Jump to content

Zertifikate - Gedankenstöße

viper990

Von viper990
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

viper990 Proficient

viper990   10

Geschrieben
Geschrieben

Hallo zusammen,

 

wir wollen für ca. 50 User Zertifikate einsetzen, um u.a. Emails intern zu versschlüsseln, VPN über ISA und OWA abzusichern.

Ich hab schon eine Menge gelesen, u.a das Best Practice (im letzten Thread ist ein Link)

Ich bin mir trotzdem noch unschlüssig ob es in unserem Unternehmen Sinn macht ist eine Ca Hirarchie einzuführen oder ob eine einzelne ent. Ca nicht doch reicht.

Sicherheit hin oder her => die Praxis sieht eh anders aus.

 

Wie stellt Ihr den bei einer Offline CA die CRT in regelmäßigen Abständen zur Verfügung? Per Hand oder über ein Script?

Wird man das regelmäßig durchführen? Ist das Praktikabel?

 

Oder ist der Sicherheit nicht genüge getan mit der eh regelmäßig durchgeführten Sicherung der Ca.

Wenn irgendwas nicht stimmt, kann diese doch mit einem Handgriff zurückgesichert werden!

 

Was mich auch noch entscheidend interessiert:

Kann bei einer offline RootCa & zwei ent. CA´s eine ent. Ca ausfallen,

ohne die Zertifkatsoprüfung zu beeinträchtigen?

 

Würd gerne mal eure Meinung / Erfahrung hören (lesen).

 

GRuß

ViPeR

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Guten Abend,

 

Ich bin mir trotzdem noch unschlüssig ob es in unserem Unternehmen Sinn macht ist eine Ca Hirarchie einzuführen oder ob eine einzelne ent. Ca nicht doch reicht.

Sicherheit hin oder her => die Praxis sieht eh anders aus.

 

Ja - und weil es in der Praxis häufig anders aussieht, fliegen auch viele Betreiber einer internen CA irgendwann auf die Nase. ;)

 

Du hast sicherlich Recht - gerade in kleineren Umgebungen wirkt es oftmals überdimensioniert eine mehrstufige Hierarchie aufzubauen. Letztlich wirkt sich jedoch das Thema grundlegend auf die Sicherheit aus. Ist die Root-CA kompromittiert, kannst Du alle Zertifikate und damit verbundene Dienste vergessen. Das muß man halt schlichtweg auf dem Schirm haben, wenn man sich für ein Design entscheidet. Niemand sagt, daß Du es so machen mußt... :)

 

Wie stellt Ihr den bei einer Offline CA die CRT in regelmäßigen Abständen zur Verfügung? Per Hand oder über ein Script?

Wird man das regelmäßig durchführen? Ist das Praktikabel?

 

Wenn Du in einer mehrstufigen Hierarchie CAs Offline betreibst, mußt Du die CRLs in den von Dir festgelegten Intervallen veröffentlichen. Je nachdem, wie Dein Ansatz ist (ob komplett offline im Safe liegend oder nur vom Netzwerk getrennt ;) ) in Bezug auf die Sicherung der offline CAs lautet, sieht dann auch Dein Veröffentlichungskonzept aus. Im "sicheren" Beispiel, nämlich der "Safe-Variante", mußt Du die CA in den festgelegten Zeitintervallen reaktivieren und die CRLs austellen. Diese überträgst Du dann im besten Fall nicht über das Netzwerk, sondern über ein sicheres, externes Medium in Deine Gesamtstruktur - so z.B. als Import in Deine AD oder als Verteilungspunkt per HTTP usw.

 

Oder ist der Sicherheit nicht genüge getan mit der eh regelmäßig durchgeführten Sicherung der Ca.

Wenn irgendwas nicht stimmt, kann diese doch mit einem Handgriff zurückgesichert werden!

 

Nein, eben nicht. Zwar sicherst Du die CA als solche zurück - nur kannst Du Dir nicht sicher sein, ob in der Zwischenzeit bei einem Angriff nicht schon AIA, CRLs usw. manipuliert wurden. Auch ist für Dich kaum feststellbar, ob nicht Zertifikate ausgestellt wurden, die nun von den Angreifern genutzt werden können. Rundum kannst Du Dir also über nichts mehr sicher sein - das genaue Gegenteil von dem, was eine CA Struktur erreichen soll, nämlich Vertrauenswürdigkeit.

 

In dem Fall, daß Deine Root-CA tatsächlich zum Opfer geworden ist, gibt es kein zurück mehr...

 

Was mich auch noch entscheidend interessiert:

Kann bei einer offline RootCa & zwei ent. CA´s eine ent. Ca ausfallen,

ohne die Zertifkatsoprüfung zu beeinträchtigen?

 

Grundsätzlich schon; das hängt ein wenig davon ab, ob diese CA dann

 

a) irgendwann wieder online geht - geht die CA nicht mehr online, bekommst Du spätestens nach Ablauf der CRL-Veröffentlichungsintervalle Probleme

 

b) die AIA und CRLs / Delta CRLs auch weiterhin verfügbar sind (z.B. im lokalen Store der Clients, veröffentlicht im AD, per HTTP o.ä.) - ist dies nicht der Fall, können die Anwendungen unter Umständen die Zertifikatskette nicht mehr verifizieren...

 

Du merkst - es gibt eine Menge "wenn und aber" in einer Antwort. Wie genau Du es einrichten willst, hängt von Deinem Plan ab. Hier kann man schlichtweg nur Best-Practices zitieren und Dir ggf. zu konkreten Fragen Antworten geben.

 

Gruß olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...