Zum Inhalt wechseln


Foto

Frage zu HA und Smartcard Authentifizierung

MCSE

  • Bitte melde dich an um zu Antworten
5 Antworten in diesem Thema

#1 MaikHSW

MaikHSW

    Senior Member

  • 418 Beiträge

 

Geschrieben 08. September 2011 - 19:15

Hey zusammen.
Ich befasse mich gerade für eine Prüfung mit dem Thema Smartcard und HA.
Unter anderem geht es um das Thema, wie man eine Smartcard Autentifzierung unter HA Gesichtspunkten ausfallsicher macht.
Meines Erachtens müsste man dann auf jeden Fall eine weitere CA aufbauen, denn wenn diese wegbricht kann man sich ja nicht mehr dagegen autorisieren, oder?
Was ist denn mit den CRL´s ?
Wenn der Client keine findet sollte er einfach keine auswerten und gut, oder?
Oder braucht er zwingend eine CRL um überhaupt anmelden zu können?
Irgendwie scheine ich da noch Defizite zu haben.....


Gruß

#2 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 08. September 2011 - 20:55

Hi,

die Anmeldung / Authentifizierung selbst übernimmt nicht die CA, sondern die DCs.

Die CRL ist jedoch zwingend erforderlich (in den Standardeinstellungen) - ist keine aktuelle CRL erreichbar während der SmartCard Anmeldung, schlägt diese fehl.

Genau an diesem Punkt setzt also die "hohe Verfügbarkeit" für die CA ein bzw. sollte einsetzen.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#3 MaikHSW

MaikHSW

    Senior Member

  • 418 Beiträge

 

Geschrieben 08. September 2011 - 20:59

Hey olc.
Das hat mich google auch gelehrt.
Aber woher wissen die DC´s, dass das Zertifikat auch von der richtigen CA ist?
Ich meine, nur dass es nicht in der CRL ist bedeutet ja nicht automatisch dass es korrekt ist.

Meines Erachtens müsste doch der DC das Zertifikat bzw. dessen Richtigkeit bei der CA hinterfragen, oder?
Warum muss er nicht?
Brauch ich die CA also theoretisch im Betrieb nur für die Generierung neuer Zertifikate und die Generierung der CRL?


Gruß

#4 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 09. September 2011 - 01:31

Hallo,

Aber woher wissen die DC´s, dass das Zertifikat auch von der richtigen CA ist?


Die ausstellende CA steht im Zertifikat selbst drinnen und das Zertifikat wurde von der ausgebenden CA signiert. Der DC überprüft diese Signatur anhand eines unter "Vertrauenswürdige Stammzertifikate (certmgr.msc)" gespeicherten Rootzertifikates, bzw. bei einer ZertifikatsKette auch mehrerer Rootzertifikate. Das gleiche Spielchen geschieht am Client, wenn dieser das Zertifikat des DCs überprüft.
Das ganze geschieht lokal auf dem Rechner, die CA ist bei der Zertifikatsvalidierung nicht beteiligt.
Eine weitere Validierung erfolgt dann wie schon gesagt gegen die CRL.
Sind alle Schritte erfolgreich durchgeführt, ist der User authentisiert (ein Unterschied zu authentifiziert)

Brauch ich die CA also theoretisch im Betrieb nur für die Generierung neuer Zertifikate und die Generierung der CRL?

nicht nur theoretisch ist das so.

blub

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#5 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 09. September 2011 - 11:07

Hi,

der "Trust" wie von blub beschrieben ist Voaussetzung.

Jedoch muß das Zertifikat der SC ausstellenden CA im NTAuth Speicher vorliegen, damit es am Client / DC für die SmartCard Authentifizierung genutzt werden kann.

Siehe dazu: Guidelines for enabling smart card logon with third-party certification authorities

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#6 MaikHSW

MaikHSW

    Senior Member

  • 418 Beiträge

 

Geschrieben 09. September 2011 - 12:39

Hey.
Ich danke euch für eure hilfreichen Antworten.
Ich habe scheinbar noch drastische Lücken im Thema CA.
Die gilt es nun erstmal aufzuarbeiten und zu lösen.
Danke für die Beteiligung.


Gruß



Auch mit einem oder mehreren der folgenden Tags versehen: MCSE