Jump to content

Root CA mit Sub CA für NPS Projekt erweitern - Fragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

wir betreiben hier derzeit eine ins AD integrierte Root CA in einem 2008 R2 AD-Schema.

Bisher wurden kaum Zertifikate ausgestellt und auch benötigt, deswegen hat bisher die Root CA gereicht.

Mittlerweile kommt es aber doch häufiger vor, dass wir Zertifikate brauchen und ich mache mir schon länger Gedanken die Root CA durch eine Sub CA zu erweitern welche zukünftig die Zertifikate ausstellt.

 

Geplant ist ein WLAN fürs interne Netz inkl. NPS aufzubauen - für welche ich nun ebenfalls lieber eine Sub CA hätte.

 

Fakt im Moment ist:

- Zertifikate werden per GPO an eine bestimmte Gruppe zwecks E-Mail-Encryption automatisiert ausgestellt.

- Hin und wieder manuelle Anforderung von Zertifikaten z.B. für Terminal-Server

 

Welcher Weg ist nun der "Beste" um zur Sub CA zu kommen, die anderen Zertifikate aber noch funktionieren?

Entsprechend aufzuräumen, die ausgestellten Zertifikate zu revoken und alles neu aufzubauen, davor sträube ich mich doch ein bißchen.

 

Ehrlich gesagt fehlt mir schlichtweg die Erfahrung in Sachen PKI und ich weiß nicht welcher Weg am meisten Sinn macht.

 

Sub CA aufbauen, GPOs usw entsprechend ändern dass Sub CA Certs ausstellt und die Root das nicht mehr tut?

bestehende Zertifikate sollten ja weiterhin gültig bleiben.

 

 

Ich bin für jeden Tipp sehr dankbar und freue mich auf eure Antworten.

 

toasti

Edited by toasti
Link to comment

Moin,

 

zunächst einmal solltest Du vorweg die Frage nach der Notwendigkeit des Umbaus beantworten.

Gibt es außer dem 'Das ist eleganter, schöner etc.' einen organisatorischen oder sicherheitsrelevanten Mehrwert der den steigenden Verwaltungsaufwand rechtfertigt?

 

Einen echten Mehrwert würdest Du nur erhalten, wenn die Root CA als offline CA betrieben wird. Mir ist kein Weg bekannt, eine AD integrierte Root CA verlustfrei zu einer offline Root CA zu migrieren.

 

Zum Thema:

Du musst im Prinzip nur eine Issuing CA in Betrieb nehmen.

Die benötigten Zertifikatsvorlagen auf der Issuing CA aktivieren und auf der Root CA deaktivieren. Dann gehen die Zertifikatsanforderungen automatisch an die Issuing CA. Selbst erstellte Skripte etc. müssen ggf. angepasst werden.

Es kann durchaus einige Stunden dauern bis die Änderungen an der PKI bei allen Teilnehmern ankommt.

 

Die von der Root CA ausgestellten Zertifikate bleiben weiterhin gültig, es werden nur keine neuen mehr ausgestellt.

 

Buchtip: Brian Komar - PKI and Certificate Security

Link to comment

Hallo und danke für deine Hilfe!

 

Das ist die Frage ob der Umbau notwendig ist und ja du hast Recht (jetzt erinnere ich mich an meinen letzten MS-Kurs ;-)) - so richtig Sinn macht es erst wenn ich die Root auch offline nehmen kann, aber der Zug ist wohl durch.

Im Moment sind es höchstens 40-50 Zertifikate, mit NPS werden es aber bedeutend mehr werden und hier dachte ich ist es besser eine Sub zu haben die ich im Notfall vom Netz nehmen kann, sollte sicherheitstechnisch etwas sein.

Wie gesagt, in Sachen PKI bin ich leider (noch) nicht so fit und habe wenig Erfahrung. Deswegen hatte ich nach Best Practice für so ein Szenario gefragt.

 

Die Issuing reinzunehmen sollte nicht das große Problem sein - allerdings bin ich nach deiner Antwort am grübeln ob ich es nicht bei einer Root CA belasse.

Link to comment

Im Moment sind es höchstens 40-50 Zertifikate

Warum baust du dir nicht einfach eine neue CA-Struktur und löst die alte nach und nach ab?

Wenn alle bisherigen Certs domain-intern verwendet werden sollte das ja kein Problem sein.

Oder habt ihr mehreren/vielen Geschäftspartnern das Root-Cert zur Verfügung gestellt?

 

Eine weitere Issuing-CA in die vorhandene Struktur eingliedern? Nein, da sehe ich auch keinen Sinn drin, so lange beide online sind.

Link to comment

Hallo strained,

 

danke für deinen Input.

Die Certs sind alle intern! haben demnach auch keine CRLs usw nach extern veröffentlicht. Also alles noch recht klein und einfach im Grunde.

Hat man darin aber kaum Erfahrung ist auch so ein Umbau nicht einfach.

 

Habe mir nochmal alles durch den Kopf gehen lassen und umgedacht - ich nehme PEAP-MSCHAP v2 und brauche damit keine Zertifikate für die Clients und das eine für den Server macht mir mit der jetzigen PKI natürlich keinen Stress ;-)

 

Trotzdem ist der Input hier wichtig - für den Fall der Fälle. Aber im Moment möchte ich es gar nicht kompliziert machen wo es doch auch einfacher geht.

 

Ich danke euch für eure Hilfe!!!

Edited by toasti
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...