toasti 11 Geschrieben 21. Oktober 2013 Melden Teilen Geschrieben 21. Oktober 2013 (bearbeitet) Hallo zusammen, wir betreiben hier derzeit eine ins AD integrierte Root CA in einem 2008 R2 AD-Schema. Bisher wurden kaum Zertifikate ausgestellt und auch benötigt, deswegen hat bisher die Root CA gereicht. Mittlerweile kommt es aber doch häufiger vor, dass wir Zertifikate brauchen und ich mache mir schon länger Gedanken die Root CA durch eine Sub CA zu erweitern welche zukünftig die Zertifikate ausstellt. Geplant ist ein WLAN fürs interne Netz inkl. NPS aufzubauen - für welche ich nun ebenfalls lieber eine Sub CA hätte. Fakt im Moment ist: - Zertifikate werden per GPO an eine bestimmte Gruppe zwecks E-Mail-Encryption automatisiert ausgestellt. - Hin und wieder manuelle Anforderung von Zertifikaten z.B. für Terminal-Server Welcher Weg ist nun der "Beste" um zur Sub CA zu kommen, die anderen Zertifikate aber noch funktionieren? Entsprechend aufzuräumen, die ausgestellten Zertifikate zu revoken und alles neu aufzubauen, davor sträube ich mich doch ein bißchen. Ehrlich gesagt fehlt mir schlichtweg die Erfahrung in Sachen PKI und ich weiß nicht welcher Weg am meisten Sinn macht. Sub CA aufbauen, GPOs usw entsprechend ändern dass Sub CA Certs ausstellt und die Root das nicht mehr tut? bestehende Zertifikate sollten ja weiterhin gültig bleiben. Ich bin für jeden Tipp sehr dankbar und freue mich auf eure Antworten. toasti bearbeitet 21. Oktober 2013 von toasti Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 21. Oktober 2013 Melden Teilen Geschrieben 21. Oktober 2013 Moin, zunächst einmal solltest Du vorweg die Frage nach der Notwendigkeit des Umbaus beantworten. Gibt es außer dem 'Das ist eleganter, schöner etc.' einen organisatorischen oder sicherheitsrelevanten Mehrwert der den steigenden Verwaltungsaufwand rechtfertigt? Einen echten Mehrwert würdest Du nur erhalten, wenn die Root CA als offline CA betrieben wird. Mir ist kein Weg bekannt, eine AD integrierte Root CA verlustfrei zu einer offline Root CA zu migrieren. Zum Thema: Du musst im Prinzip nur eine Issuing CA in Betrieb nehmen. Die benötigten Zertifikatsvorlagen auf der Issuing CA aktivieren und auf der Root CA deaktivieren. Dann gehen die Zertifikatsanforderungen automatisch an die Issuing CA. Selbst erstellte Skripte etc. müssen ggf. angepasst werden. Es kann durchaus einige Stunden dauern bis die Änderungen an der PKI bei allen Teilnehmern ankommt. Die von der Root CA ausgestellten Zertifikate bleiben weiterhin gültig, es werden nur keine neuen mehr ausgestellt. Buchtip: Brian Komar - PKI and Certificate Security Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 21. Oktober 2013 Autor Melden Teilen Geschrieben 21. Oktober 2013 Hallo und danke für deine Hilfe! Das ist die Frage ob der Umbau notwendig ist und ja du hast Recht (jetzt erinnere ich mich an meinen letzten MS-Kurs ;-)) - so richtig Sinn macht es erst wenn ich die Root auch offline nehmen kann, aber der Zug ist wohl durch. Im Moment sind es höchstens 40-50 Zertifikate, mit NPS werden es aber bedeutend mehr werden und hier dachte ich ist es besser eine Sub zu haben die ich im Notfall vom Netz nehmen kann, sollte sicherheitstechnisch etwas sein. Wie gesagt, in Sachen PKI bin ich leider (noch) nicht so fit und habe wenig Erfahrung. Deswegen hatte ich nach Best Practice für so ein Szenario gefragt. Die Issuing reinzunehmen sollte nicht das große Problem sein - allerdings bin ich nach deiner Antwort am grübeln ob ich es nicht bei einer Root CA belasse. Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 22. Oktober 2013 Autor Melden Teilen Geschrieben 22. Oktober 2013 Guten morgen, hat noch jemand weitere Tipps und Ratschläge? Jeder Input ist willkommen :-) Zitieren Link zu diesem Kommentar
strained 10 Geschrieben 22. Oktober 2013 Melden Teilen Geschrieben 22. Oktober 2013 Im Moment sind es höchstens 40-50 Zertifikate Warum baust du dir nicht einfach eine neue CA-Struktur und löst die alte nach und nach ab? Wenn alle bisherigen Certs domain-intern verwendet werden sollte das ja kein Problem sein. Oder habt ihr mehreren/vielen Geschäftspartnern das Root-Cert zur Verfügung gestellt? Eine weitere Issuing-CA in die vorhandene Struktur eingliedern? Nein, da sehe ich auch keinen Sinn drin, so lange beide online sind. Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 23. Oktober 2013 Autor Melden Teilen Geschrieben 23. Oktober 2013 (bearbeitet) Hallo strained, danke für deinen Input. Die Certs sind alle intern! haben demnach auch keine CRLs usw nach extern veröffentlicht. Also alles noch recht klein und einfach im Grunde. Hat man darin aber kaum Erfahrung ist auch so ein Umbau nicht einfach. Habe mir nochmal alles durch den Kopf gehen lassen und umgedacht - ich nehme PEAP-MSCHAP v2 und brauche damit keine Zertifikate für die Clients und das eine für den Server macht mir mit der jetzigen PKI natürlich keinen Stress ;-) Trotzdem ist der Input hier wichtig - für den Fall der Fälle. Aber im Moment möchte ich es gar nicht kompliziert machen wo es doch auch einfacher geht. Ich danke euch für eure Hilfe!!! bearbeitet 23. Oktober 2013 von toasti Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.