MaikHSW 13 Geschrieben 8. September 2011 Melden Geschrieben 8. September 2011 Hey zusammen. Ich befasse mich gerade für eine Prüfung mit dem Thema Smartcard und HA. Unter anderem geht es um das Thema, wie man eine Smartcard Autentifzierung unter HA Gesichtspunkten ausfallsicher macht. Meines Erachtens müsste man dann auf jeden Fall eine weitere CA aufbauen, denn wenn diese wegbricht kann man sich ja nicht mehr dagegen autorisieren, oder? Was ist denn mit den CRL´s ? Wenn der Client keine findet sollte er einfach keine auswerten und gut, oder? Oder braucht er zwingend eine CRL um überhaupt anmelden zu können? Irgendwie scheine ich da noch Defizite zu haben..... Gruß
olc 18 Geschrieben 8. September 2011 Melden Geschrieben 8. September 2011 Hi, die Anmeldung / Authentifizierung selbst übernimmt nicht die CA, sondern die DCs. Die CRL ist jedoch zwingend erforderlich (in den Standardeinstellungen) - ist keine aktuelle CRL erreichbar während der SmartCard Anmeldung, schlägt diese fehl. Genau an diesem Punkt setzt also die "hohe Verfügbarkeit" für die CA ein bzw. sollte einsetzen. Viele Grüße olc
MaikHSW 13 Geschrieben 8. September 2011 Autor Melden Geschrieben 8. September 2011 Hey olc. Das hat mich google auch gelehrt. Aber woher wissen die DC´s, dass das Zertifikat auch von der richtigen CA ist? Ich meine, nur dass es nicht in der CRL ist bedeutet ja nicht automatisch dass es korrekt ist. Meines Erachtens müsste doch der DC das Zertifikat bzw. dessen Richtigkeit bei der CA hinterfragen, oder? Warum muss er nicht? Brauch ich die CA also theoretisch im Betrieb nur für die Generierung neuer Zertifikate und die Generierung der CRL? Gruß
blub 115 Geschrieben 9. September 2011 Melden Geschrieben 9. September 2011 Hallo, Aber woher wissen die DC´s, dass das Zertifikat auch von der richtigen CA ist? Die ausstellende CA steht im Zertifikat selbst drinnen und das Zertifikat wurde von der ausgebenden CA signiert. Der DC überprüft diese Signatur anhand eines unter "Vertrauenswürdige Stammzertifikate (certmgr.msc)" gespeicherten Rootzertifikates, bzw. bei einer ZertifikatsKette auch mehrerer Rootzertifikate. Das gleiche Spielchen geschieht am Client, wenn dieser das Zertifikat des DCs überprüft. Das ganze geschieht lokal auf dem Rechner, die CA ist bei der Zertifikatsvalidierung nicht beteiligt. Eine weitere Validierung erfolgt dann wie schon gesagt gegen die CRL. Sind alle Schritte erfolgreich durchgeführt, ist der User authentisiert (ein Unterschied zu authentifiziert) Brauch ich die CA also theoretisch im Betrieb nur für die Generierung neuer Zertifikate und die Generierung der CRL? nicht nur theoretisch ist das so. blub
olc 18 Geschrieben 9. September 2011 Melden Geschrieben 9. September 2011 Hi, der "Trust" wie von blub beschrieben ist Voaussetzung. Jedoch muß das Zertifikat der SC ausstellenden CA im NTAuth Speicher vorliegen, damit es am Client / DC für die SmartCard Authentifizierung genutzt werden kann. Siehe dazu: Guidelines for enabling smart card logon with third-party certification authorities Viele Grüße olc
MaikHSW 13 Geschrieben 9. September 2011 Autor Melden Geschrieben 9. September 2011 Hey. Ich danke euch für eure hilfreichen Antworten. Ich habe scheinbar noch drastische Lücken im Thema CA. Die gilt es nun erstmal aufzuarbeiten und zu lösen. Danke für die Beteiligung. Gruß
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden