Jump to content

Benutzerzertifikate nur einmal


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir stellen für Benutzer Zertifikate zur Authentifizierung am VPN Gateway aus. Nun ist es so, wenn ein Benutzer sich an drei Geräten anmeldet, wird drei mal automatisch für den Benutzer ein Zertifikat ausgerollt und lokal auf dem Rechner gespeichert.

Als CA wird ein Win 2016 als 2 Tier genutzt. 

Gibt es eine Möglichkeit, dass beim ersten Ausstellen eines Benutzerzertifikates dieses samt priv Key in der CA DB gespeichert wird und beim Anfordern von einem anderen Rechner das gleiche Zertifikat ausgerollt wird?

 

Oder wie handhaben das andere Unternehmen ?

Link zu diesem Kommentar

Moin,

 

hier sollte man sich genau ansehen, was man braucht und was technisch passiert. In dem VPN-Szenario wird das Zertifikat für die Traffic-Verschlüsselung verwendet, also sozusagen "nur ad-hoc". Es ist daher grundsätzlich unproblematisch, wenn auf verschiedenen Rechnern unterschiedliche Zertifikate für denselben User vorliegen. Da die verschlüsselten Daten nicht gespeichert werden, müssen sie nicht zu einem späteren Zeitpunkt entschlüsselt werden. Daher kann man den derzeitigen Zustand, den du beschreibst, für dieses Szenario durchaus akzeptieren.

 

Anders sieht es aus, wenn die verschlüsselten Daten gespeichert werden, etwa bei der Mail- oder Dateiverschlüsselung. In dem Fall ist es unabdingbar, dass derselbe User immer dasselbe Zertifikat verwendet. Hier kann Credential Roaming eine Lösung sein. Andere Ansätze verzichten in solchen Situationen darauf, dass derselbe User verschiedene Rechner verwendet. Noch eine Variante wäre, den Private Key gar nicht auf dem Rechner zu halten, sondern auf einer Smartcard - das setzt aber drumrum natürlich einiges an Infrastruktur voraus.

 

Was nicht hilft, ist das Speichern des Private Keys in der CA-Datenbank. Zwar bietet die Windows-CA so eine Option (Key Archival), die ist aber nur für Recovery-Zwecke vorgesehen und würde in dem Roaming-Szenario gar nicht helfen (weil der Client nicht auf die Idee käme, dort zu suchen). Daher in der Regel Finger weg davon - Key Recovery benötigt man nur, wenn verschlüsselte Daten aufbewahrt werden und auch dann nur für den Recovery-Prozess, der dann genau definiert und speziell abgesichert sein muss.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...