Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatsdienste installieren/Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatssperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen der Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone


Galileo Computing - Zum Seitenanfang

12.11 Das Online Certificate Status Protocol (OCSP) Zur nächsten ÜberschriftZur vorigen Überschrift

Die Benutzung von Sperrlisten ist zwar seit den Anfängen der Zertifikatsverwendung bewährt, weit verbreitet und funktioniert auch, allerdings ist der Ansatz nicht unbedingt der modernste: In regelmäßigen Abständen eine Datei zu veröffentlichen, die heruntergeladen werden kann, hört sich in der Tat nicht so nach dem Höhepunkt der Softwarearchitektur an, oder?

Mit dem Online Certificate Status Protocol (OCSP) gibt es seit geraumer Zeit einen Nachfolger für die gute alte Sperrliste. Grundgedanke ist, dass im Zertifikat ein Verweis auf einen sogenannten Responder des Zertifikatherausgebers vorhanden ist. Bei diesem Responder kann ein Zertifikatdienst-Client abfragen, ob ein ihm vorliegendes Zertifikat gesperrt ist. Vorteil ist, dass der Client im besten Fall stets aktuelle Informationen erhält und nicht, wenn er denn die aktuelle Sperrliste bereits im Cache hat, erst nach deren Ablauf wieder neue Sperrinformationen anfordert.

Weiterhin böte sich die Chance, dass der Responder nicht nur schaut, ob das Zertifikat nicht gesperrt ist, sondern auch prüft, ob er dieses Zertifikat überhaupt ausgestellt hat. Immerhin wäre es ja denkbar, dass der Client ein gefälschtes Zertifikat erhalten hat, das zwar nicht auf der Sperrliste steht, aber von der Zertifizierungsstelle auch nie ausgestellt worden ist. Diese Funktionalität ist allerdings in den meisten Respondern nicht umgesetzt.

Die Active Directory-Zertifikatdienste verfügen über einen OCSP Online-Responder. Dieser kann als Rollendienst Online-Responder installiert werden.


Hinweis

Der Online-Responder steht nur zur Verfügung, wenn die Zertifikatdienste auf der Enterprise Edition des Betriebssystems installiert werden.



Galileo Computing - Zum Seitenanfang

12.11.1 Konfiguration des Online-Responders Zur nächsten ÜberschriftZur vorigen Überschrift

Ist der Rollendienst installiert, findet sich in der Computerverwaltung ein Eintrag namens Online-Responderverwaltung; es startet das auf Abbildung 12.77 gezeigte Konfigurationswerkzeug. Im obersten Knoten gelangen Sie zu einem Eigenschaftendialog, in dem Sie unter anderem die Überwachung konfigurieren können, die durchaus hilfreich bei der Ersteinrichtung ist.

Abbildung 12.77 Die Eigenschaften des Online-Responders können in einem grafischen Werkzeug konfiguriert werden.

Die Antworten des OCSP-Responders werden signiert, zu diesem Zweck wird ein spezielles Signaturzertifikat erstellt. Das hört sich komplizierter an, als es tatsächlich ist. Bei der Installation einer Unternehmenszertifizierungsstelle wird die benötigte Zertifikatvorlage OCSP-Antwortsignatur direkt installiert (in den englischen Versionen heißt die Vorlage übrigens OCSP Response Signing). In der Konfiguration der Zertifikatvorlage muss allerdings noch eine kleine Änderung vorgenommen werden (Abbildung 12.78):

  • Öffnen Sie die Eigenschaften der Zertifikatvorlage OCSP-Antwortsignatur.
  • Wechseln Sie auf die Registerkarte Sicherheit.
  • Fügen Sie das Computerkonto des Systems, auf dem die Zertifizierungsstelle läuft, hinzu, und erteilten Sie die Berechtigungen Lesen und Registrieren.

Abbildung 12.78 Bei der Vorlage OCSP-Antwortsignatur muss das Computerkonto des PCs hinzugefügt werden.

Nun können Sie im Kontextmenü des Knotens Sperrkonfiguration den Assistenten zum Erstellen einer neuen Sperrkonfiguration starten. Dies dient dazu, dem Online-Responder beizubringen, für welche Sperrlisten er zuständig ist. Ein Online-Responder kann übrigens beliebig viele Sperrlisten verwalten.

Im ersten Dialog des Assistenten geht es um die Identifikation der neuen Sperrkonfiguration. Der Name ist zwar beliebig, im Normalfall bietet sich aber der Name der Zertifizierungsstelle an, zu der die in dieser Konfiguration verwaltete Sperrliste gehört (Abbildung 12.79).

Abbildung 12.79 Der Assistent zur Erstellung einer Sperrkonfiguration

Der Online-Responder kann für eine Active Directory-integrierte Unternehmenszertifizierungsstelle konfiguriert werden, er könnte aber auch beispielsweise für eine Offline-CA auf Linux-Basis arbeiten. Er ist also flexibel. In den nächsten beiden Dialogen wird das Zertifizierungsstellenzertifikat, dessen Zertifikate überprüft werden sollen, ausgewählt. Im ersten Dialog (Abbildung 12.80) wählen Sie aus, wo das Zertifikat gefunden wird (Unternehmenszertifizierungsstelle, Zertifikatsspeicher oder Datei). Der folgende Dialog wählt dann das Zertifikat aus (Abbildung 12.81).

Wie bereits erwähnt, wird die Antwort des Online-Responders signiert, wozu natürlich ein Zertifikat benötigt wird. Am einfachten ist, wenn der Assistent die Anforderung eines geeigneten Zertifikats initiiert (Abbildung 12.82).


Achtung

Beachten Sie, dass die Zertifikatanforderung nur dann funktionieren wird, wenn Sie die Berechtigungen der Zertifikatvorlage, wie auf Abbildung 12.78 gezeigt, angepasst haben.

Ansonsten wird die Registrierung des Zertifikats scheitern; eine Fehlermeldung wird dann im Ereignisprotokoll zu finden sein.


Abbildung 12.80 In diesem Fall bezieht sich die Sperrkonfiguration auf eine Unternehmenszertifizierungsstelle.

Abbildung 12.81 Hier wird die Unternehmenszertifizierungsstelle, welche die zu überprüfenden Zertifikate ausgestellt hat, ausgewählt.

Abbildung 12.82 Sie können den Assistenten anweisen, automatisch ein OCSP-Signaturzertifikat zu registrieren.

Der letzte Schritt ist die Auswahl eines Sperranbieters. Hier stecken einfach die Sperrlisten dahinter, die in Abbildung 12.83 bereits vorbelegt sein werden.

Abbildung 12.83 Als Sperranbieter werden die vorhandenen Sperrlisten konfiguriert.

Es wäre recht elegant, wenn der Online-Responder direkt die Zertifizierungsstelle abfragen und nicht den Umweg über die Sperrlisten nehmen würde. In diesem Fall würde ein als gesperrt eingetragenes Zertifikat direkt als solches erkannt werden.

Da der Online-Responder aber auf Sperrlisten zurückgreift, ist die Einstellung Sperrlisten basierend auf ihrem Gültigkeitszeitraum aktualisieren recht wichtig. Wenn Sie ein Zertifikat sperren, könnten Sie mit certutil –crl die sofortige Erzeugung einer neuen Sperrliste erzwingen. Wenn der Online-Responder die Sperrlisten aber nur alle sieben Tage einliest, ist die Aktualisierung eben doch recht träge. Es könnte sich also anbieten, beispielsweise den Online-Responder alle 60 Minuten die Sperrlisten einlesen zu lassen.

Nach Beenden des Assistenten wird das System ein paar Augenblicke damit beschäftigt sein, die Konfiguration zu erstellen. Ob alles in Ordnung ist, erkennen Sie im Sperrkonfigurationsstatus auf der Begrüßungsseite des Online-Responders. Auf Abbildung 12.84 ist zwar alles in Ordnung (grüner Haken), es könnte aber durchaus Probleme geben.

Abbildung 12.84 In der Übersicht können Sie erkennen, ob die Sperrkonfiguration korrekt ausgeführt wird.

Der meines Erachtens nach häufigste Fehler ist ein Problem bei der Registrierung des OCSP-Antwortsignaturzertifikats. Dieser Fehler tritt insbesondere dann auf, wenn die Anpassungen der Zertifikatvorlage vergessen wurden (siehe Abbildung 12.78).

Entsprechende Hinweise auf einen Fehler finden Sie übrigens auch in der Ereignisanzeige.


Galileo Computing - Zum Seitenanfang

12.11.2 Anpassung der Zertifizierungsstelle Zur nächsten ÜberschriftZur vorigen Überschrift

Nun hilft es freilich nicht, den Online-Responder zu installieren und zu konfigurieren. In die ausgestellten Zertifikate muss ebenfalls die entsprechende URL integriert werden. Dies geschieht in den Eigenschaften der Zertifizierungsstelle, wie auf Abbildung 12.85 gezeigt (beachten Sie insbesondere die Checkboxen).

Abbildung 12.85 Hinzufügen der Information über den OCSP-Online-Responder zu den ausgestellten Zertifikaten


Galileo Computing - Zum Seitenanfang

12.11.3 Testen Zur nächsten ÜberschriftZur vorigen Überschrift

Auf Abbildung 12.86 sehen Sie ein Zertifikat, das die OCSP-Erweiterung enthält – im Grunde genommen nicht weiter spektakulär. Sofern Sie keine Kompatibilität mit älteren Programmen/Betriebssystemen, die keine OCSP-Prüfung unterstützen, gewährleisten müssen, brauchen Sie die Sperrlisten-Vteilungspunkte nicht in die Zertifikate zu integrieren.

Mit Certutil können Sie nun direkt einen kleinen Test mit dem neu erstellten Zertifikat durchführen, nämlich die Gültigkeitsprüfung mit certutil –verify –urlfetch –v. Im Ergebnis wird der Zugriff auf die OCSP-URL aufgezeichnet (Abbildung 12.87). Sofern keine Fehlermeldung erscheint, war der Zugriff erfolgreich.

Abbildung 12.86 Dieses Zertifikat enthält die OCSP-URL.

Abbildung 12.87 »certutil -verify -urlfetch -v? für das Zertifikat mit OCSP-Erweiterung


Galileo Computing - Zum Seitenanfang

12.11.4 ISA Server-Veröffentlichung topZur vorigen Überschrift

Falls Sie, wie zuvor vorgeschlagen, für die Veröffentlichung der Sperrliste eine Website-Veröffentlichungsregel mit dem ISA Server erstellt haben, müssen Sie diese noch für den Zugriff auf den Online-Responder erweitern. Öffnen Sie dazu die Eigenschaften der Regel, wechseln Sie auf die Registerkarte Pfade, und fügen Sie den Pfad /ocsp/* hinzu (Abbildung 12.88).

Abbildung 12.88 In die Website-Veröffentlichungsregel muss der zusätzliche Pfad eingetragen werden.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de