MattesP 10 Geschrieben 29. Dezember 2008 Melden Teilen Geschrieben 29. Dezember 2008 Hallo Zusammen, nach Lektüre zur Windows Server 2008 PKI, den möglichen Schichten und Organisationsmodellen habe ich eine Verständnisfrage. Wenn man sich nun eine PKI mit Stammzertifizierungsstelle und austellenden Zertifizierungsstellen aufbaut, wie kann es dann sein, das die Stammzertifizierungsstelle NIEMALS während der GESAMTEN Lebensdauer ans Netzwerk angeschlossen wird :confused::shock: Brian Komar, MS Press 5648: To ensure security in a tow-tier hierarchy, the root CA is deployed as a standalone root CA. This allows the Organisation to deploy the root CA offline-that is, the CA is detached from the network to protect the computer from all network based attacks. In fact the computer is never attached to the network for any of its lifetime in most deployments. Ist für mich absolut nicht nachvollziehbar. Kann da bitte jemand helfen? Vielen Dank, Mattes Zitieren Link zu diesem Kommentar
giffy 10 Geschrieben 29. Dezember 2008 Melden Teilen Geschrieben 29. Dezember 2008 Hallo MattesP das hat mit der Sicherheit der Zertifizierungsstelle zu tun. In diesen Fall der physischen Sicherheit dieser Zertifizierungsschnittstelle zu tun. Man stellt das Root Zertifikat aus. Verteilt die Zertifikate. Nimmt den Host vom Netz. (Nach dem Motto Tür abschließen und bewusst den Schlussel wegschmeißen) Für eine möglichen Angreifer besteht damit nicht die Möglichkeit auf dem Weg übers Netzwerk Deine Zertifizierungsstelle zu kompromitieren. Frei nach Sokrates (Ich weiß, das ich nicht weiß) Ich weiß, das mein Netz NICHT sicher ist, bietet diese Maßnahme den maximalen Schutz für Deine Zertifizierungsstelle Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 30. Dezember 2008 Autor Melden Teilen Geschrieben 30. Dezember 2008 Hi Giffy, so ähnlich habe ich mir das vorgestellt, danke für die Info. Die RootCA muß also nicht ständig verfügbar sein? Aber die Root CA muß doch zumindest ans Netz um das Stammzertifikat einmal zu verteilen, oder wie kann sonst noch eine Verteilung aussehen? In fact the computer is never attached to the network for any of its lifetime in most deployments. Danke für die Info, Mattes Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 30. Dezember 2008 Melden Teilen Geschrieben 30. Dezember 2008 Nachdem die erste untergeordnete CA zertifiziert worden ist kannst du die Root CA abtrennen. Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 30. Dezember 2008 Autor Melden Teilen Geschrieben 30. Dezember 2008 Hi, gilt das nur für die RootCA, oder für alle Offlinezertifizierungsstellen? Also nehmen wir mal an, A ist die Root CA, B eine Zwischenzertifizierungsstelle die Richtlinienzertifizierungsstelle fungiert, an den Standorten habe ich dann die eigentlichen austellenden Zertifizierungsstellen C-F. Was kann ich dan abtrennen A und B, oder nur A? Wozu benötige ich den RootCA Rechner dann in Zukunft noch? Zur Ausstellung neuer Zertifikate nach Ablauf der alten? Vielen dank für Euren Input! Gruß, Mattes Zitieren Link zu diesem Kommentar
giffy 10 Geschrieben 30. Dezember 2008 Melden Teilen Geschrieben 30. Dezember 2008 Hi,Was kann ich dan abtrennen A und B, oder nur A? Mattes ´Nur A da B für das Deployment für weitere Zertifikaten dient. Auch hier wird darauf hingewiesen bestimmte Rollen auf den Zertifizierungstellen festzulegen Z.B. Deine aus deinem Beispiel benannte Zwischenzertifizierungsstelle dient zur Vergabe von EFS-Zertifikaten Dein Zertifizierungstelle C dient für die Vergabe von Zertifikaten von Webservern deine Intranetes – Hi,Wozu benötige ich den RootCA Rechner dann in Zukunft noch? Zur Ausstellung neuer Zertifikate nach Ablauf der alten? Mattes Nur für den Fall des Ablauf deines Rootzertifikates Und zu Reparaturzwecken was gleichbedeutend eines GAU für deine Zertifikatstruktur bedeutet und ein Sicherheitvorfall von hohem Ausmaß ist Hier stecke ich aber nicht im Thema. Habe aber hier schon Beiträge gefunden , die sich damit auseinandersetzen. Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 30. Dezember 2008 Autor Melden Teilen Geschrieben 30. Dezember 2008 Hi, das hilft mir schon mal sehr weiter! Vielen Dank. Bin für weitern Input immer dankbar. L.G., Mattes Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. Dezember 2008 Melden Teilen Geschrieben 30. Dezember 2008 Hi Mattes, ergänzend der Hinweis, daß die Standalone Root CA rein technisch gesehen auch niemals ans Netzwerk angeschlossen sein muß. Du überträgst das ausgestellte Sub CA Zetifikat als auch die notwendigen CRLs einfach über einen USB Stick o.ä. in das Produktivnetz. Damit verhinderst Du, daß ein Zugriff / Angriff auf die Stamm CA über das Netzwerk zu irgend einem Zeitpunkt möglich ist. Insofern ist der von Dir zitierte Text richtig. Das schien mir Deine "Verständnisfrage" zu sein, korrekt? Viele Grüße olc Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 30. Dezember 2008 Autor Melden Teilen Geschrieben 30. Dezember 2008 Hi olc, Das schien mir Deine "Verständnisfrage" zu sein, korrekt? Korrekt! Ich konnte mir halt nicht vorstellen, das da jemand mit nem USB Stick hantiert. Ist das denn in der Praxis wirklich so? Noch ein Rückfrage zu Deinen Abkürzungen: Sub CA? CRLs? Vielen Dank, Mattes Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 31. Dezember 2008 Melden Teilen Geschrieben 31. Dezember 2008 Sub Ca = Untergeordnete CA CRL = Certificate Revokation List (Zertifikat Sperrliste) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.