Jump to content

Fragen zu PKI mit Windows Server 2016


Direkt zur Lösung Gelöst von Dunkelmann,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Community,

 

ich bin neu hier und stell mich mal kurz vor:
Ich heiße Felix, bin 21 Jahre jung und studiere derzeit Informatik mit der Vertiefungsrichtung Industrielle Automatisierung an der DHBW Heidenheim.

 

Zu meiner Frage:
Ich soll in meinem Praxisunternehmen eine PKI zur internen Zertifizierung aufbauen, ich hatte mir dabei gedacht eine RootCA, sowie zwei SubCA´s zu erstellen,

Hintergedanke dabei ist, dass ich erst über eine SubCA die interne Zertifizierung übernehme, und später dann die zweite SubCA dafür nutze, um unseren Kunden ebenfalls Zertifikate

ausstellen zu können.

 

Frage #1: Ist mein Grundgedanke der richtige oder hab ich irgendwo einen Denkfehler?

Frage #2: Funktioniert das mit Windows Server 2016 (oder älter) oder muss ich dafür auf Linux umsteigen?

Frage #3: Können die beiden SubCA´s einmal in der Domäne liegen und einmal außerhalb?

 

Danke schonmal im Voraus :)

Freundliche Grüße

theonlybrand

 

Link zu diesem Kommentar
  • Beste Lösung

Moin und Willkommen ;) ,

 

der Ansatz klingt plausibel. Bei der Root CA solltest Du eine Offline Root einsetzen; Du hast es nicht explizit erwähnt.

 

PKI läuft unter Windows wunderbar, es muss kein Linux sein. Bei Server 2016 wäre ich so kurz nach Release nocht etwas zurückhaltend und würde eher auf 2012 R2 setzen. Eine spätere Migration auf ein neues OS ist i.d.R. kein Hexenwerk.

 

Eine Sub CA in der Domäne und eine Sub CA ohne Domäne ist kein Problem. Hier sollte bedacht werden, dass Zertifikatsvorlagen nur für AD integrierte CAs genutzt werden können und dass die Veröffentlichung der Sperrlisten etwas aufwändiger sein kann.

Es hängt primär von den genauen Anforderungen ab. Eine AD integrierte CA kann auch Zertifikate für Externe (Kunden, Partner, etc.) ausstellen.

 

Der obligatorische Buchtip:

Brian Komar - PKI & Certificate Securiry

Auch wenn es für Server 2008 geschrieben wurde, sind viele Grundlagen zu Design und Technik noch immer anwendbar.

Link zu diesem Kommentar

Moin,

 

zu ergänzen ist: Ordentlich und in Ruhe planen. Und die Anforderungen klären. Wenn man eine PKI unpassend aufsetzt, kann das später viel Aufwand bedeuten. Und am Ende geht es um Sicherheit - das sollte man nicht nebenbei machen. Ohne dir zu nahe treten zu wollen, würde ich einem Umternehmen auch nicht unbedingt raten, eine PKI von einem Praktikanten bzw. Jungstudenten planen und aufbauen zu lassen ... hoffentlich gesteht man dir ausreichend Zeit und Ressourcen zu.

 

Gruß, Nils

Link zu diesem Kommentar

Vielen Dank euch,

 

Habe bis Ende März Zeit dafür und kümmere mich in dieser Zeit ausschließlich darum. Bis dahin sollte die interne Zertifizierung funktionieren.

Ich weiss auch nicht genau wie sich mein "Ausbilder" das vorstellt, er hat nur gemeint "Mach einfach mal". Anforderungen zu klären fällt da schwer, da ich alles auf eigenverantwortlicher Basis

errichten soll, das ist der Punkt den ich hier nicht so ganz verstehe.

Link zu diesem Kommentar

Moin,

 

der Zeitrahmen ist dann schon OK. Dass es keine Anforderungen gibt, ist in der IT typisch, aber nicht OK. Daher mein Rat: Arbeite dich in die logischen Hintergründe des Themas ein und entwickle daraus Fragen, die zur Definition von Anforderungen dienen. Das ist dann mindestens ein Thema auf Ebene der IT-Leitung, je nach Unternehmen durchaus auch ein Thema für die Leitungsebene von Fachabteilungen oder sogar dem C-Level. Dort natürlich nicht im technischen Detail, aber in den Anforderungs- und Nutzungsszenarien sowie in den organisatorischen Konsequenzen.

 

Erst wenn das steht, kann man ein PKI-Design sinnvoll bauen. Das muss trotzdem keine Raketenwissenschaft sein, aber wie gesagt: Man baut dort sehr leicht etwas, das dann nicht passt.

 

Besorg dir das Komar-Buch, das gibt es nur noch antiquarisch oder als E-Book, aber insbesondere die Hintergründe sind darin hervorragend dargestellt. Die technischen Details sind nicht mehr alle aktuell, aber im Wesentlichen auch noch zutreffend.

 

Gruß, Nils

Link zu diesem Kommentar

Nils hat es schon treffend beschrieben. Erst den organisatorischen Rahmen definieren und danach die technische Lösung planen, validieren und erst dann produktiv setzen.

 

Zur Vorbereitung der Orga kann auch ein Blick in diverse öffentlich zugängliche CP und CPS (Certificate Policy, Certificate Practice Statement) nicht schaden.

 

Bei Microsoft, DFN, Bundesbank, etc. gibt es etwas:

https://www.microsoft.com/pki/mscorp/cps/

https://www.pki.dfn.de/policies/

http://www.bundesbank.de/Navigation/DE/Service/Services_Banken_und_Unternehmen/PKI/CP_und_CPS/cp_und_cps.html

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...