Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatsdienste installieren/Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatssperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen der Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone


Galileo Computing - Zum Seitenanfang

12.12 Zweistufige Architektur implementieren Zur nächsten ÜberschriftZur vorigen Überschrift

Wie Sie zuvor gesehen haben, ist die Einrichtung einer einstufigen Active Directory-integrierten PKI nicht wirklich ein Problem – fast eine »Weiter=>Weiter=>Fertig-Installation«.

Eine einstufige Architektur ist von den Sicherheitsansprüchen her nicht ganz ideal, da das Stammzertifikat nicht optimal geschützt ist. Viele mittelständische Unternehmen tendieren daher eher zu einer zweistufigen Architektur, bei der eine Offline-Stammzertifizierungsstelle (Offline-CA) lediglich das Stammzertifikat erzeugt und das Zertifikat der ausgebenden Zertifizierungsstelle (Issuing CA) signiert. Die Zertifizierungsstelle, die Zertifikate für Computer und Benutzer erzeugt, wird dann Active Directory-integriert aufgesetzt.

Dieses Szenario einzurichten, ist zwar definitiv keine unlösbare Aufgabe, erfordert aber naturgemäß einige zusätzliche Schritte und setzt einige weitere konzeptionelle Überlegungen voraus.

Aufgrund des vielfachen Wunsches der Leser der Vorauflage dieses Buchs zeige ich daher Schritt für Schritt den Aufbau einer zweistufigen PKI. Hier sehen Sie einige Eckdaten:

  • Das Stammzertifikat soll eine Gültigkeit von 30 Jahren haben.
  • Das Zertifikat der ausgebenden Zertifizierungsstelle soll 15 Jahre gültig sein.
  • Die Zertifikatssperrliste soll einmal pro Jahr aktualisiert werden, um gegebenenfalls das Zertifikat der ausgebenden Zertifizierungsstelle zurückziehen zu können.
  • Die ausgebende Zertifizierungsstelle soll in das Active Directory integriert sein.
  • Die Zertifikatssperrlisten sollen sowohl intern als auch extern abrufbar sein.

Galileo Computing - Zum Seitenanfang

12.12.1 Offline-CA installieren und konfigurieren Zur nächsten ÜberschriftZur vorigen Überschrift

Der erste Schritt ist die Installation der Offline-CA, die über das 30 Jahre lang gültige Stammzertifikat verfügt und das Zertifikat für die untergeordnete Zertifizierungsstelle herausgibt.

Installation

Die Offline-CA kann entweder auf einem physikalischen Gerät oder in einer virtuellen Maschine betrieben werden. Letzteres hat übrigens durchaus Vorteile, denn das System wird nur selten gestartet werden. »Echte« physikalische Festplatten vertragen das erfahrungsgemäß nicht allzu gut, wenn sie nur einmal im Jahr gestartet werden. Falls Sie sich dafür entscheiden, die Offline-CA direkt auf Hardware zu betreiben, genügt prinzipiell auch PC-Hardware, es muss kein »richtiger« Server sein. Wichtig sind aber zwei Aspekte:

  • Sie müssen ein zuverlässiges Verfahren implementieren, mit dem sichergestellt ist, dass das System bei Bedarf tatsächlich gestartet werden kann. Bei Festplatten kann es durchaus sein, dass diese nach einem halben Jahr eben nicht mehr starten. Ein entsprechendes Backup-Konzept ist also notwendig.
  • Die Offline-CA, die auch über den privaten Schlüssel des Stammzertifikats verfügt, ist extrem schutzbedürftig. Festplatten bieten den Vorteil, dass man diese entnehmen und in den Tresor legen kann. Wenn Sie mit einer virtuellen Maschine arbeiten, müssen Sie sich hier ein wenig Gedanken machen: Die komplette virtuelle Maschine zwar ausgeschaltet, aber startbereit auf dem virtuellen Server liegen zu lassen, könnte (!) ein Sicherheitsproblem sein. Gegebenenfalls müssten Sie die Dateien vom virtuellen Server herunterkopieren und auf einem separaten Medium im Tresor lagern.

Für welche Vorgehensweise Sie sich auch entscheiden: Es gibt immer Vor- und Nachteile, ganz wie im richtigen Leben. Achten Sie darauf, dass die beiden genannten Aspekte in Ihrer Planung hinreichend berücksichtigt werden.

Erste Software-Anforderung an den Server, auf dem die Offline-CA installiert wird, ist, dass er kein Domänenmitglied ist. Das hat nichts damit zu tun, dass ein Domänenmitglied »irgendwie weniger sicher« wäre. Vielmehr ist der Grund, dass der Computer nach einem halben Jahr Offline-Zeit nicht mehr über das aktuelle Kennwort der Computerkontos verfügt und sich demzufolge nicht an der Domäne anmelden kann (Abbildung 12.89).


Keine Vorteile

Als Edition des Windows Server 2008-Betriebssystems genügt Standard, die Enterprise Edition bringt hier keinerlei Gewinn. Auch der Einsatz der R2-Version bringt an dieser Stelle keine Vorteile.


Abbildung 12.89 Die Maschine für die Offline-CA sollte/darf kein Domänenmitglied sein.

Einer Zertifizierungsstelle können bei der Installation über eine inf-Datei einige Konfigurationsparameter mitgegeben werden. Diese sind im Installationsassistenten nicht verfügbar, können aber zumeist nachträglich geändert werden. Die Konfigurationsdatei muss CAPolicy.inf heißen und im Windows-Verzeichnis (also C:\windows) liegen. In Abbildung 12.90 sehen Sie eine beispielhafte CAPolicy.inf, die unter anderem folgende Einstellungen vornimmt:

  • Von dieser CA ausgestellte Zertifikate können maximal 30 Jahre gültig sein.
  • Die Zertifikatssperrliste (CRL, Certificate Revocation List) ist jeweils 54 Wochen gültig, eine Deltasperrliste gibt es nicht.

Wenn die Datei im Windows-Verzeichnis liegt, werden darin getroffene Einstellungen bei der Installation der Zertifizierungsstelle berücksichtigt.

Die Installation der Offline-CA beginnt so wie die Installation jeder anderen Zertifizierungsstelle – etwas Besonderes ist sie ja im Grunde genommen auch nicht. Bei der Auswahl der Rollendienste genügt Zertifizierungsstelle, also sozusagen der Basisdienst (Abbildung 12.91). Die Zertifizierungsstellen-Webregistrierung ist für eine Offline-CA unnötig.

Abbildung 12.90 Mit der Datei CAPolicy.inf können einige Einstellungen bereits bei der Installation festgelegt werden.

Abbildung 12.91 Die Installation des Rollendienstes »Zertifizierungsstelle« genügt.

Erwartungsgemäß steht die Option, eine Unternehmenszertifizierungsstelle zu installieren, auf einem Server, der kein Domänenmitglied ist, nicht zur Verfügung (Abbildung 12.92). Nochmals zur Erinnerung, falls Sie mit dem Lesen direkt in diesem Abschnitt begonnen haben: Eine Unternehmenszertifizierungsstelle ist in das Active Directory integriert und wird folglich von Diensten automatisch gefunden.

Abbildung 12.92 Auf einem Einzel-PC steht nur die Option »Eigenständig« zur Verfügung.

Die folgende Dialogseite ermöglicht die Auswahl, ob eine Stammzertifizierungsstelle oder eine untergeordnete Zertifizierungsstelle angelegt werden soll (Abbildung 12.93). Da die Offline-CA die oberste Instanz der PKI-Hierarchie ist, wird eine Stammzertifizierungsstelle installiert.

Auf den folgenden Seiten geht es um die Erstellung des privaten Schlüssels für die neue Stammzertifizierungsstelle. Sofern nicht von einer vorhergehenden Stammzertifizierungsstelle das Stammzertifikat vorhanden ist und weitergenutzt werden soll, wird hier und jetzt das Erstellen eines neuen privaten Schlüssels begonnen (Abbildung 12.94).

Abbildung 12.93 Wir erstellen eine Stammzertifizierungsstelle.

Abbildung 12.94 Für die neue Stammzertifizierungsstelle muss ein neuer privater Schlüssel erstellt werden.

Die erste Entscheidung bezieht sich auf einige Einstellungen zur Kryptografie (Abbildung 12.95):

  • Als Kryptografiedienstanbieter können Sie die vorgegebene Einstellung belassen.
  • Als Hash-Algorithmus wählen Sie SHA256 aus.
  • Als Schlüsselzeichenlänge wird 2 048 vorgegeben sein. Diesen Wert sollten Sie ebenfalls übernehmen. Man kann an dieser Stelle auch höhere Werte einstellen, und die Versuchung ist durchaus da – längerer Schlüssel klingt irgendwie »sicherer«. Der Nachteil ist allerdings, dass nicht unbedingt alle Hard- und Softwarekomponenten mit Schlüssellängen über 2 048 Bits zurechtkommen. Also: Die Voreinstellung 2 048 zu übernehmen, ist mehr als nur empfehlenswert.

Abbildung 12.95 Als Schlüsselzeichenlänge kommt 2 048 in Frage. Längere Schlüssel führen unter Umständen zu Kompatibilitätsproblemen.

Im nächsten Schritt wird der Name der Zertifizierungsstelle konfiguriert. Der hier angegebene Name (auf Abbildung 12.96 ist das UBINFROOTCERT) wird beispielsweise in der Anzeige des lokalen Zertifikatsspeichers verwendet. Er sollte also einigermaßen prägnant sein. Als Suffix des definierten Namens geben Sie hier den Namen Ihrer Active Directory-Domäne ein.

Im nächsten Dialog, zu sehen auf Abbildung 12.97, geht es um die Gültigkeit des Stammzertifikats. Die hier vorgeschlagenen 30 Jahre sind zwar nach IT-Maßstäben ein geradezu biblischer Zeitraum – ich halte das für eine Stammzertifizierungsstelle aber durchaus für akzeptabel. Sie wollen ja vermutlich nicht alle paar Jahre größere Umbauarbeiten an der Zertifikatsinfrastruktur vornehmen.

Abbildung 12.96 Auch eine Zertifizierungsstelle benötigt einen Namen.

Abbildung 12.97 Für das Zertifikat der Stammzertifizierungsstelle kann durchaus eine Gültigkeitsdauer von 30 Jahren gewählt werden.

Zum Schluss werden noch die Speicherorte für Zertifikatsdatenbank und deren Protokoll abgefragt. Sie können sich hier getrost für die Standardwerte entscheiden (Abbildung 12.98).


Zertifikat sicher aufbewahren

Denken Sie daran, das soeben erzeugte Zertifikat an einem sicheren Ort aufzubewahren. »Sicherer Ort« hat hierbei zwei Bedeutungen:

  • Das Zertifikat muss wiederherstellbar sein.
  • Das Zertifikat muss so geschützt sein, dass es nicht in fremde Hände fällt.
  • Die Sicherung der Zertifizierungsstelle kann in deren Kontextmenü initiiert werden. Sofern Sie nur das Stammzertifikat nebst privatem Schlüssel exportieren möchten, müssen Sie dies über das Zertifikate-Snap In erledigen.

Abbildung 12.98 Zum Schluss muss noch der Speicherort für die Zertifikatsdatenbank und das zugehörige Protokoll gewählt werden.

Konfiguration

Die Zertifizierungsstelle ist zwar nun installiert, muss aber noch weiter konfiguriert werden.

Wichtig ist zunächst der Verteilungspunkt für Sperrlisten (CDP, Certificate Revocation Distribution Point). Diese Aufgabe kann entweder mit dem Kommandozeilenwerkzeug Certutil erfolgen oder, aus Sicht der meisten Leser sicher angenehmer, mit der grafischen Oberfläche. Den entsprechenden Dialog finden Sie im Snap In Zertifizierungsstelle auf der Registerkarte Erweiterungen in den Eigenschaften der Zertifizierungsstelle (Abbildung 12.99).

Abbildung 12.99 In den Eigenschaften der Zertifizierungsstelle muss der Sperrlisten-Verteilungspunkt konfiguriert werden.


Details

Die Details zu Sperrlisten werden in Abschnitt 12.10 ausführlich erläutert, daher zeige ich Ihnen hier nur, was für dieses Szenario konfiguriert werden muss.


Ich habe mich für dieses Beispielszenario dazu entschieden, die Sperrlisten unterhalb der URL http://certs.boddenberg-technik.de/CertEnroll zu veröffentlichen. Dieser Server ist sowohl für interne als auch für externe Clients zu erreichen. Dies ist mittlerweile auch für eine firmeninterne PKI wichtig, weil es zunehmend Anwendungen gibt, die eine erfolgreiche Zertifikatsüberprüfung voraussetzen – zu nennen wären hier beispielsweise DirectAccess und SSTP.


Einheitliche URL

Es ist möglich, mehrere Orte für die Sperrlisten hinzuzufügen und so beispielsweise eine interne und eine externe URL zu definieren. Ich sehe bei einer einheitlichen URL allerdings folgende Vorteile:

  • Es ist aus Zertifikatssicht einfacher zu verwalten.
  • Bei der Überprüfung des Zertifikats wird gemäß der definierten Reihenfolge der Orte vorgegangen. Ein nicht erreichbarer Ort führt stets zu einer gewissen Verzögerung.

Hier ist nun die Vorgehensweise:

  • Wählen Sie das Hinzufügen eines weiteren Standorts (Schaltfläche Hinzufügen, siehe Abbildung 12.99).
  • Tragen Sie die URL des Orts für die Veröffentlichung der Sperrliste ein, in diesem Beispiel ist das http://certs.boddenberg-technik.de/CertEnroll/. Dann fügen Sie die Variablen <CaName>, <CRLNameSuffix> und <DeltaCRLAllowed>, wie auf Abbildung 12.100 gezeigt, hinzu. Schließen Sie die Zeile mit der Dateiendung .crl ab.

Abbildung 12.100 Einen neuen Ort für die Sperrliste hinzufügen

  • Wenn der neue Ort eingerichtet ist, selektieren Sie ihn und aktivieren die Option In CDP-Erweiterung. Das führt dazu, dass in jedem von dieser Zertifizierungsstelle ausgestelltem Zertifikat dieser Speicherort der Sperrliste angegeben ist (Abbildung 12.101).
  • Deaktivieren Sie bei den anderen Standorten die Option In CDP-Erweiterung.

Bleiben Sie auf der Registerkarte Erweiterungen und wählen nun Zugriff auf Stelleninformationen (Abbildung 12.102). Hier wird der Speicherort des öffentlichen Teils des Zertifikats angegeben. Gehen Sie wie für die Sperrliste gezeigt vor, um einen neuen Speicherort hinzuzufügen. Aktivieren Sie für diesen die Option In AIA-Erweiterung, und deaktivieren Sie diese Option für die anderen Orte.

Abbildung 12.101 Der neue Sperrlisten-Verteilungspunkt soll in den Erweiterungen des Zertifikats aufgeführt werden.

Abbildung 12.102 Auch die AIA-Erweiterung muss konfiguriert werden.

Nun müssen noch einige Einstellungen vorgenommen werden, die leider nicht in der grafischen Oberfläche möglich sind, sondern mit Certutil erfolgen. Abbildung 12.103 zeigt exemplarisch die Vorgehensweise. Folgende Einstellungen müssen gemacht werden:

Angeben des Konfigurationsnamenskontexts Ihres Active Directorys, zum Beispiel für die AD-Domäne ubinf.intra:

Certutil –setreg CA\DSConfigDN CN=Configuration,DC=ubinf,DC=intra

Die Konfiguration der Sperrlisten-Veröffentlichungs-Zeiträume sollte bereits in der CAPolicy.inf-Datei erfolgt sein. Sofern Sie diese nicht verwendet haben, sind folgende Einstellungen vorzunehmen:

Certutil –setreg CA\CRLPeriod weeks
Certutil –setreg CA\CRLPeriodUnits 54
Certutil –setreg CA\CRLDeltaPeriod days
Certutil –setreg CA\CRLDeltaPeriodUnits 0
Certutil –setreg CA\CRLOverlapPeriosd weeks
Certutil –setreg CA\CRLOverlapPeriodUnits 4

Nun muss noch konfiguriert werden, dass die von dieser Zertifizierungsstelle ausgestellten Zertifikate 15 Jahre gültig sind. Ansonsten wäre das Zertifikat für die untergeordnete Zertifizierungsstelle nur ein Jahr gültig, was weniger praktikabel ist. Die Befehle dazu sind (siehe auch Abbildung 12.103):

Certutil –setreg CA\ValidityPeriod years
Certutil –setreg CA\ValidityPeriodUnits 15

Nun legen Sie fest, dass diskrete Signaturen für ausgestellte Zertifikate verwendet werden dürfen:

Certutil –setreg CA\csp\DiscreteSignatureAlgorithm 1

Nach Abschluss der Konfiguration mit Certutil müssen die Zertifikatsdienste neu gestartet werden. Das lässt sich von der Kommandozeile aus mit folgenden Befehlen bewerkstelligen:

Net stop certsvc
Net start certsvc

Zertifikat und Sperrliste kopieren

Der öffentliche Teil des Zertifikats und die Sperrliste finden sich standardmäßig im Verzeichnis C:\Windows\System32\CertSrv\CertEnroll. Dort sollten sich jetzt, wie auf Abbildung 12.104 gezeigt, zwei Dateien befinden, nämlich der öffentliche Teil des Zertifikats (*.crt) und die Sperrliste (*.crl).

Ein Doppelklick auf die Dateien ermöglicht jeweils einen Blick in die »Innereien«; Sie können somit kontrollieren, ob auch alles korrekt konfiguriert ist:

  • Abbildung 12.105 zeigt die Details des Stammzertifikats. Sie können sehen, dass es exakt 30 Jahre gültig ist – ich habe es am 4. September 2009 erzeugt. Wie bereits in Abschnitt 12.10 beschrieben, sind im Stammzertifikat keine Verteilungspunkte für Sperrlisten oder Stelleninformationen eingetragen. Das entspricht der gängigen Praxis und wird von Windows Server 2008 beim Erzeugen eines Stammzertifikats automatisch so gehandhabt.

Abbildung 12.103 Etliche Parameter werden mit Certutil konfiguriert.

Abbildung 12.104 In diesem Verzeichnis befinden sich das Zertifikat und die Sperrliste.

  • Abbildung 12.106 zeigt die Sperrliste. Diese ist 54 Wochen gültig, so wie gewünscht.

Abbildung 12.105 Das Zertifikat ist 30 Jahre gültig und hat keine definierten Sperrlisten – wie erwartet.

Abbildung 12.106 Die Sperrliste: Die nächste Aktualisierung ist in 54 Wochen.


Hinweis

Hier noch ein Hinweis zur Sperrliste: Da die Sperrliste 54 Wochen gültig ist, müssen Sie die Zertifizierungsstelle zu diesem Datum auf den angegebenen Sperrlisten-Verteilungspunkt kopieren.

Die neue Sperrliste wird zu diesem Zeitpunkt erzeugt sein. Falls das noch nicht erfolgt ist, können Sie mit certutil –crl die Erstellung der Sperrliste erzwingen.

Es ist eine ziemlich gute Idee, jetzt und sofort einen Termin in Outlook einzutragen. Ich rate immer dazu, eine kurze Beschreibung der Vorgehensweise aufzunehmen – nach einem Jahr geraten die durchzuführenden Schritte schnell in Vergessenheit.


Abbildung 12.107 Erstellen Sie am besten direkt einen Terminkalendereintrag, der an das Kopieren der Sperrliste erinnert. Es hat sich bewährt, die Vorgehensweise zu skizzieren – sie ist nach einem Jahr schnell vergessen.

Kopieren Sie nun Zertifikat und Sperrliste aus dem auf Abbildung 12.104 gezeigten Verzeichnis auf den Server, auf dem die untergeordenete CA installiert werden soll.


OCSP

Sie können anstatt oder zusätzlich zu den Sperrlisten auch mit OCSP arbeiten. In Abschnitt 12.11 ist das ausführlich erläutert.



Galileo Computing - Zum Seitenanfang

12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen Zur nächsten ÜberschriftZur vorigen Überschrift

Nachdem Sie im vorherigen Schritt den öffentlichen Teil des Zertifikats und die Sperrliste auf den Server, auf dem die Unternehmens-Zertifizierungsstelle installiert werden soll, kopiert haben, müssen diese nun dort installiert werden.

Den lokalen Zertifikatsspeicher hinzufügen

Um es direkt vorweg zu sagen: Dieser Schritt ist eigentlich optional, da Zertifikat und Sperrliste ohnehin durch das Active Directory auf den Server verteilt würden. Das manuelle Importieren in den lokalen Zertifikatsspeicher beschleunigt den Vorgang.

Wie Sie auf Abbildung 12.108 sehen können, lassen sich mittels Certutil sowohl das Zertifikat als auch die Sperrliste in den lokalen Zertifikatsspeicher importieren. Das ginge übrigens auch mit der grafischen Oberfläche (Snap In Zertifikate), aber so geht es meines Erachtens am schnellsten.

Abbildung 12.108 Hinzufügen von Zertifikat und Sperrliste zum lokalen Zertifikatsspeicher

Das Active Directory hinzufügen

Auf alle Systeme Ihrer Umgebung muss das Zertifikat Ihrer Stammzertifizierungsstelle gebracht werden. Angenehmerweise lässt sich dies mit dem Active Directory automatisieren. Das Zertifikat wird im Konfigurationsnamenskontext gespeichert, was dazu führt, dass die Server und PCs es herunterladen und installieren. Das Ganze funktioniert übrigens auch umgekehrt: Wenn Sie das Zertifikat im AD löschen, wird es nach einer Weile (einige Stunden) von Servern und PCs verschwunden sein.

Das Hinzufügen von Zertifikat und Sperrliste zum Active Directory wird mit Certutil erledigt, auf Abbildung 12.109 ist zu sehen, wie’s gemacht wird. Beim Hinzufügen der Sperrliste kann es, wie auch auf der Abbildung zu sehen, zu einem Problem kommen: Dieses lässt sich zumeist dadurch beheben, dass der NetBios-Name des Servers, auf dem die Stammzertifizierungsstelle betrieben wird, angegeben wird.

In einigen Stunden wird das Zertifikat auf allen Systemen in Ihrem Active Directory installiert sein. Sie können die Installation übrigens durch gpupdate /force erzwingen.

Abbildung 12.109 Hinzufügen von Zertifikat und Sperrliste zum Active Directory


Galileo Computing - Zum Seitenanfang

12.12.3 Unternehmens-CA installieren Zur nächsten ÜberschriftZur vorigen Überschrift

Im nächsten Schritt geht es um die Installation der Unternehmens-Zertifizierungsstelle, also dem Teil der PKI, der die Zertifikate an Computer und Benutzer ausgibt.

Zertifizierungsstelle installieren

Zur Installation der Unternehmens-Zertifizierungsstelle fügen Sie einem Server mit dem Server-Manager die Rolle Active Directory-Zertifikatsdienste hinzu. Dieser Server muss kein Domänencontroller sein – kann aber. Bei der Einrichtung der Stammzertifizierungsstelle habe ich empfohlen, auf die Webregistrierungskomponenten zu verzichten. Bei einer Zertifizierungsstelle, die Zertifikate für Benutzer und Computer ausstellt, ist diese Komponente allerdings sehr empfehlenswert. Optional können Sie weitere Rollendienste installieren (Abbildung 12.110):

  • Der Rollendienst Online-Responder unterstützt das OCSP-Protokoll zur Validierung von Zertifikaten (OCSP = Online Certificate Status Protocol). Damit dieser Mechanismus nutzbar ist, muss diese URL in den AIA-Erweiterungen des Zertifikats eingetragen werden. Der Rollendienst steht nur auf Servern der Enterprise Edition zur Verfügung.
  • Webdienst für Zertifikatsregistrierung: Wie der Name schon sagt, handelt es sich um einen Webdienst, der die Anforderung von Zertifikaten für interne und externe Clients technisch vereinfacht. Diese Rollendienste stehen übrigens erst seit Windows Server 2008 R2 zur Verfügung.

Abbildung 12.110 Neben der eigentlichen Zertifizierungsstelle sollte die Webregistrierungs-Komponente installiert werden.

Die ersten beiden Schritte sind schnell erklärt, aber trotzdem extrem wichtig:

  • Zunächst entscheiden Sie sich für die Installation einer Unternehmens-Zertifizierungsstelle. Dies bedeutet, dass diese in das Active Directory integriert wird und somit für Clients leicht auffindbar ist (Abbildung 12.111).
  • Auf der zweiten Dialogseite des Installationsassistenten wird definiert, dass eine untergeordnete Zertifizierungsstelle erstellt wird. Die Stammzertifizierungsstelle ist ja bereits eingerichtet worden, eine untergeordnete CA erhält ihr Zertifikat von ebendieser Stammzertifizierungsstelle (Abbildung 12.112).

Abbildung 12.111 Die Zertifizierungsstelle soll eine Unternehmens-Zertifizierungsstelle werden.

Abbildung 12.112 Die neue Zertifizierungsstelle ist eine untergeordnete Zertifizierungsstelle.

Auf den nächsten beiden Dialogseiten geht es um die Erstellung des privaten Schlüssels der neuen Zertifizierungsstelle. Da es diese Zertifizierungsstelle bisher noch nicht gab, muss ein neuer Schlüssel erstellt werden (Abbildung 12.113) – das ist soweit einleuchtend. Auf der folgenden Seite geht es dann um einige kryptografische Einstellungen für den Schüssel. Sie kennen den Dialog bereits von der Konfiguration der Stammzertifizierungsstelle her. Und genauso gilt auch hier, dass Sie insbesondere die Schlüssellänge von 2 048 Bits übernehmen sollten. Eine höhere Schlüssellänge kann (!) dazu führen, dass Geräte oder Applikationen mit den von dieser Zertifizierungsstelle ausgestellten Zertifikaten nichts anfangen können. (Abbildung 12.114).

Abbildung 12.113 Sie müssen einen neuen Schlüssel erstellen, da es die Zertifizierungsstelle bisher noch nicht gab.

Im nächsten Schritt wählen Sie einen Namen für die neue Zertifizierungsstelle. Es gilt, dass der Name möglichst prägnant sein sollte. Unter diesem Namen wird die Zertifizierungsstelle im Active Directory veröffentlicht (Abbildung 12.115).

Da es sich um eine untergeordnete Zertifizierungsstelle handelt, muss ein Zertifikat von der Stammzertifizierungsstelle angefordert werden. Wer bereits ein wenig mehr mit Zertifikaten und Zertifizierungsstellen zu tun hatte, weiß, dass dazu zunächst eine Anforderung erzeugt werden muss, die von der Stammzertifizierungsstelle signiert werden muss. Die gute Nachricht ist, dass diese Anforderung bereits vom Installationsassistenten erzeugt wird und Sie nur noch einen Speicherort (Pfad und Dateinamen) wählen müssen. Da die Stammzertifizierungsstelle nicht Active Directory-integriert ist, kommt die automatische Übermittlung nicht in Frage (Abbildung 12.116).

Abbildung 12.114 Wählen Sie für die Konfiguration der Kryptografie diese Angaben.

Abbildung 12.115 Geben Sie der Zertifizierungsstelle einen prägnanten Namen.

Abbildung 12.116 Erstellen Sie die Zertifikatsanforderung in einer Datei.

Nach der Auswahl der Speicherorte für Zertifikatdatenbank und deren Protokoll (hier nicht abgebildet, siehe Abbildung 12.98) wird der Installationsassistent darauf hinweisen, dass die Installation der Zertifizierungsstelle noch nicht abgeschlossen worden ist, da das Zertifizierungsstellenzertifikat von der übergeordneten Zertifizierungsstelle angefordert und eingespielt werden muss (Abbildung 12.117).

Der nächste Schritt ist nun, die Anforderungsdatei (siehe Abbildung 12.116) auf das System zu bringen, auf dem die Stammzertifizierungsstelle betrieben wird. Dies kann entweder per Memory Stick oder Diskette geschehen; falls die Stammzertifizierungsstelle über eine Netzwerkkarte verfügt, kann die Datei auch über diesen Weg auf die Festplatte des Systems kopiert werden.

Zertifikat anfordern

Wir haben bewusst nicht die Komponenten für die Webregistrierung auf der Stammzertifizierungsstelle installiert, um die Ressourcen zu schonen. Die Anforderung des Zertifikats kann auf zwei Arten eingereicht werden:

  • Im Kontextmenü der Stammzertifizierungsstelle findet sich der Menüpunkt Neue Anforderung einreichen. Wenn Sie diesen angeklickt haben, erscheint ein Dialog zur Auswahl der Anforderungsdatei (Abbildung 12.118).
  • Alternativ können Sie auf der Kommandozeile das Werkzeug certreq aufrufen. Sie kommen zum selben Ergebnis.

Abbildung 12.117 Die Installation der Zertifizierungsstelle ist erst abgeschlossen, wenn das von der übergeordneten Zertifizierungsstelle erstellte Zertifikat installiert ist.

Abbildung 12.118 Auf der Stammzertifizierungsstelle wird eine neue Anforderung eingereicht.

Nach dem Einreichen der Anforderung wird es eine ausstehende Anforderung geben, die Sie in der entsprechenden Rubrik des Zertifizierungsstellen-Werkzeugs genehmigen können. Der Menüpunkt heißt Ausstellen, weil Sie eben das Ausstellen des Zertifikats initiieren (Abbildung 12.119).

Das Ausstellen des Zertifikats wird augenblicklich durchgeführt; es findet sich nun unterhalb des Knotens Ausgestellte Zertifikate. Wenn Sie das Zertifikat öffnen, werden Sie unter anderem zwei Aspekte sehen:

  • Die Gültigkeit des ausgestellten Zertifikats beträgt wie gewünscht 15 Jahre (Abbildung 12.120). Dies haben Sie dadurch erreicht, dass mittels des Certutil-Setreg-Befehls dieser Wert eingestellt worden ist.
  • Weiterhin ist in dem Zertifikat der Sperrlisten-Verteilungspunkt vermerkt (Abbildung 12.121).

Abbildung 12.119 Die Anforderung wird genehmigt, und das Zertifikat wird ausgestellt.

Abbildung 12.120 Das Zertifikat für die untergeordnete Zertifizierungsstelle ist erstellt worden und kann nun exportiert werden.

Abbildung 12.121 Der Sperrlisten-Verteilungspunkt ist wie konfiguriert im Zertifikat angegeben.

Nun muss das ausgestellte Zertifikat exportiert und auf die Unternehmenszertifizierungsstelle kopiert werden. Dazu wählen Sie in dem auf Abbildung 12.121 gezeigten Dialog die Funktion In Datei kopieren. In dem daraufhin startenden Assistenten entscheiden Sie sich für den Export im P7B-Format (Abbildung 12.122).

Abbildung 12.122 Wählen Sie beim Export des Zertifikats dieses Format.

Die Datei kopieren Sie auf den Server der Unternehmenszertifizierungsstelle.

Zertifikat installieren

Starten Sie nun das Konfigurationswerkzeug der Zertifizierungsstelle auf dem Server der Unternehmenszertifizierungsstelle. Sie werden feststellen, dass die Zertifizierungsstelle derzeit nicht ausgeführt wird – kein Wunder, es ist ja auch noch kein Zertifikat installiert.

In den Eigenschaften der Zertifizierungsstelle wählen Sie nun den Menüpunkt Zertifizierungsstellenzertifikat installieren. Sie müssen die erzeugte P7B-Datei auswählen. Einen Augenblick später ist schon alles erledigt, und das Zertifikat ist installiert (Abbildung 12.123).

Abbildung 12.123 Sie können nun das Zertifizierungsstellenzertifikat installieren.

Wenn Sie alles richtig gemacht haben, dürften keine Fehler- oder Warnmeldungen erscheinen. Die häufigsten Probleme sind:

  • Es erscheint eine Fehlermeldung, dass das Zertifikat nicht vertrauenswürdig ist. In diesem Fall haben Sie vermutlich das Stammzertifikat nicht dem lokalen Zertifikatsspeicher hinzugefügt (siehe Abschnitt 12.12.2). Im Grunde genommen genügt es, das Zertifikat dem Active Directory hinzuzufügen; das Problem ist allerdings, dass es ein wenig dauert, bis es dann wirklich auf dem Server vorhanden ist.
  • Ein zweite, häufig anzutreffende Meldung ist, dass die Sperrliste nicht überprüft werden konnte. Falls Sie noch nicht den Speicherort der Sperrliste eingerichtet haben, ist das zwar korrekt, andererseits können Sie das Problem umgehen, in dem Sie momentan die aktuelle Sperrliste (wie in Abschnitt 12.12.2 gezeigt) dem lokalen Zertifikatsspeicher hinzufügen.

Nach erfolgreichem Import des Zertifizierungsstellenzertifikats kann die Zertifizierungsstelle gestartet werden. In den Eigenschaften wird das soeben importierte Zertifikat als Zertifikat Nr. 0 angezeigt (Abbildung 12.124). Die Zertifizierungsstelle ist nun grundsätzlich einsatzbereit.

Da es sich um eine Unternehmenszertifizierungsstelle handelt, ist sie auch als Enrollment Service im Active Directory registriert (Abbildung 12.125). Server und PCs werden diese nun als Online-Zertifizierungsstelle finden, allerdings erst nach einem Neustart (des PCs oder Servers) oder der Eingabe von gpupdate /force.

Abbildung 12.124 Hat alles geklappt, startet die Zertifizierungsstelle und verfügt über ein Zertifizierungsstellenzertifikat.

Abbildung 12.125 Die Zertifizierungsstelle ist im Active Directory eingetragen.

Zertifikatvorlagen zuweisen

Wie Sie aus dem bisherigen Verlauf dieses Kapitels bereits wissen, arbeitet die Zertifizierungsstelle mit Zertifikatvorlagen. Wenn Sie eine einstufige Unternehmenszertifizierungsstelle installiert haben, sind die wesentlichen Zertifikatvorlagen bereits hinterlegt, bei einer untergeordneten Zertifizierungsstelle müssen Sie die auszustellenden Zertifikatvorlagen noch auswählen.

Diese Aufgabe ist einfacher zu erledigen, als es sich vielleicht auf zunächst anhört (Abbildung 12.126):

  • Wechseln Sie zum Knoten Zertifikatvorlagen.
  • Wählen Sie den Menüpunkt NeuAuszustellende Zertifikatvorlage.
  • Es erscheint eine Liste, aus der Sie die benötigten Vorlagen auswählen können, beispielsweise für Benutzer, Computer, Webserver und so weiter.

Abbildung 12.126 Die auszustellenden Zertifikatvorlagen müssen ausgewählt werden.


Abhängig von der Edition

An dieser Stelle sei nochmals darauf hingewiesen, dass es von der Edition des Betriebssystems abhängt, ob Sie eigene Zertifikatvorlagen erstellen können. Bei der Standard Edition von Windows Server 2008 (R2) stehen nur die Standardvorlagen zur Verfügung, bei der Enterprise Edition können Sie eigene Zertifikatvorlagen erzeugen.


Sperrlisten-Verteilungspunkt und Zugriff auf Stelleninformation definieren

Auf der neu eingerichteten Unternehmenszertifizierungsstelle müssen nun noch der Sperrlisten-Verteilungspunkt und der Ort für den Zugriff auf die Stelleninformation eingerichtet werden. Die Vorgehensweise entspricht der zuvor erläuterten beim Einrichten der Stammzertifizierungsstelle (Abbildung 12.99 ff.).

Zur Erinnerung sehen Sie hier noch zwei Screenshots.


OCSP

Sie können anstelle oder zusätzlich zu den Sperrlisten auch mit OCSP arbeiten. In Abschnitt 12.11 ist das ausführlich erläutert.


Abbildung 12.127 Definition eines weiteren Orts für die Sperrliste

Abbildung 12.128 Ein weiterer Ort für den Zugriff auf die Stelleninformation


Galileo Computing - Zum Seitenanfang

12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen topZur vorigen Überschrift

Damit die Sperrlisten extern verfügbar sind, können Sie sie mit dem ISA Server veröffentlichen, Abbildung 12.129 dient als Gedankenstütze: Sie können einfach mit dem Assistenten zur Erstellung einer neuen Website-Veröffentlichungsregel arbeiten.

Abbildung 12.129 Der Webserver mit den Sperrlisten kann mit dem ISA Server veröffentlicht werden.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de