die Folgen eines Diebstahls des ganzen Servers oder des Zertifikats.)
  • Diese Zertifizierungsstelle stellt Zertifikate für Benutzer, Computer, Codesignatur und vieles andere aus.
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifizierungsstelle ist weniger lang als bei einer Root- oder Intermediate CA. Ein guter Wert sind fünf Jahre. Als Schlüssellänge kann man 2 048 Bit wählen.
  • Diese Zertifizierungsstellen sollten auf einem Betriebssystem der Enterprise Edition installiert werden, um alle Zertifikatvorlagen verwenden zu können.

Galileo Computing - Zum Seitenanfang

12.7.2 Architekturen topZur vorigen Überschrift

In Abbildung 12.44, 12.45 und 12.46 sehen Sie zwei- und dreistufige PKI-Infrastrukturen in unterschiedlichen Ausprägungen.

Abbildung 12.44 Die einfachste Möglichkeit einer zweistufigen PKI-Infrastruktur

Abbildung 12.44 zeigt den einfachsten Fall einer zweistufigen PKI-Infrastruktur. Sie besteht aus einer Stammzertifizierungsstelle und einer Zertifizierungsstelle, die Zertifikate für Benutzer und Computer erstellt. Wie zuvor beschrieben wird die Root CA möglichst als Offline-System ohne Netzwerkanschluss realisiert. Diese Architektur dürfte für die meisten mittelständischen Unternehmen geeignet sein.

Abbildung 12.45 Eine zweistufige PKI-Infrastruktur

Abbildung 12.46 Eine dreistufige PKI-Infrastruktur

Die zweistufige Architektur bietet die Möglichkeit, eine beliebige Anzahl von Issuing CAs einzurichten (Abbildung 12.45). Dies könnte beispielsweise interessant sein, wenn die Organisation sehr groß und verteilt und nur durch sehr schmalbandige Weitverkehrsverbindungen verbunden ist. Eine Issuing CA könnte beispielsweise in Europa, eine andere in Asien stehen.

Die nächste Ausbaustufe ist die Verwendung von Intermediate CAs, die ihrerseits Zertifikate für die Issuing CAs erstellen (Abbildung 12.46). Diese PKI-Architektur bietet die Möglichkeit, mit separaten Policys und separaten Zertifikatssperrlisten zu arbeiten. Unter einer Intermediate CA können jeweils beliebig viele Issuing CAs betrieben werden; oder technisch korrekter: Eine Intermediate CA kann für beliebig viele Issuing CAs Zertifikate erzeugen.

Obgleich die PKI-Architektur nun bereits recht komplex und weitverzweigt ist, lässt sich alles auf ein Zertifikat zurückführen, nämlich auf das Zertifikat der Stammzertifizierungsstelle.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de