Zertifizierungstelle

[Peterzz 11]

Hallo,

 

wir beabsichtigen eine Unternehmenszertifizierungsstelle in unserem AD zu installieren, da wir demnächst auf Exchange 2013 migrieren wollen und eigene Webserver (nur im internen Netz) mit SSL-Zertifikaten ausstatten wollen – so der Plan.

Wir wollen die CA auf einen  2012R2 DC (Domänenfunktionsebene ist 2008) installieren, der noch andere Dienste wie DNS, DHCP, Netzwerkrichtlinienserver inne hat.

 

Dazu habe ich einige Fragen:

 

• Welche Rollendienste werden meine Anforderungen (erstmal Exchange 2013 und interne Webdienste über ssl) benötigt?  Bei der Installation kann man unter Sicherheit z.B. „Authentifizierung über Clientzertifikatzuordnung“, „Standardauthentifizierung“ oder „Unterstützung zentraler SSL-Zertifikate“ und noch einiges mehr anhaken.

• Bei der Option Kryptografieoption kann man unter zig Kryptografieanbieter auswählen. Sollte man hier den Defaultwert „ RSA#Microsoft Softwaer Key Storage Provider“ mit einen Keylänge von 2048 lassen?
• Sollte der Haken bei „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen“ wegelassen werden?

• Sollte der Servername in dem Allgemeinen Namen der CA stehen oder nimmt man lieber etwas Allgemeingültiges wie FIRMA-CA?
• Die Gültigkeitsdauer beträgt laut Default 5 Jahre. Spricht was dagegen diesen Wert auf z.B. 10 Jahre zu erhöhen?

 

[Dukel 436]

1. Ein CA Server sollte keine anderen Rollen innehaben.

2. Wie sind die _genauen_ Anforderungen an die PKI?

3. Holt euch jemanden zur Unterstützung. Ein CA Server ist schnell installiert aber um das richtig zu machen sollte man wissen was man tut. Das ist auch kein Thema für ein Forum.

[blub 115]

Hallo,

Schau dir mal diesen Artikel an, da sind einige deiner Fragen beantwortet:

https://technet.microsoft.com/en-us/library/hh831574.aspx

 

Nach etwa einem Drittel des Artikels findest du eine Tabelle mit alle Cryptographic Providers. Du solltest z.b. nur einen Provider auswählen, der SHA256 unterstützt. Der Defaultwert ist OK.

 

Auch für die anderen Fragen findest du zumindest Hinweise
e.g. see:

"Allow administrator interaction when the private key is accessed by the CA"

"Establish a CA Name"

"Verify the validity period"

 

blub

[Peterzz 11]

@Dukel

Sollte er CA Server auch nicht auf einen DC laufen?

 

@Blub

Vielen dank für den Link, werde ich mir ansehen.

 

Grundsätzlich sollte man doch so etwas selber konfigurieren können, mit etwas Hilfe ;-)

[Dukel 436]

Es gibt keinen "Der" CA Server. Es kommt auf die Infrastruktur an, wie viele CA Server man installiert und wo.

Prinzipiell sollte man jede Funktion auf einen eigenen Server installieren. Wenn das nicht geht, dann kann man manche Maschinen mischen. DC's und CA sollte man aber nicht mit anderen Funktionen mischen.

[testperson 1.533]

Hi,

 

grundsätzlich kannst du dich auch selber operieren oder den Air Bag in deinem Auto tauschen ;)

Ließ dir den Post von Dunkelmann mal durch: http://www.mcseboard.de/topic/203887-netzwerk-absichern-welche-methoden-habt-ihr-im-einsatz-8021x-dom%C3%A4nen-isolierung-mac-filter/?do=findComment&comment=1272948

 

Gruß

Jan

[Peterzz 11]

@Dukel

Den Ausdruck CA-Server habe ich von dir übernommen ;-)

Wenn ich eine CA auf einem DC installiere, dann ist meistens mindesten noch ein DNS Dienst mit drauf und für ein "saubere" Trennung von Service und Server haben wir leider nicht genug Ressourcen (jeglicher Art).

 

@testperson

Danke für den Link. Da es dort um allgemeine Netzwerksicherheit geht passt er nicht so ganz in meine Ausgangssituation. Ich benötige die CA für den zukünftigen EXCH2013 und für interne Webservices. Ob ich z.B. einen Netzwerkrichtlinienserver mal betreiben werden kann ich noch nicht sagen, möchte es aber auch nicht ausschließen.  

 

So kann sich die Anforderung an eine CA doch sehr schnell ändern und dies muss doch auch möglich sein (das Anpassen der CA an geänderter Anforderungen).

[testperson 1.533]

Es ging mir da auch mehr um:

 

... ist es wie mit fast jeder Technik - wenn es läuft ist alles toll, wenn es Probleme gibt, sollte das notwendige Know How kurzfristig verfügbar sein...

 

Grade bei Exchange würde ich eh ein vertrauenswürdiges gekauftes (SAN) Zertifikat nehmen (ab ca. 99€ / 3 Jahre) und je nach Anzahl der internen Webserver würde ich mir überlegen, ob ich mir die Arbeit mit einer eigenen PKI antue oder mehrere einzelne Zertifikate (ab ca. 39€ / 3 Jahre) / ein Wildcard kaufe (ab ca. 279€ / 3 Jahre).

 

Gruß

Jan

[Dunkelmann 96]

So kann sich die Anforderung an eine CA doch sehr schnell ändern und dies muss doch auch möglich sein (das Anpassen der CA an geänderter Anforderungen).

Moin,

 

ganz so trivial ist es nicht. Eine PKI wird auf 10 oder mehr Jahre geplant.

Es sollte vorher genau überlegt werden, welche Teilnehmer aktuell und zukünftig die PKI nutzen sollen bzw. nutzen werden. Ein falscher Hashalgorythmus der Root CA ist schnell gewählt und in ein paar Wochen oder Jahren sitzt man da und darf noch mal von vorne anfangen.

Bei der Laufzeit sollten auch Migrationen von Hardware und OS betrachtet werden.

 

Wenn es nur um ein Zertifikat für den Exchange geht, würde ich das Thema lassen und einfach ein paar Euros für ein kommerzielles Zertifikat ausgeben. Die Betriebskosten einer PKI liegen deutlich über den € 30,- bis € 60,- p.a.

[Peterzz 11]

Ok, vielen Dank an alle. Ich werde noch mal darüber nachdenken. :confused: