theonlybrand 0 Geschrieben 14. Dezember 2016 Melden Geschrieben 14. Dezember 2016 Hallo liebe Community, ich bin neu hier und stell mich mal kurz vor:Ich heiße Felix, bin 21 Jahre jung und studiere derzeit Informatik mit der Vertiefungsrichtung Industrielle Automatisierung an der DHBW Heidenheim. Zu meiner Frage:Ich soll in meinem Praxisunternehmen eine PKI zur internen Zertifizierung aufbauen, ich hatte mir dabei gedacht eine RootCA, sowie zwei SubCA´s zu erstellen, Hintergedanke dabei ist, dass ich erst über eine SubCA die interne Zertifizierung übernehme, und später dann die zweite SubCA dafür nutze, um unseren Kunden ebenfalls Zertifikate ausstellen zu können. Frage #1: Ist mein Grundgedanke der richtige oder hab ich irgendwo einen Denkfehler? Frage #2: Funktioniert das mit Windows Server 2016 (oder älter) oder muss ich dafür auf Linux umsteigen? Frage #3: Können die beiden SubCA´s einmal in der Domäne liegen und einmal außerhalb? Danke schonmal im Voraus :)Freundliche Grüße theonlybrand
Beste Lösung Dunkelmann 96 Geschrieben 14. Dezember 2016 Beste Lösung Melden Geschrieben 14. Dezember 2016 Moin und Willkommen ;) , der Ansatz klingt plausibel. Bei der Root CA solltest Du eine Offline Root einsetzen; Du hast es nicht explizit erwähnt. PKI läuft unter Windows wunderbar, es muss kein Linux sein. Bei Server 2016 wäre ich so kurz nach Release nocht etwas zurückhaltend und würde eher auf 2012 R2 setzen. Eine spätere Migration auf ein neues OS ist i.d.R. kein Hexenwerk. Eine Sub CA in der Domäne und eine Sub CA ohne Domäne ist kein Problem. Hier sollte bedacht werden, dass Zertifikatsvorlagen nur für AD integrierte CAs genutzt werden können und dass die Veröffentlichung der Sperrlisten etwas aufwändiger sein kann. Es hängt primär von den genauen Anforderungen ab. Eine AD integrierte CA kann auch Zertifikate für Externe (Kunden, Partner, etc.) ausstellen. Der obligatorische Buchtip: Brian Komar - PKI & Certificate Securiry Auch wenn es für Server 2008 geschrieben wurde, sind viele Grundlagen zu Design und Technik noch immer anwendbar. 1
NilsK 3.046 Geschrieben 14. Dezember 2016 Melden Geschrieben 14. Dezember 2016 Moin, zu ergänzen ist: Ordentlich und in Ruhe planen. Und die Anforderungen klären. Wenn man eine PKI unpassend aufsetzt, kann das später viel Aufwand bedeuten. Und am Ende geht es um Sicherheit - das sollte man nicht nebenbei machen. Ohne dir zu nahe treten zu wollen, würde ich einem Umternehmen auch nicht unbedingt raten, eine PKI von einem Praktikanten bzw. Jungstudenten planen und aufbauen zu lassen ... hoffentlich gesteht man dir ausreichend Zeit und Ressourcen zu. Gruß, Nils
theonlybrand 0 Geschrieben 15. Dezember 2016 Autor Melden Geschrieben 15. Dezember 2016 Vielen Dank euch, Habe bis Ende März Zeit dafür und kümmere mich in dieser Zeit ausschließlich darum. Bis dahin sollte die interne Zertifizierung funktionieren. Ich weiss auch nicht genau wie sich mein "Ausbilder" das vorstellt, er hat nur gemeint "Mach einfach mal". Anforderungen zu klären fällt da schwer, da ich alles auf eigenverantwortlicher Basis errichten soll, das ist der Punkt den ich hier nicht so ganz verstehe.
NilsK 3.046 Geschrieben 15. Dezember 2016 Melden Geschrieben 15. Dezember 2016 Moin, der Zeitrahmen ist dann schon OK. Dass es keine Anforderungen gibt, ist in der IT typisch, aber nicht OK. Daher mein Rat: Arbeite dich in die logischen Hintergründe des Themas ein und entwickle daraus Fragen, die zur Definition von Anforderungen dienen. Das ist dann mindestens ein Thema auf Ebene der IT-Leitung, je nach Unternehmen durchaus auch ein Thema für die Leitungsebene von Fachabteilungen oder sogar dem C-Level. Dort natürlich nicht im technischen Detail, aber in den Anforderungs- und Nutzungsszenarien sowie in den organisatorischen Konsequenzen. Erst wenn das steht, kann man ein PKI-Design sinnvoll bauen. Das muss trotzdem keine Raketenwissenschaft sein, aber wie gesagt: Man baut dort sehr leicht etwas, das dann nicht passt. Besorg dir das Komar-Buch, das gibt es nur noch antiquarisch oder als E-Book, aber insbesondere die Hintergründe sind darin hervorragend dargestellt. Die technischen Details sind nicht mehr alle aktuell, aber im Wesentlichen auch noch zutreffend. Gruß, Nils
theonlybrand 0 Geschrieben 15. Dezember 2016 Autor Melden Geschrieben 15. Dezember 2016 Danke Nils für deine schnelle Antwort! Ich lass diesen Thread hier mal offen, vllt kommen mir noch ein paar Fragen. Grüße Felix
Dunkelmann 96 Geschrieben 15. Dezember 2016 Melden Geschrieben 15. Dezember 2016 Nils hat es schon treffend beschrieben. Erst den organisatorischen Rahmen definieren und danach die technische Lösung planen, validieren und erst dann produktiv setzen. Zur Vorbereitung der Orga kann auch ein Blick in diverse öffentlich zugängliche CP und CPS (Certificate Policy, Certificate Practice Statement) nicht schaden. Bei Microsoft, DFN, Bundesbank, etc. gibt es etwas: https://www.microsoft.com/pki/mscorp/cps/ https://www.pki.dfn.de/policies/ http://www.bundesbank.de/Navigation/DE/Service/Services_Banken_und_Unternehmen/PKI/CP_und_CPS/cp_und_cps.html
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden