Interne PKI einrichten

[Alith Anar 38]

Hallo,

 

ich bin gerade dabei mir mit dem Thema beschäfftigt bei uns eine interne PKI einzurichten.

Bei den Büchern von MS und hier im Blog: http://blogs.technet.com/b/yungchou/archive/2013/10/21/enterprise-pki-with-windows-server-2012-r2-active-directory-certificate-services-part-1-of-2.aspx
wird immer eine Standalone PKI eingerichtet und erst danach eine Subordinate. Nirgendwo steht aber wieso und warum :(

Ist dies der übliche Weg, oder kann man auch gleich eine AD-integrtierte CA einrichten? Welche Nachteile hat diese Lösung?

 

Vielen Dank

Thomas

[Dunkelmann 96]

Moin,

 

es gilt als Best-Practice, die Root CA und ggf. die Policy CA offline zu betreiben. Lediglich die Issuing CAs - die CAs, die die Zertifikate an Entitäten ausgeben - sollten online betrieben werden.

 

Der Hintergrund ist ganz simpel: Eine Online CA kann wie jedes andere System, das permanent Online ist, einfacher kompromittiert werden, als ein System, dass nur ein bis zwei Mal im Jahr von 3 Leuten für 60 Minuten eingeschaltet wird.

 

Je nach Umfang der PKI kann eine kompromittierte Root oder Policy CA einen erheblichen wirtschaftlichen Schaden verursachen und/oder ein erhebliches Sicherheitsrisiko für das Unternehmen darstellen.

 

Buchtip: Brian Komar - PKI And Certificate Security

Und das hier: http://blogs.msdn.com/b/nickmac/archive/2011/10/19/deploying-and-managing-pki-inside-microsoft.aspx

[Alith Anar 38]

Danke für die Erklärung :)

[micha42 29]

Ich denke mal da muss man auch mal die Umgebung betrachten. Bei einer Root-CA und einer Sub-CA ist es oversized.

Bei mehreren Sub-CAs lohnt sich der Aufwand.

m

[olc 18]

Nein - es ist nicht "oversized". Du mußt Dein angestrebtes Sicherheitsniveau definieren und davon abhängig machen, wie Du die PKI betreiben möchtest.

 

Es gibt im Kern eigentlich so gut wie kein Szenario, in dem eine offline Root CA keinen Sinn haben würde. Du betreibst eine PKI per Definition, um die Gesamtsicherheit in Deiner Umgebung zu steigern. Eine online Root CA setzt genau dieses Sicherheitsniveau wieder herunter. Ich würde soweit gehen zu sagen, daß Du Dir dann auch gleich die PKI sparen kannst - was sicherlich etwas übertrieben ist, den Hintergrund jedoch recht gut darstellt.

 

Viele Grüße

olc

bearbeitet 24. Januar 2014 von olc

[micha42 29]

Nein - es ist nicht "oversized". Du mußt Dein angestrebtes Sicherheitsniveau definieren und davon abhängig machen, wie Du die PKI betreiben möchtest.

 

Es gibt im Kern eigentlich so gut wie kein Szenario, in dem eine offline Root CA keinen Sinn haben würde. Du betreibst eine PKI per Definition, um die Gesamtsicherheit in Deiner Umgebung zu steigern. Eine online Root CA setzt genau dieses Sicherheitsniveau wieder herunter. Ich würde soweit gehen zu sagen, daß Du Dir dann auch gleich die PKI sparen kannst - was sicherlich etwas übertrieben ist, den Hintergrund jedoch recht gut darstellt.

 

Viele Grüße

olc

sehe ich anders. Eine CA, die korrumpioert ist ersetze ich, egal ob root oder Child.

Der Aufwand ist nur dann größer, wenn an der Root-CA mehr als ein Child hängt. Daher: bei mehreren Unter-CAs eine offliene-Root-CA.

Grüße m

[olc 18]

Mi Micha,

 

Du hast da meines Erachtens einen Denkfehler. :)

 

Die offline Root CA sorgt ja gerade dafür, daß Deine PKI Struktur nicht(!) oder nur mit enormen Aufwand kompromittiert werden kann. Sie online zu betreiben erhöht den Angriffsvektor massiv, was Du per Definition der Root CA (Wurzelvertrauen) verhindern möchtest.

 

Viele Grüße

olc

[micha42 29]

Hi OLC,

ich komme erst jetzt dazu zu antworten ...

den Denkfehler kann ich noch nicht erkennen, bin aber sehr neugierig, ob es so ist, wie Du schreibst.

Eine Root-CA ist ja nicht verletzlicher als eine Child-CA. Wieso erhöhe ich den Angriffsvektor?

Wenn eine CA kompromittiert ist, muss ich sowieso die Zertifikate zurückrufen und neue Zertifikate ausstellen. Daher hab ich da die gleiche Arbeit.

auch viele Grüße

Micha

[olc 18]

Hi,

 

wie genau möchtest Du das Root CA Zertifikat zurückziehen...? ;)

 

Der Unterschied zwischen einer Root CA und einer Sub/Intermediate/Issuing CA ist schlicht der, daß die Root CA Deine Wurzelinstanz ist. Ist diese kompromittiert, ist die ganze PKI nicht mehr vertrauenswürdig. Und das stellt Dich vor große Probleme, denn Du hast keine Instanz mehr, die dieses Vertrauen "beenden" (revozieren) könnte.

 

Ist "nur" eine Sub/Intermediate/Issuing CA betroffen, die Root CA jedoch nicht, läßt sich das Vertrauen in die PKI weiter erhalten, nämlich über den Rückruf des Zertifikats (und damit der ausgestellten Zertifikate) der kompromittierten CA.

 

Die Root CA ist also in einer PKI der schützenswerteste Punkt. Systeme, die online betrieben werden, haben per se größere Angriffspunkte als offline geschaltene Systeme. Das liegt in der Natur der Sache. Ich sage nicht, daß sie damit grundsätzlich "sicher" wären, nur sind die Angriffspunkte andere bzw. sind diese verschoben.

 

Viele Grüße

olc

[micha42 29]

Ahh, jetzt sehe ich klarer. Danke für die Erhellung. Da hatte ich in der Tat einen Punkt nicht bedacht, den Du gleich in der ersten Frage ansprichst. (wie Zurückziehen?)

Grüße

Michael

[olc 18]

:)

[prival 10]

Ein Grund eine Root CA online zu betrieben, kann der Verwaltungsaufwand sein, der bei einer Offline Root CA durchaus höher ist.

 

Durch Härtung des Servers einer Online Root CA kann man eine gewisse Sicherheit schaffen. Wenn dann noch durch separiertes Netzwerk mit entsprechend konfigurierter FW dieses Netz abgeschottet wird, ist für eine rein intern genutzte PKI das Sicherheitslevel völlig ausreichend.

 

Sollte die Root CA wirklich mal ein Opfer werden, dann verschiebt man die Zertifikate der CA's mittels GPO in den Speicher der "Nicht vertrauenswürdige Zertifikate" und gut. 

[olc 18]

Hi,

 

um ehrlich zu sein mag ich diese Diskussion nicht unbedingt weiterführen - ich denke ich habe oben alles gesagt, was für eine Bewertung notwendig ist. Wir drehen uns im Kreis.

 

Wenn die Sicherheitsanforderungen Deiner Firma eine online Root CA für korrekt befinden, richte es gern so ein. Ich gehe davon aus, daß Ihr diese Sicherheitsanforderungen vorher definiert habt.

 

Die einzige Aussage, die für mich in diesem Kontext dann noch Sinn hat, lautet: Ihr braucht eigentlich keine PKI, denn offensichtlich geht es nicht darum, das Sicherheitsniveau spürbar anzuheben. Wozu dann die Mühe, überhaupt eine PKI zu betreiben?

 

P.S.: Alle(!) relevanten Guides zu PKI sprechen von einer offline Root CA. Wozu also diese Grundsatzdiskussion?

 

Viele Grüße

olc

[prival 10]

Musst du auch nicht. Wenn du nicht willst, einfach gar nicht antworten. Ehrlich gesagt ging das gar nicht in deine Richtung. Im Sinne der freien Meinungsäußerung und weil der Threadstarter alle Aspekte einer PKI wissen wollte, habe ich das Thema ergänzt. ;-) 

[Dunkelmann 96]

Ein Grund eine Root CA online zu betrieben, kann der Verwaltungsaufwand sein, der bei einer Offline Root CA durchaus höher ist.

 

Durch Härtung des Servers einer Online Root CA kann man eine gewisse Sicherheit schaffen. Wenn dann noch durch separiertes Netzwerk mit entsprechend konfigurierter FW dieses Netz abgeschottet wird, ist für eine rein intern genutzte PKI das Sicherheitslevel völlig ausreichend.

 

Sollte die Root CA wirklich mal ein Opfer werden, dann verschiebt man die Zertifikate der CA's mittels GPO in den Speicher der "Nicht vertrauenswürdige Zertifikate" und gut. 

... und welchen Zugewinn bringt Dir der Overhead von separatem Subnetz, Firewall, 'gehärtetes OS' etc. gegenüber einem Server der einfach nur 'Aus' ist? Da kannst Du auch gleich eine Enterprise Root CA auf einem x-beliebigen Server installieren - das ist dann aber keine PKI, sondern nur eine Zertifizierungsstelle.

btw. Das I in PKI steht für Infrastructure