Zum Inhalt wechseln


Foto

Fragen zu PKI mit Windows Server 2016

Lerngruppe Active Directory

  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 14. Dezember 2016 - 10:13

Hallo liebe Community,

 

ich bin neu hier und stell mich mal kurz vor:
Ich heiße Felix, bin 21 Jahre jung und studiere derzeit Informatik mit der Vertiefungsrichtung Industrielle Automatisierung an der DHBW Heidenheim.

 

Zu meiner Frage:
Ich soll in meinem Praxisunternehmen eine PKI zur internen Zertifizierung aufbauen, ich hatte mir dabei gedacht eine RootCA, sowie zwei SubCA´s zu erstellen,

Hintergedanke dabei ist, dass ich erst über eine SubCA die interne Zertifizierung übernehme, und später dann die zweite SubCA dafür nutze, um unseren Kunden ebenfalls Zertifikate

ausstellen zu können.

 

Frage #1: Ist mein Grundgedanke der richtige oder hab ich irgendwo einen Denkfehler?

Frage #2: Funktioniert das mit Windows Server 2016 (oder älter) oder muss ich dafür auf Linux umsteigen?

Frage #3: Können die beiden SubCA´s einmal in der Domäne liegen und einmal außerhalb?

 

Danke schonmal im Voraus :)

Freundliche Grüße

theonlybrand

 


Linux is like a tipi, no gates, no windows, and an apache inside


#2 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 14. Dezember 2016 - 19:10

Moin und Willkommen ;) ,

 

der Ansatz klingt plausibel. Bei der Root CA solltest Du eine Offline Root einsetzen; Du hast es nicht explizit erwähnt.

 

PKI läuft unter Windows wunderbar, es muss kein Linux sein. Bei Server 2016 wäre ich so kurz nach Release nocht etwas zurückhaltend und würde eher auf 2012 R2 setzen. Eine spätere Migration auf ein neues OS ist i.d.R. kein Hexenwerk.

 

Eine Sub CA in der Domäne und eine Sub CA ohne Domäne ist kein Problem. Hier sollte bedacht werden, dass Zertifikatsvorlagen nur für AD integrierte CAs genutzt werden können und dass die Veröffentlichung der Sperrlisten etwas aufwändiger sein kann.

Es hängt primär von den genauen Anforderungen ab. Eine AD integrierte CA kann auch Zertifikate für Externe (Kunden, Partner, etc.) ausstellen.

 

Der obligatorische Buchtip:

Brian Komar - PKI & Certificate Securiry

Auch wenn es für Server 2008 geschrieben wurde, sind viele Grundlagen zu Design und Technik noch immer anwendbar.


  • NilsK gefällt das

Keep It Small - Keep It Simple


#3 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 14. Dezember 2016 - 20:26

Moin,

 

zu ergänzen ist: Ordentlich und in Ruhe planen. Und die Anforderungen klären. Wenn man eine PKI unpassend aufsetzt, kann das später viel Aufwand bedeuten. Und am Ende geht es um Sicherheit - das sollte man nicht nebenbei machen. Ohne dir zu nahe treten zu wollen, würde ich einem Umternehmen auch nicht unbedingt raten, eine PKI von einem Praktikanten bzw. Jungstudenten planen und aufbauen zu lassen ... hoffentlich gesteht man dir ausreichend Zeit und Ressourcen zu.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 15. Dezember 2016 - 07:56

Vielen Dank euch,

 

Habe bis Ende März Zeit dafür und kümmere mich in dieser Zeit ausschließlich darum. Bis dahin sollte die interne Zertifizierung funktionieren.

Ich weiss auch nicht genau wie sich mein "Ausbilder" das vorstellt, er hat nur gemeint "Mach einfach mal". Anforderungen zu klären fällt da schwer, da ich alles auf eigenverantwortlicher Basis

errichten soll, das ist der Punkt den ich hier nicht so ganz verstehe.


Linux is like a tipi, no gates, no windows, and an apache inside


#5 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 15. Dezember 2016 - 08:04

Moin,

 

der Zeitrahmen ist dann schon OK. Dass es keine Anforderungen gibt, ist in der IT typisch, aber nicht OK. Daher mein Rat: Arbeite dich in die logischen Hintergründe des Themas ein und entwickle daraus Fragen, die zur Definition von Anforderungen dienen. Das ist dann mindestens ein Thema auf Ebene der IT-Leitung, je nach Unternehmen durchaus auch ein Thema für die Leitungsebene von Fachabteilungen oder sogar dem C-Level. Dort natürlich nicht im technischen Detail, aber in den Anforderungs- und Nutzungsszenarien sowie in den organisatorischen Konsequenzen.

 

Erst wenn das steht, kann man ein PKI-Design sinnvoll bauen. Das muss trotzdem keine Raketenwissenschaft sein, aber wie gesagt: Man baut dort sehr leicht etwas, das dann nicht passt.

 

Besorg dir das Komar-Buch, das gibt es nur noch antiquarisch oder als E-Book, aber insbesondere die Hintergründe sind darin hervorragend dargestellt. Die technischen Details sind nicht mehr alle aktuell, aber im Wesentlichen auch noch zutreffend.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 15. Dezember 2016 - 08:19

Danke Nils für deine schnelle Antwort!
 

Ich lass diesen Thread hier mal offen, vllt kommen mir noch ein paar Fragen.

Grüße Felix


Linux is like a tipi, no gates, no windows, and an apache inside


#7 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 15. Dezember 2016 - 18:16

Nils hat es schon treffend beschrieben. Erst den organisatorischen Rahmen definieren und danach die technische Lösung planen, validieren und erst dann produktiv setzen.

 

Zur Vorbereitung der Orga kann auch ein Blick in diverse öffentlich zugängliche CP und CPS (Certificate Policy, Certificate Practice Statement) nicht schaden.

 

Bei Microsoft, DFN, Bundesbank, etc. gibt es etwas:

https://www.microsof...pki/mscorp/cps/

https://www.pki.dfn.de/policies/

http://www.bundesban...cp_und_cps.html


Keep It Small - Keep It Simple




Auch mit einem oder mehreren der folgenden Tags versehen: Lerngruppe, Active Directory