Jump to content

Empfehlung: Zertifizierungsstelle virtualisieren oder physikalisch


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich muss bald einen alten DC austauschen auf dem eine Zertifizierungsstelle läuft.

 

Diese habe ich nicht konfiguriert und bin deshalb auch nicht so ganz zufrieden damit ;). Es handelt sich um eine Stammzertifizierungsstelle, die auch schon Computerzertifikate verteilt.

 

Ich würde das gerne aber neu machen (umbauen wird wohl nicht möglich sein).

 

Mein Ziel ist es natürlich eine ROOT CA und ein SUB CA/ISSUING CA zu erstellen. Bisher benötigen nur die DCs ein Computerzertifikat um die PEAP Authentifizierung durchzuführen.

 

Ziel wird es aber irgendwannmal sein mit Benutzer- und Clientzertifikaten zu arbeiten.

 

Da aber in etwa allen 7 Jahren ein Serverhardwaretausch ansteht ist natürlich die Frage ob die ISSUING CA auch in einer virtuellen Maschine laufen kann? Ich hab schon bei Google gesucht aber keine Empfehlungen dafür gefunden.

Aber so wäre der Umzug einfacher und die Gewährleistung dass der Hostname gleich bleibt gegeben.

 

Habt ihr da Empfehlungen ?

 

Grüße

Stephan

Link zu diesem Kommentar
Da aber in etwa allen 7 Jahren ein Serverhardwaretausch ansteht ist natürlich die Frage ob die ISSUING CA auch in einer virtuellen Maschine laufen kann?

 

Kommt darauf an, im Grundsatz ja. Falls Euer Geschäft die Ausstellung von 1000en Zertifikaten pro Minute ist, dann lieber als Gerät. Im üblichen Mittelstands-Umfeld (automatisch verteilte Zertifikate für Computer und Benutzer, vielleicht NAP etc.) genügt eine virtuelle Issuing CA absolut. Du könntest sonst zwecks Lastverteilung später auch eine zweite konfigurieren.

 

Die Root CA als Standalone/Nicht-AD-intergriert bietet sich als VM geradezu an, weil sie einfacher im Tresor zu lagern ist.

Link zu diesem Kommentar

Danke für die schnelle Antwort. Von den 1000en sind wir zum Glück noch ein wenig entfernt ;).

 

Wie ist die RootCA am besten zu sichern ? Ich lese immer häufig von HSM also hardwarebasierte Sicherheitslösungen.

 

Oder reichen 3 Kopien, die an verschiedensten Standorten und auf verschiedenen Medien lagern?

 

Noch eine Frage zu den Serverversionen. Reicht es in meinem Anwendungsfall für die RootCA Windows 2008R2 Standard zu nehmen und als ISSUNIG CA Enterprise. Oder beide Enterprise ?

 

 

 

Grüße

Stephan

Link zu diesem Kommentar
Wie ist die RootCA am besten zu sichern ? Ich lese immer häufig von HSM also hardwarebasierte Sicherheitslösungen.

 

Oder reichen 3 Kopien, die an verschiedensten Standorten und auf verschiedenen Medien lagern?

 

Variante 2 genügt. Im schlimmsten Fall, wenn alle 3 Kopien irgendwann kaputt sind, könnte man zu einer neuen Root CA migrieren, die die Issuing CAs signiert. Aber das wird kaum passieren.

 

Wichtig: Wenn eine Kopie in Betrieb genommen wird, weil das Stammzertifikat erneuert oder eine neue CRL publiziert werden muss (CRL-Publikationsabstände nicht zu kurz halten, 6 Monate oder 1 Jahr genügt - es werden ja nur Zertifikate für die Issuing CAs sowie das Stammzertifikat ausgestellt), müssen alle 3 Kopien anschliessend ersetzt werden.

 

Reicht es in meinem Anwendungsfall für die RootCA Windows 2008R2 Standard zu nehmen und als ISSUNIG CA Enterprise. Oder beide Enterprise ?

 

Standard für beide, so lange Du nicht Zertifikate gesamtstrukturübergreifend ausstellen willst. Ab W2K8R2 ist das Bearbeiten von Zertifikatsvorlagen auch mit der Standard-Edition möglich.

Link zu diesem Kommentar

Wichtig: Wenn eine Kopie in Betrieb genommen wird, weil das Stammzertifikat erneuert oder eine neue CRL publiziert werden muss (CRL-Publikationsabstände nicht zu kurz halten, 6 Monate oder 1 Jahr genügt

 

Hi,

 

das verstehe ich jetzt nicht. Wenn ich ein Zertifikat zurückziehe (muß), muß eine eine CRL oder Delta-CRL publiziert werden. Warum soll ich das nur alle 6-12 Monate machen ?

 

-Zahni

Link zu diesem Kommentar

Ok, habe zuerst über die Frage nachgedacht, verstehe jetzt aber Deinen Punkt. Der Begriff Offline Root CA fehlt, und das ist mein Versehen.

 

Ich gehe ganz selbstverständlich von einer Standalone Offline Root CA aus, die eben offline in Tresor lagert und während ihrer ganzen Lebensdauer nie mit dem Netzwerk in Verbindung kommt (-> telefonische OS-Aktivierung). Zertifikatsanforderungen der online Issuing CAs sowie ausgestellte Zertifikate für die Issuing CAs werden ebenso wie die CRLs der Root CA per USB-Datenträger transportiert. Sobald alles konfiguriert, die Issuing CAs signiert und die CRL publiziert sind, schalte ich die Root CA ab und lagere sie, wo immer es sicher ist.

 

Würde die Root CA so konfiguriert, dass sie alle 7 Tage eine CRL publizieren soll (Konfiguration enthalten in den Erweiterungen der Zertifikate für die Issuing CAs), müsste ich die Root CA alle 7 Tage in Betrieb nehmen, eine neue CRL ausstellen und diese publizieren. Das macht wenig Sinn, da sie ja eben nur die Zertifikate für die Issuing CAs ausgestellt hat. Wird ein solches Zertifikat komprimittiert, kann ich noch immer die offline Root CA umgehend in Betrieb nehmen, ein neues Zertifikat für die Issuing CA ausstellen, das alte Zertifikat sperren, eine neue CRL publizieren und die offline Root CA wieder herunterfahren.

 

Konfiguriere ich dagegen für die Offline Root CA ein CRL-Publikationsintervall von 6 oder 12 Monaten, senke ich den administrativen Aufwand ohne Sicherheitseinschränkung. Die für die online Issuing CAs ausgestellten Zertifikate der offline Root CA werden voraussichtlich nicht im Wochenrhythmus komprimittiert.

 

Selbstverständlich ist das CRL-Publikationsintervall für Zertifikate, die die Issuing CAs ausstellen, erheblich kürzer. Üblich sind 1 Woche für vollständige CRLs und 1 Tag für Delta-CRLs.

bearbeitet von dmetzger
Ortogra-Vieh, Ergänzung online Issuing CA
Link zu diesem Kommentar

Hallo,

 

ich habe noch eine Frage.

 

Da es sich bei diesem Thema ja um ein komplexes handelt ratet ihr mich noch jemand Externen hinzuzuziehen, der das ganze überprüft und beobachtet, oder kann man sich da "reinlernen".

 

Ich habe zwar schon eine Schulung gemacht, aber so eine Einführung ins Unternehmen ist halt doch noch was anderes als im Lab.

 

Grüße

Stephan

Link zu diesem Kommentar

Hallo,

 

ich habe noch eine technische Frage.

 

Ich habe ein wenig in meinem Lab gespielt. Es geht nun alles. Allerdings habe ich noch Einträge von meinen "Vorversuchen" in der AD. (siehe Screenshot)

 

Das müsste ich ja in meiner Produktivumgebung auch machen oder macht er das bei der Deinstallation der Zertifizierungsstelle auf dem alten DC ?

 

 

Grüße

Stephan

Link zu diesem Kommentar

Ok. Habe es nicht als Fehlermeldung angesehen. Sorry.

 

Hier der Text und Inhalt des Screenshots :

 

Ist es eigentlich ein Fehler dass hier meine Offline CA nicht auftaucht ?

 

C:\Users\Administrator>certutil
Eintrag 0:
 Name:                         `horvtest-VIRT-CERT-01-CA'
 Organisationseinheit:         `'
 Organisation:                 `'
 Stadt:                        `'
 Bundesland/Kanton:            `'
 Land/Region:                  `'
 Konfiguration:                `VIRT-CERT-01.horvtest.local\horvtest-VIRT-CERT-
01-CA'
 Exchange-Zertifikat:          `'
 Signaturzertifikat:           `'
 Beschreibung:                 `'
 Server:                       `VIRT-CERT-01.horvtest.local'
 Stelle:                       `horvtest-VIRT-CERT-01-CA'
 Sicherer Name:                `horvtest-VIRT-CERT-01-CA'
 Kurzname:                     `horvtest-VIRT-CERT-01-CA'
 Sicherer Kurzname:            `horvtest-VIRT-CERT-01-CA'
 Flags:                        `1'

Eintrag 1:
 Name:                         `horvtest-VIRT-CERT-02-CA'
 Organisationseinheit:         `'
 Organisation:                 `'
 Stadt:                        `'
 Bundesland/Kanton:            `'
 Land/Region:                  `'
 Konfiguration:                `VIRT-CERT-02.horvtest.local\horvtest-VIRT-CERT-
02-CA'
 Exchange-Zertifikat:          `'
 Signaturzertifikat:           `'
 Beschreibung:                 `'
 Server:                       `VIRT-CERT-02.horvtest.local'
 Stelle:                       `horvtest-VIRT-CERT-02-CA'
 Sicherer Name:                `horvtest-VIRT-CERT-02-CA'
 Kurzname:                     `horvtest-VIRT-CERT-02-CA'
 Sicherer Kurzname:            `horvtest-VIRT-CERT-02-CA'
 Flags:                        `1'

Eintrag 2:
 Name:                         `ROOT CA'
 Organisationseinheit:         `'
 Organisation:                 `'
 Stadt:                        `'
 Bundesland/Kanton:            `'
 Land/Region:                  `'
 Konfiguration:                `VIRT-CERT-01.horvtest.local\ROOT CA'
 Exchange-Zertifikat:          `'
 Signaturzertifikat:           `'
 Beschreibung:                 `'
 Server:                       `VIRT-CERT-01.horvtest.local'
 Stelle:                       `ROOT CA'
 Sicherer Name:                `ROOT CA'
 Kurzname:                     `ROOT CA'
 Sicherer Kurzname:            `ROOT CA'
 Flags:                        `1'

Link zu diesem Kommentar

Hi zusammen,

 

Variante 2 genügt. Im schlimmsten Fall, wenn alle 3 Kopien irgendwann kaputt sind, könnte man zu einer neuen Root CA migrieren, die die Issuing CAs signiert. Aber das wird kaum passieren.

 

Nur um es noch zu erwähnen: Bei 3 Kopien wäre es für einen Angreifer "einfacher", eine der Kopien in seine Gewalt zu bringen. D.h. hier zählt eher die Qualität der Sicherung als die Quantität. Bei den Kunden, mit denen ich bisher im PKI Umfeld zusammengearbeitet habe, gibt es daher *nicht* mehrere Kopien.

 

Da es sich bei diesem Thema ja um ein komplexes handelt ratet ihr mich noch jemand Externen hinzuzuziehen, der das ganze überprüft und beobachtet, oder kann man sich da "reinlernen".

 

Man kann sich je nach eigenem Lernvermögen ist fast alles hinein arbeiten. Die Frage ist, wie viel Zeit und Energie Du investieren kannst. Erfahrungen mit der Implementierung einer PKI kannst Du jedoch nicht lernen, die mußt Du sammeln.

 

Wenn Du es also richtig machen möchtest für den Moment, würde ich bei dem, was Du schreibst, zu einem erfahrenen Dienstleister raten.

 

Das müsste ich ja in meiner Produktivumgebung auch machen oder macht er das bei der Deinstallation der Zertifizierungsstelle auf dem alten DC ?

 

How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000

 

Viele Grüße

olc

Link zu diesem Kommentar

Danke für den Link.

 

Habs halb ausgeführt in meinem Lab. Nun sind die Einträge nicht mehr.

 

Nun hab ich nur noch das Problem, dass ein WXP Client keine Userzertifikate bezieht. Ein W7 Client aber ohne Probleme.

 

Mal schauen ob das dieser Patch löst ;)

Windows Server 2003 and Windows XP clients cannot obtain certificates from a Windows Server 2008-based certification authority (CA) if the CA is configured to use SHA2 256 or higher encryption

 

Das mit dem Dienstleister ist immer so eine Sache. Ich bin immer eher für eine begleitende Funktion ;) also Einarbeitung alleine, Durchsprechen des Konzepts und Diskussion mit dem Berater und bei der Einführung dann zum Händchen halten da :D

 

Grüße

Stephan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...