MS Zertifizierungen — Allgemein

MaikHSW

Hey zusammen.
Ich befasse mich gerade für eine Prüfung mit dem Thema Smartcard und HA.
Unter anderem geht es um das Thema, wie man eine Smartcard Autentifzierung unter HA Gesichtspunkten ausfallsicher macht.
Meines Erachtens müsste man dann auf jeden Fall eine weitere CA aufbauen, denn wenn diese wegbricht kann man sich ja nicht mehr dagegen autorisieren, oder?
Was ist denn mit den CRL´s ?
Wenn der Client keine findet sollte er einfach keine auswerten und gut, oder?
Oder braucht er zwingend eine CRL um überhaupt anmelden zu können?
Irgendwie scheine ich da noch Defizite zu haben.....


Gruß

olc

Hi,

die Anmeldung / Authentifizierung selbst übernimmt nicht die CA, sondern die DCs.

Die CRL ist jedoch zwingend erforderlich (in den Standardeinstellungen) - ist keine aktuelle CRL erreichbar während der SmartCard Anmeldung, schlägt diese fehl.

Genau an diesem Punkt setzt also die "hohe Verfügbarkeit" für die CA ein bzw. sollte einsetzen.

Viele Grüße
olc

MaikHSW

Hey olc.
Das hat mich google auch gelehrt.
Aber woher wissen die DC´s, dass das Zertifikat auch von der richtigen CA ist?
Ich meine, nur dass es nicht in der CRL ist bedeutet ja nicht automatisch dass es korrekt ist.

Meines Erachtens müsste doch der DC das Zertifikat bzw. dessen Richtigkeit bei der CA hinterfragen, oder?
Warum muss er nicht?
Brauch ich die CA also theoretisch im Betrieb nur für die Generierung neuer Zertifikate und die Generierung der CRL?


Gruß

blub

Hallo,

Die ausstellende CA steht im Zertifikat selbst drinnen und das Zertifikat wurde von der ausgebenden CA signiert. Der DC überprüft diese Signatur anhand eines unter "Vertrauenswürdige Stammzertifikate (certmgr.msc)" gespeicherten Rootzertifikates, bzw. bei einer ZertifikatsKette auch mehrerer Rootzertifikate. Das gleiche Spielchen geschieht am Client, wenn dieser das Zertifikat des DCs überprüft.
Das ganze geschieht lokal auf dem Rechner, die CA ist bei der Zertifikatsvalidierung nicht beteiligt.
Eine weitere Validierung erfolgt dann wie schon gesagt gegen die CRL.
Sind alle Schritte erfolgreich durchgeführt, ist der User authentisiert (ein Unterschied zu authentifiziert)

nicht nur theoretisch ist das so.

blub

olc

Hi,

der "Trust" wie von blub beschrieben ist Voaussetzung.

Jedoch muß das Zertifikat der SC ausstellenden CA im NTAuth Speicher vorliegen, damit es am Client / DC für die SmartCard Authentifizierung genutzt werden kann.

Siehe dazu: Guidelines for enabling smart card logon with third-party certification authorities

Viele Grüße
olc

MaikHSW

Hey.
Ich danke euch für eure hilfreichen Antworten.
Ich habe scheinbar noch drastische Lücken im Thema CA.
Die gilt es nun erstmal aufzuarbeiten und zu lösen.
Danke für die Beteiligung.


Gruß