Jump to content
StefanWe

Benutzerzertifikate nur einmal

Recommended Posts

Hallo,

 

wir stellen für Benutzer Zertifikate zur Authentifizierung am VPN Gateway aus. Nun ist es so, wenn ein Benutzer sich an drei Geräten anmeldet, wird drei mal automatisch für den Benutzer ein Zertifikat ausgerollt und lokal auf dem Rechner gespeichert.

Als CA wird ein Win 2016 als 2 Tier genutzt. 

Gibt es eine Möglichkeit, dass beim ersten Ausstellen eines Benutzerzertifikates dieses samt priv Key in der CA DB gespeichert wird und beim Anfordern von einem anderen Rechner das gleiche Zertifikat ausgerollt wird?

 

Oder wie handhaben das andere Unternehmen ?

Share this post


Link to post
Share on other sites

Hier gabs neulich einen Thread zum Thema Roaming Profiles und Credential Roaming. Deine Vorstellung oben funktioniert meines Erachtens nicht. Wer will denn bitte den private Key in der DB? Den sieht die CA ja nie.

Share this post


Link to post
Share on other sites

Moin,

 

hier sollte man sich genau ansehen, was man braucht und was technisch passiert. In dem VPN-Szenario wird das Zertifikat für die Traffic-Verschlüsselung verwendet, also sozusagen "nur ad-hoc". Es ist daher grundsätzlich unproblematisch, wenn auf verschiedenen Rechnern unterschiedliche Zertifikate für denselben User vorliegen. Da die verschlüsselten Daten nicht gespeichert werden, müssen sie nicht zu einem späteren Zeitpunkt entschlüsselt werden. Daher kann man den derzeitigen Zustand, den du beschreibst, für dieses Szenario durchaus akzeptieren.

 

Anders sieht es aus, wenn die verschlüsselten Daten gespeichert werden, etwa bei der Mail- oder Dateiverschlüsselung. In dem Fall ist es unabdingbar, dass derselbe User immer dasselbe Zertifikat verwendet. Hier kann Credential Roaming eine Lösung sein. Andere Ansätze verzichten in solchen Situationen darauf, dass derselbe User verschiedene Rechner verwendet. Noch eine Variante wäre, den Private Key gar nicht auf dem Rechner zu halten, sondern auf einer Smartcard - das setzt aber drumrum natürlich einiges an Infrastruktur voraus.

 

Was nicht hilft, ist das Speichern des Private Keys in der CA-Datenbank. Zwar bietet die Windows-CA so eine Option (Key Archival), die ist aber nur für Recovery-Zwecke vorgesehen und würde in dem Roaming-Szenario gar nicht helfen (weil der Client nicht auf die Idee käme, dort zu suchen). Daher in der Regel Finger weg davon - Key Recovery benötigt man nur, wenn verschlüsselte Daten aufbewahrt werden und auch dann nur für den Recovery-Prozess, der dann genau definiert und speziell abgesichert sein muss.

 

Gruß, Nils

 

Edited by NilsK
  • Like 1

Share this post


Link to post
Share on other sites

@Nils: Vielen Dank. Hab ich mir schon gedacht.

 

Wie unterscheide ich denn zwischen Benutzerzertifikaten für VPN Einwahl und zum Beispiel Zertifikaten für E-mail Verschlüsselung oder Signierung ?

Über unterschiedliche Issuing CA's ? Weil Verwendungszweck Clientauth ist es ja in beiden fällen.

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb NorbertFe:

Anhand des Verwendungszwecks der ausgestellten Zertifikate? ;)

Der ist ja nur Client authentication oder Server auth.

Und sowohl vpn als auch für E-Mail brauch ich Client auth

 

Share this post


Link to post
Share on other sites

Nö für emailsignatur brauchst du sichere E-Mail oder so ähnlich. ;) „Digital Signature and Key Encipherment“

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Werbepartner:



×
×
  • Create New...