Zum Inhalt wechseln


Foto

Windows PKI online verfügbar machen

Windows Server 2012 R2 Active Directory IIS

  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 bastianu

bastianu

    Newbie

  • 2 Beiträge

 

Geschrieben 05. März 2016 - 14:04

Erstmal Hallo an alle!

 

Vorweg, ich bin mit WindowsCA noch nicht sehr vertraut, eher gerade beim einlesen. Ich stehe vor folgendem Problem:

 

Wir benötigen die Möglichkeit Zertifikate (sei es für VPN, dot1x, TS-Access...) effektiv sperren zu können. Dies soll auch den Fall beinhalten dass sofern ein Client abhanden kommt sein Zertifikat gesperrt wird und er zB keine VPN mehr aufbauen kann.

Aus diesem Grund muss ich meines Wissens die PKI auch online verfügbar machen.

Ich habe nun schon einige Artikel gelesen, bin mir aber hier nicht ganz sicher was die Sicherheit und den Aufbau betrifft.

 

Unsere Windows PKI soll sich dann aus einer RootCA und einen Online-Responder zusammensetzen. Online-Responder da wenn ich richtig informiert bin dies eine effektivere Methode ist um Zertifikate zu sperren (zumindes inbezugnahme auf Sperrlisten und deren Abrufintervall).

 

Wo ich auch nicht ganz sicher bin, sollte man hier mit einem mehrstufigen Architektur arbeiten?

Die RootCA steht ja im internen Netz, desweiteren möchte ich noch in einer DMZ einen Server platzieren der die Anfragen aus dem Internet annimmt und an die RootCA weitergibt. Oder kann dies evtl. schon der OnlineResponder?? Bzw. würde hier auch schon ein Reverse-Proxy ausreichen??

 

Ich danke euch für eure Unterstützung!

 

Bastian



#2 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 05. März 2016 - 18:49

Moin,

 

eine PKI besteht zum größten Teil aus Organisation und nicht aus Technik.

Eine PKI wird auf eine Lebensdauer von 10 oder mehr Jahren ausgelegt. Gute Planung und Dokumentation sind unumgänglich.

 

Ich spare mir mal großartige Ausführungen.

  • Eine PKI sollte mindestens zwei Ebenen umfassen. Eine offline Root CA und ein oder mehrere Policy/Issuing CA.
  • Je nach Anforderungen der Organisation können auch drei Ebenen sinnvoll sein. Offline Root CA, Offline Policy CA und online Issuing CA

Was den Rest anbelangt, empfehle ich einen Blick in das Buch von Brian Komar - PKI and Certificate Security (ISBN-10: 0735625166, ISBN-13: 978-0735625167) Es bezieht sich zwar auf Server 2008 aber die meisten Designaspekte sind immer noch gültig.


Bearbeitet von Dunkelmann, 05. März 2016 - 18:50.

Keep It Small - Keep It Simple


#3 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 05. März 2016 - 19:46


Wo ich auch nicht ganz sicher bin, sollte man hier mit einem mehrstufigen Architektur arbeiten?

Die RootCA steht ja im internen Netz, desweiteren möchte ich noch in einer DMZ einen Server platzieren der die Anfragen aus dem Internet annimmt und an die RootCA weitergibt. Oder kann dies evtl. schon der OnlineResponder?? Bzw. würde hier auch schon ein Reverse-Proxy ausreichen??

Da hast du einen Wurm in deiner Logik! Eine CA-Struktur arbeitet nicht wie etwa DNS mit Delegations oder Forwarding. Eine RootCA sichert mit einem von ihr ausgestellten Certificaten eine oder mehrere SubCAs. Die RootCA wird häufig danach sogar heruntergefahren und nur wieder hochgefahren, wenn weitere Zertifikate für SubCAs benötigt werden, oder nach 20 Jahren das Rootzertifikat erneuert werden muss.

 

Die entscheidende Frage zur Strategie: Soll die PKI nur für eure eigenen Maschinen in einigermaßen, überschaubarer Größenordnung Zertifikate ausstellen? Dann bau dir eine Testumgebung auf, hol dir das oben empfohlene Buch und arbeite dich in das Thema ein. Wenn ihr später mal feststellt, dass das PKI-Design doch nicht so passt, dann reißt die PKI eben wieder ein und machts beim nächsten Versuch besser. Learning by doing -> kein großes Problem.

Soll die PKI aber auch Zertifikate für User oder gar Kunden ausstellen, dann muss der bereits der erste Entwurf sitzen, weil sonst wirds peinlich und ggf. auch rechtlich problematisch. Da würde ich mir Beistand von jemandem holen, der nciht zum ersten Mal eine PKI aufsetzt. Eine Entscheidung ist  z.B., ob man selbst die gesamte PKI hostet oder Teile wie die RootCA davon einkauft. etc...

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#4 PadawanDeluXe

PadawanDeluXe

    Board-Azubi

  • 116 Beiträge

 

Geschrieben 05. März 2016 - 20:54

Moin,

baue dir eine dreistufige CA auf. Die eigentliche Root CA ist dabei stets offline und niemals online. Danach baust du die eigentliche CA der Firma und darunter die Issuer CA. Die letzten beiden können online sein (mit entsprechender Sicherung durch Firewall ect.) Einige Firmen gehen jedoch dazu über nur die Issuer CA nebst RCL online zu stellen, da bei einem möglichen Einbruch oder Attacke auf diese CA einfach die zweite CA wieder herangezogen werden kann und die PKI somit bestehen bleibt und nur die Issuer CA neu aufgebaut werden muss. Das machen zB GeoSign und OpenTrust so. Das genannte Buch kann ich ebenfalls nur empfehlen. Zum experimentieren muss es jedoch nicht umbedingt direkt ein Windows Server sein. Alle notwendigen Dinge kannst du zB mit xca auf deinem Client testen. Wichtig ist hier, dass du darauf achtest, dass du Zertifikate auch wieder löscht.


Grüße

Carsten


Jediknights: PussyDeluxe, TheSpawn&Userle

„Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind.“ - Albert Einstein

 


#5 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 05. März 2016 - 21:06

Für den VPN-Fall musst du nichts online stellen. Es genügt wenn dein VPN-Endpunkt die Sperrliste hat.

Du brauchst die Liste nur online wenn es Geräte oder Anwendungen gibt welche auf eure Zertifikate vertrauen und welche NICHT unter eurer Kontrolle sind oder wenn du davon ausgehst Zertifikate wie z.B. vom VPN-Endpunkt zurückziehen zu müssen.



#6 NorbertFe

NorbertFe

    Expert Member

  • 30.935 Beiträge

 

Geschrieben 05. März 2016 - 21:08

Wenn Direct Access in Verwendung sein sollte, muß die CRL online zur Verfügung stehen afair.

Make something i***-proof and they will build a better i***.


#7 bastianu

bastianu

    Newbie

  • 2 Beiträge

 

Geschrieben 06. März 2016 - 09:31

hallo... danke für eure Antworten.

nein, steht nicht direkt online. sollte es über einen reverse-proxy ein sicherheitsproblem darstellen oder geht die verbindung https nach außen offen klar?



#8 NorbertFe

NorbertFe

    Expert Member

  • 30.935 Beiträge

 

Geschrieben 06. März 2016 - 09:40

Per https eine crl bereitzustellen ist eher unüblich.

Make something i***-proof and they will build a better i***.




Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, Active Directory, IIS