RobertWi 81 Geschrieben 4. September 2012 Melden Teilen Geschrieben 4. September 2012 Moin, mal eine Frage an die CA-Spezialisten unter Euch. Hintergrund: Windows Enterprise Root-CA auf Windows 2008 R2; Öffentlich nicht vertrauenswürdig, da nur für interne Dinge benutzt; Root-Cert per GPO verteilt. Für den Berater, der beim Kunden Cisco VOIP einführt, wollen wir Zertifikate für Ciscso erstellen (CAPF und die SSL-Dinger). Mein Wissen zu CISCO ist nur knapp über 0 (und ich bin froh drüber). Problem: Cisco will im Zertifikat folgendes haben: CAPF: X509v3 Key Usage: Digital Signature, Key Encipherment, Certificate Sign X509v3 Extended Key Usage: TLS Web Server Authentication, IPsec End System andere: X509v3 extensions: X509v3 Key Usage: Digital Signature, Key Encipherment, Data Encipherment, Key Agreement, Certificate Sign X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, IPsec End System Die "X509v3 Extended Key Usage" ist kein Problem, diese Erweiterungen kann man einfach hinzufügen. Problematisch sind die "X509v3 extensions". Ich kann in den Windows Vorlagen entweder "Certificate Sign" oder "Digital Signature, Key Encipherment, Data Encipherment" einstellen - aber nicht beides zusammen. Und ich kann entweder "Key Encipherment, Data Encipherment" oder "Key Agreement" einstellen, aber nicht beides zusammen. Es handelt sich hier in der Vorlagen-GUI um Radio-Buttons, d.h. sobald eine der Optionen aktiv ist, ist die andere nicht mehr auswählbar. Und natürlich wirft Windows beim Signieren die nicht in der Vorlage enthaltene Usage wieder raus und natürlich funktioniert das Zertifikat dann nicht. Meine Fragen: Variante 1: Kann ich der WIndows CA irgendwie sagen, dass sie das Zertifikat OHNE Vorlage signieren soll, also den CSR von CISCO 1:1 annehmen? Variante 2: Kann ich die Vorlagen über irgendeinen manuelle Weg konfigurieren und damit die in der GUI nicht mögliche Konfig doch erreichen. certreg und certutil habe ich schon durch und keine brauchbare Funktion gefunden (denke ich zumindest). NICHT über den Sinn diskutieren, da habe ich mich auch schon genug drüber aufgeregt, aber im Augenblick hängt das ganze VOIP-Projekt mit knapp 2000 Benutzern nur an den dummen Zertifikaten. Und die Aussage des CISCO Beraters ist natürlich: Das ist mit anderen CAs überhaupt kein Problem. Eine andere CA soll aber nur in absoluten Notfällen benutzt werden. Hat jemand von Euch einen Tipp? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. September 2012 Melden Teilen Geschrieben 4. September 2012 Hi, was genau soll denn die Cisco-Maschine mit diesem Zertifikat anfangen? Sie dient, wenn ich das richtig sehe, danach selbst als CA? Um den Clients Zertifikate auszustellen? Ich persönlich finde das immer ein wenig schwierig - warum sollte das Netzwerkgerät und nicht Deine CA die Zertifikate ausstellen? Außerdem: Wozu wird "Digital Signature" benötigt? Das ist meines Erachtens nicht notwendig / sinnvoll - oder schickt das Gerät zusätzlich noch irgendwelche Briefe an Banken o.ä.? :D Viele Grüße olc Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 4. September 2012 Autor Melden Teilen Geschrieben 4. September 2012 Moin, danke für die Info. Wie gesagt: NICHT über den Sinn diskutieren. Mein Wissen bei Cisco geht gegen 0 und ich kenne nur die offizielle Anleitung und die Aussage, dass die bereits mehrfach testweise ausgestellten Zertifikate alle nicht funktionieren. Ich persönlich finde es wie Du vollkommen sinnlos, wenn ein für den Tomcat verwendetes SSL-Zertifikat auch "Certificate Sign" können soll. Nur leider fehlt mir das Wissen und die Möglichkeit, um das Gegenteil zu beweisen. Das einzige was ich weiß: Die ausgestellten Zertifikate entsprechen nicht den Vorgaben und funktionieren nicht. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. September 2012 Melden Teilen Geschrieben 4. September 2012 Hi Robert, Moment: Natürlich diskutieren wir hier auch über Sinn und Unsinn. Alles andere wäre grob fahrlässig. Zumal das ganze Thema hier deutlich sicherheitsrelevant ist. Eine PKI soll Vertrauen schaffen - das, was die Kollegen da von Dir wollen, beschädigt ggf. dieses Vertrauen. Dann kannst Du auch gleich die PKI abschaffen... Also stell bitte noch einmal die Frage, wofür Digital Signature benötigt wird und ob die Cisco Kiste tatsächlich als SubCA agieren soll. Ich zumindest würde nicht "einfach so mal" eine SubCA ausrollen ohne zumindest genaue Informationen zu Management, Sicherheit und Grund dafür zu erfragen. Ansonsten: Ich denke Du schaust an der falschen Stelle. Was Du suchst befindet sich auf dem Template unter "Extensions" --> "Key Usage" und nicht unter "Request Handling". Oder hast Du unter Umständen eine 2008er Vorlage verwendet anstatt einer 2003er? Ich meine, daß Du für den gewünschten Request besser mit einer 2003er Vorlage arbeitest (wenn Du die Vorlage duplizierst / kopierst). Viele Grüße olc Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 4. September 2012 Autor Melden Teilen Geschrieben 4. September 2012 Moin, vielleicht hätte ich dazusagen sollen, dass wir intern schon über den "Sinn/Unsinn" diskutiert haben und der Kunde entschieden hat, dass diese Frage später beantwortet wird. Zuerst müssen die Cisco-Dinger laufen, denn hier kostet die Consulting-Firma mit jedem Tag richtig Geld. Und hier schieb Cisco halt die Schuld ziemlich einfach auf die Windows CA, fertig. Und da ich kein Gegenteil beweisen kann, bin ich nun im Zugzwang. Ansonsten: Ich denke Du schaust an der falschen Stelle. Was Du suchst befindet sich auf dem Template unter "Extensions" --> "Key Usage" und nicht unter "Request Handling". Korrekt. Aber da sind im Kasten "Signatur" entweder die beiden oberen Punkte aktiv und anwählbar, oder die beiden unteren - aber nie alle gleichzeitig. Oder zumindest habe ich noch nicht die Stelle gefunden, an der man erreichen kann, dass alle vier Kästchen angeklickt werden können. Und das gleiche gilt für den Kasten darunter - "Verschlüsselung". Ich kann entweder die erste Option "Schlüsselvereinbarung" oder die zweite Option "Schlüsselverschlüssel" auswählen. Aber nicht beide gleichzeitig. Beide Optionen will aber der komischer Cisco-Guide haben. :( Ich habe in einem dritten Versuch (oder war es der vierte oder fünfte...) Zertifikate erstellt, die so viel von dem enthielten, was technisch in der CA ging. Diese Dinger bringen Fehler, mit denen nun direkt ein Ticket bei Cisco aufgemacht wurde. Erste Reaktion: Eigentlich sind die Zertifikate ok, dann ist das eventuell doch ein Fehler im Gerät (oh wunder, und die Zertifikate entsprechend garantiert NICHT dem CA-Guide von Cisco, sind aber trotzdem ok?!). Damit bin ich im Augenblick auf "hold" und warte, was beim Cisco-Support rauskommt. Wenn Du noch eine Idee hast, da trotzdem raus damit. Ich fürchte, dass wird noch nicht das Ende gewesen sein. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. September 2012 Melden Teilen Geschrieben 4. September 2012 Moin Robert, auf auf die Gefahr hin, daß Du mich als renitent bezeichnest... ;) vielleicht hätte ich dazusagen sollen, dass wir intern schon über den "Sinn/Unsinn" diskutiert haben ...was nichts an der Kritik oder Fragwürdigkeit ändert. ;) und der Kunde entschieden hat, dass diese Frage später beantwortet wird. Wann genau - wenn Ihr Euer Unternehmensvertrauen neu aufbauen müßt, da die PKI gehackt wurde, oder wenn Ihr pleite seid, weil irgend eine Malware einen signierten Request für einen Kredit über 80.000.000,- Euro an Eure Bank gesendet hat? Zuerst müssen die Cisco-Dinger laufen, denn hier kostet die Consulting-Firma mit jedem Tag richtig Geld. Wie viel genau ist das im Vergleich zum Reputationsverlust oder dem Neuaufbau Eurer gesamten Vertrauensstruktur? Und hier schieb Cisco halt die Schuld ziemlich einfach auf die Windows CA, fertig. Und da ich kein Gegenteil beweisen kann, bin ich nun im Zugzwang. Ich laß mir normalerweise vom Dienstleister "beweisen", warum es benötigt wird. Nicht anders herum. Least privilege sollte dem Dienstleister ein Begriff sein, ansonsten würde ich ihn wechseln. Korrekt. Aber da sind im Kasten "Signatur" entweder die beiden oberen Punkte aktiv und anwählbar, oder die beiden unteren - aber nie alle gleichzeitig. Oder zumindest habe ich noch nicht die Stelle gefunden, an der man erreichen kann, dass alle vier Kästchen angeklickt werden können. Und das gleiche gilt für den Kasten darunter - "Verschlüsselung". Ich kann entweder die erste Option "Schlüsselvereinbarung" oder die zweite Option "Schlüsselverschlüssel" auswählen. Aber nicht beide gleichzeitig. Beide Optionen will aber der komischer Cisco-Guide haben. :( [...] Wenn Du noch eine Idee hast, da trotzdem raus damit. Ich fürchte, dass wird noch nicht das Ende gewesen sein. Siehe oben - hast Du eine 2003er Vorlage oder eine 2008er verwendet? Ich meine, daß Du dafür eine 2003er Vorlage verwenden mußt. Viele Grüße olc Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 4. September 2012 Autor Melden Teilen Geschrieben 4. September 2012 Wann genau - wenn Ihr Euer Unternehmensvertrauen neu aufbauen müßt, da die PKI gehackt wurde, oder wenn Ihr pleite seid, weil irgend eine Malware einen signierten Request für einen Kredit über 80.000.000,- Euro an Eure Bank gesendet hat? Du hast gelesen, dass die CA nicht vertrauenswürdig ist?! Das Risiko ist also überschaubar, da rein intern (und dort noch nicht Inbetrieb, außer für fünf Webserver). Ich laß mir normalerweise vom Dienstleister "beweisen", warum es benötigt wird. Nicht anders herum. Hat er ja. Er zeigt mir den Guide von Cisco und sagt: So sollen die aussehen. Und leider sehen sie nach der CA von Windows nicht so aus. Siehe oben - hast Du eine 2003er Vorlage oder eine 2008er verwendet? Ich meine, daß Du dafür eine 2003er Vorlage verwenden mußt. Ok, das kann ich aus dem Kopf nicht sagen. Da hier aber eine homogene Win 2008 R2 Umgebung ist, habe ich mit hoher Wahrscheinlichkeit eine 2008-Vorlage erstellt. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. September 2012 Melden Teilen Geschrieben 4. September 2012 Hi Robert, Du hast gelesen, dass die CA nicht vertrauenswürdig ist?! Das Risiko ist also überschaubar, da rein intern (und dort noch nicht Inbetrieb, außer für fünf Webserver). Ja, gemeinhin lese ich Beiträge, bevor ich auf sie antworte. ;) Eine PKI ist per se *immer* vertrauenswürdig, ansonsten würdest Du sie nicht betreiben. Natürlich ist es ein Unterschied,ob sie intern oder extern verfügbar gemacht wird - letztendlich ändert das jedoch nichts an der Bedeutung für Deine Sicherheits innerhalb der Firma. Laß mich die Frage anders stellen: Wenn sie nicht vertrauenswürdig wäre, warum betreibst Du sie dann überhaupt? Und warum Webserver Traffic verschlüsseln, wenn das am Ende eh nicht vertrauenswürdig ist? Du machst das hoffentlich nicht zum Selbstzweck, sondern um das Sicherheitsniveau Deiner Umgebung zu steigern. Wäre es nicht so, kannst Du Dir den Service sparen. Und bitte - sag jetzt nicht, die Webserver "müssen" SSL machen und das ist ausschließlich der Grund, warum Du eine PKI betreibst. Wenn es so wäre, käme jetzt nicht die Anfrage der Cisco Kollegen. Hat er ja. Er zeigt mir den Guide von Cisco und sagt: So sollen die aussehen. Und leider sehen sie nach der CA von Windows nicht so aus. Warum? Ich sage Dir, daß es ein wunderschönes Gefühl ist, wenn Du ohne Sicherung einen 3.000 Meter Gletscher besteigst. Machst Du das dann auch einfach so? Ok, das kann ich aus dem Kopf nicht sagen. Da hier aber eine homogene Win 2008 R2 Umgebung ist, habe ich mit hoher Wahrscheinlichkeit eine 2008-Vorlage erstellt. Vermutlich. Kopiere die "Standard"-Vorlage noch einmal und wähle "Windows Server 2003". Unter Umständen geht es dann. Viele Grüße olc Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 4. September 2012 Autor Melden Teilen Geschrieben 4. September 2012 (bearbeitet) Ich weiß, dass Du es mit Deinem ersten Abschnitt gut meinst und Du mir quasi das gleiche erzählst, was ich in den vergangenen Woche dem Kunden erzählt habe. Also lass es an der Stelle gut sein, das hilft jetzt konkret leider nicht weiter. Das Kopieren einer vorhandenen Vorlage ins Format 2003 brachte leider nichts. edit: Das mit der "Standard"-Vorlage habe ich missverstanden. Zu viele Fenster gleichzeitig offen. :) bearbeitet 4. September 2012 von RobertWi Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. September 2012 Melden Teilen Geschrieben 4. September 2012 Ich weiß, dass Du es mit Deinem ersten Abschnitt gut meinst und Du mir quasi das gleiche erzählst, was ich in den vergangenen Woche dem Kunden erzählt habe. Also lass es an der Stelle gut sein, das hilft jetzt konkret leider nicht weiter. :) Das Kopieren einer vorhandenen Vorlage ins Format 2003 brachte leider nichts. edit: Das mit der "Standard"-Vorlage habe ich missverstanden. Zu viele Fenster gleichzeitig offen. :) Heißt das, es geht jetzt mit einer "Standard"-Vorlage? Oder auch im 2003er Template ein Problem? Habe gerade in meiner Testumgebung geschaut - mit einer 2003er Vorlage sind die Checkboxen alle auswählbar und nicht einige ausgegraut. Ich habe testweise "einfach mal" das "Subordinate Certificate Authority" Template kopiert. Viele Grüße olc Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 4. September 2012 Autor Melden Teilen Geschrieben 4. September 2012 Moin, ich hatte das mit "Standard"-Vorlage so missverstanden, dass Du eine Vorlage mit dem Namen "Standard" meintest und nicht die Vorlagen, die standardmäßig eingerichtet sind. Wenn ich die Vorlage "Subordinate Certificate Authority" kopiere, dann ist es egal, welchen Type ich danach auswähle: Ich kann bei Signatur alles auswählen, aber nichts bei Verschlüsselung. Gefordert wird die, wir bereits festgestellt, vollkommene widersinnige Verwendung von: Digital Signature, Key Encipherment, Data Encipherment, Key Agreement, Certificate Sign Das würde bedeuten, dass ich bei "Schlüsselverwendung" die folgenden Checkboxen ankreuzen müsste: #1 - Signatur - Digitale Signatur (= Digital Signature) #3 - Signatur - Signieres des Zertifikates (= Certificate Sign) #5 - Verschlüsselung (Schlüsselvereinbarung) (= Key Agreement) #6 - Verschlüsselung (Schlüsselverschlüsselung) (= Key Encipherment) #7 - Verschlüsselung (Benutzerdaten...) (= Data Encipherment) Aber es kristallisiert sich immer mehr heraus, dass wohl die Anleitung von Cisco falsch ist. Der CSR, den die Cisco-Tools erstellen, passt nicht zu den Anforderungen. Der CSR für diesen Abschnitt enthält nämlich nur Digital Signature, Key Encipherment, Data Encipherment, Key Agreement. Von Certificate Sign ist im CSR gar keine Rede. Und die vier erst genannten lassen sich so konfigurieren (na ja fast, Key Agreement und Key Encipherment schließen sich eigentlich gegenseitig aus). Der zweite CSR (für CAPF) enthält nur Digital Signature, Certificate Sign und von Key Encipherment ist nichts zu sehen. Und diesen CSR kann man wunderbar z.B. mit der von Dir genannten Vorlage abbilden. Durch Zufall (!) haben sie dann herausgefunden, dass die letzten Zertifikate mit 80 % der Telefone funktionieren. Nur auf einem einzelnen Typen gehen sie nicht - und genau mit diesem Typen wurden vorher alle Versuche gemacht. Nun kümmert sich der Cisco-Support um die Angelegenheit. Ich habe einen ganz schönen Hals, weil mich das Thema in den vergangenen zwei Wochen eine zweistellige Stundenanzahl gekostet hat (und Dich ja auch einige Zeit) und nun könnte alles eine unglückliche Verkettung sein: Falsche Docu und fehlerhafte Geräte. Und eigentlich hat alles genau so funktioniert, wie wir uns das auch denken und hätte mit den Standard-Vorlagen erschlagen werden können. Ab morgen bin ich erst mal drei Tage bei einem anderen Kunden. Ich berichte dann mal. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. September 2012 Melden Teilen Geschrieben 4. September 2012 Ok, danke für die Rückmeldung. Lass Dich nicht fertig machen und melde Dich, wenn es etwas neues gibt. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.