Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?

Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 12 Active Directory-Zertifikatdienste
Pfeil 12.1 Einige Anwendungsszenarien
Pfeil 12.1.1 Internet-Authentifizierung und Verschlüsselung
Pfeil 12.1.2 Sichere E-Mail
Pfeil 12.1.3 Codesignatur
Pfeil 12.1.4 IP-Verschlüsselung
Pfeil 12.1.5 Anmeldung mit Smartcard
Pfeil 12.1.6 Wireless Authentification (802.1X)
Pfeil 12.1.7 Fazit
Pfeil 12.2 Zertifikatdienste installieren und Migration (einstufige Architektur)
Pfeil 12.3 Zertifikate aus Sicht des Clients
Pfeil 12.4 Zertifizierungspfad
Pfeil 12.5 Zertifikatvorlagen
Pfeil 12.6 Weboberfläche
Pfeil 12.7 Mehrstufige Architekturen
Pfeil 12.7.1 Rollen
Pfeil 12.7.2 Architekturen
Pfeil 12.8 Autoenrollment und automatische Zertifikatanforderung
Pfeil 12.8.1 Automatische Zertifikatanforderung
Pfeil 12.8.2 Autoenrollment
Pfeil 12.9 Zertifikate für Websites
Pfeil 12.10 Zertifikatsperrlisten
Pfeil 12.10.1 Funktionsweise – ganz grob
Pfeil 12.10.2 Sperrlisteneinträge
Pfeil 12.10.3 Gültigkeit einer Sperrliste
Pfeil 12.10.4 Zertifikatgültigkeit überprüfen
Pfeil 12.10.5 Der Cache
Pfeil 12.10.6 ISA Server zum Veröffentlichen des Speicherortes verwenden
Pfeil 12.11 Das Online Certificate Status Protocol (OCSP)
Pfeil 12.11.1 Konfiguration des Online-Responders
Pfeil 12.11.2 Anpassung der Zertifizierungsstelle
Pfeil 12.11.3 Testen
Pfeil 12.11.4 ISA Server-Veröffentlichung
Pfeil 12.12 Zweistufige Architektur implementieren
Pfeil 12.12.1 Offline-CA installieren und konfigurieren
Pfeil 12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügen
Pfeil 12.12.3 Unternehmens-CA installieren
Pfeil 12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen
Pfeil 12.13 Zertifikate und Windows Mobile
Pfeil 12.13.1 Pocket PC und Pocket PC Phone Edition
Pfeil 12.13.2 Smartphone
Pfeil 12.14 Zertifikate und das iPhone

Rheinwerk Computing - Zum Seitenanfang

12.12 Zweistufige Architektur implementieren Zur nächsten Überschrift

Wie Sie zuvor gesehen haben, ist die Einrichtung einer einstufigen Active Directory-integrierten PKI nicht wirklich ein Problem – fast eine »Weiter ® Weiter ® Fertig-Installation«.

Eine einstufige Architektur ist von den Sicherheitsansprüchen her nicht ganz ideal, da das Stammzertifikat nicht optimal geschützt ist. Viele mittelständische Unternehmen tendieren daher eher zu einer zweistufigen Architektur, bei der eine Offline-Stammzertifizierungsstelle (Offline-CA) lediglich das Stammzertifikat erzeugt und das Zertifikat der ausgebenden Zertifizierungsstelle (Issuing CA) signiert. Die Zertifizierungsstelle, die Zertifikate für Computer und Benutzer erzeugt, wird dann Active Directory-integriert aufgesetzt.

Dieses Szenario einzurichten, ist zwar definitiv keine unlösbare Aufgabe, erfordert aber naturgemäß einige zusätzliche Schritte und setzt einige weitere konzeptionelle Überlegungen voraus.

Aufgrund des vielfachen Wunsches der Leser der ersten Auflage dieses Buchs zeige ich daher Schritt für Schritt den Aufbau einer zweistufigen PKI. Hier sehen Sie einige Eckdaten:

  • Das Stammzertifikat soll eine Gültigkeit von 30 Jahren haben.
  • Das Zertifikat der ausgebenden Zertifizierungsstelle soll 15 Jahre gültig sein.
  • Die Zertifikatsperrliste soll einmal pro Jahr aktualisiert werden, um gegebenenfalls das Zertifikat der ausgebenden Zertifizierungsstelle zurückziehen zu können.
  • Die ausgebende Zertifizierungsstelle soll in das Active Directory integriert sein.
  • Die Zertifikatsperrlisten sollen sowohl intern als auch extern abrufbar sein.

Rheinwerk Computing - Zum Seitenanfang

12.12.1 Offline-CA installieren und konfigurieren Zur nächsten ÜberschriftZur vorigen Überschrift

Der erste Schritt ist die Installation der Offline-CA, die über das 30 Jahre lang gültige Stammzertifikat verfügt und das Zertifikat für die untergeordnete Zertifizierungsstelle herausgibt.

Installation

Die Offline-CA kann entweder auf einem physikalischen Gerät oder in einer virtuellen Maschine betrieben werden. Letzteres hat übrigens durchaus Vorteile, denn das System wird nur selten gestartet werden. »Echte« physikalische Festplatten vertragen es erfahrungsgemäß nicht allzu gut, wenn sie nur einmal im Jahr gestartet werden. Falls Sie sich dafür entscheiden, die Offline-CA direkt auf Hardware zu betreiben, genügt prinzipiell auch PC-Hardware, es muss kein »richtiger« Server sein. Wichtig sind aber zwei Aspekte:

  • Sie müssen ein zuverlässiges Verfahren implementieren, mit dem sichergestellt ist, dass das System bei Bedarf tatsächlich gestartet werden kann. Bei Festplatten kann es durchaus sein, dass diese nach einem halben Jahr eben nicht mehr starten. Ein entsprechendes Backup-Konzept ist also notwendig.
  • Die Offline-CA, die auch über den privaten Schlüssel des Stammzertifikats verfügt, ist extrem schutzbedürftig. Festplatten bieten den Vorteil, dass man diese entnehmen und in den Tresor legen kann. Wenn Sie mit einer virtuellen Maschine arbeiten, müssen Sie sich hier ein wenig Gedanken machen: Die komplette virtuelle Maschine zwar ausgeschaltet, aber startbereit auf dem virtuellen Server liegen zu lassen, könnte (!) ein Sicherheitsproblem sein. Gegebenenfalls müssten Sie die Dateien vom virtuellen Server herunterkopieren und auf einem separaten Medium im Tresor lagern.

Für welche Vorgehensweise Sie sich auch entscheiden: Es gibt immer Vor- und Nachteile, ganz wie im richtigen Leben. Achten Sie darauf, dass die beiden genannten Aspekte in Ihrer Planung hinreichend berücksichtigt werden.

Die erste Software-Anforderung an den Server, auf dem die Offline-CA installiert wird, ist, dass er kein Domänenmitglied ist. Das hat nichts damit zu tun, dass ein Domänenmitglied »irgendwie weniger sicher« wäre. Vielmehr ist der Grund, dass der Computer nach einem halben Jahr Offline-Zeit nicht mehr über das aktuelle Kennwort des Computerkontos verfügt und sich demzufolge nicht an der Domäne anmelden kann (Abbildung 12.93).

Abbildung

Abbildung 12.93 Die Maschine für die Offline-CA sollte bzw. darf kein Domänenmitglied sein.

Einer Zertifizierungsstelle können bei der Installation über eine .inf-Datei einige Konfigurationsparameter mitgegeben werden. Diese sind im Installationsassistenten nicht verfügbar, können aber zumeist nachträglich geändert werden. Die Konfigurationsdatei muss CAPolicy.inf heißen und im Windows-Verzeichnis (also C:\windows) liegen. In Abbildung 12.94 sehen Sie eine beispielhafte CAPolicy.inf, die unter anderem folgende Einstellungen vornimmt:

  • Von dieser CA ausgestellte Zertifikate können maximal 30 Jahre gültig sein.
  • Die Zertifikatsperrliste (CRL, Certificate Revocation List) ist jeweils 52 Wochen gültig, eine Deltasperrliste gibt es nicht.

Wenn die Datei im Windows-Verzeichnis liegt, werden darin getroffene Einstellungen bei der Installation der Zertifizierungsstelle berücksichtigt.

Abbildung

Abbildung 12.94 Mit der Datei »CAPolicy.inf« können einige Einstellungen bereits bei der Installation festgelegt werden.

Die Installation der Offline-CA beginnt so wie die Installation jeder anderen Zertifizierungsstelle – etwas Besonderes ist sie ja im Grunde genommen auch nicht. Bei der Auswahl der Rollendienste genügt Zertifizierungsstelle, also sozusagen der Basisdienst (Abbildung 12.95). Die Zertifizierungsstellen-Webregistrierung ist für eine Offline-CA unnötig.

Abbildung

Abbildung 12.95 Die Installation des Rollendienstes »Zertifizierungsstelle« genügt.

Abbildung

Abbildung 12.96 Der Start des Konfigurationsassistenten. Es ist nur ein Rollendienst zur Konfiguration auswählbar – mehr ist ja auch nicht installiert worden.

Abbildung

Abbildung 12.97 Auf einem Einzel-PC steht nur die Option »Eigenständige Zertifizierungsstelle« zur Verfügung.

Erwartungsgemäß steht die Option, eine Unternehmenszertifizierungsstelle zu installieren, auf einem Server, der kein Domänenmitglied ist, nicht zur Verfügung (Abbildung 12.97).

Nochmals zur Erinnerung, falls Sie mit dem Lesen direkt in diesem Abschnitt begonnen haben: Eine Unternehmenszertifizierungsstelle ist in das Active Directory integriert und wird folglich von Diensten automatisch gefunden.

Die folgende Dialogseite ermöglicht die Auswahl, ob eine Stammzertifizierungsstelle oder eine Untergeordnete Zertifizierungsstelle angelegt werden soll (Abbildung 12.98). Da die Offline-CA die oberste Instanz der PKI-Hierarchie ist, wird eine Stammzertifizierungsstelle installiert.

Abbildung

Abbildung 12.98 Wir erstellen eine Stammzertifizierungsstelle.

Auf den folgenden Seiten geht es um die Erstellung des privaten Schlüssels für die neue Stammzertifizierungsstelle. Sofern nicht von einer vorhergehenden Stammzertifizierungsstelle das Stammzertifikat vorhanden ist und weitergenutzt werden soll, beginnen Sie hier und jetzt mit dem Erstellen eines neuen privaten Schlüssels (Abbildung 12.99).

Abbildung

Abbildung 12.99 Für die neue Stammzertifizierungsstelle muss ein neuer privater Schlüssel erstellt werden.

Die erste Entscheidung bezieht sich auf einige Einstellungen zur Kryptografie (Abbildung 12.100):

  • Als Kryptografiedienstanbieter können Sie die vorgegebene Einstellung belassen.
  • Als Hashalgorithmus wählen Sie SHA1 aus.
  • Als Schlüssellänge wird 2048 vorgegeben sein. Diesen Wert sollten Sie ebenfalls übernehmen. Man kann an dieser Stelle auch höhere Werte einstellen, und die Versuchung ist durchaus da – längerer Schlüssel klingt irgendwie »sicherer«. Der Nachteil ist allerdings, dass nicht unbedingt alle Hard- und Softwarekomponenten mit Schlüssellängen über 2048 Bits zurechtkommen. Also: Die Voreinstellung 2048 zu übernehmen ist mehr als nur empfehlenswert.

Hashalgorithmus

SHA1 ist zwar ein Uralt-Algorithmus und nicht mehr zeitgemäß – damit klappt aber alles. Beispielsweise können WinXP und WinServer2003 nichts mit Zertifikaten mit einem SHA256-Hash anfangen.

Abbildung

Abbildung 12.100 Als Schlüssellänge kommt 2048 infrage. Längere Schlüssel führen unter Umständen zu Kompatibilitätsproblemen.

Im nächsten Schritt wird der Name der Zertifizierungsstelle konfiguriert. Der hier angegebene Name (auf Abbildung 12.101 ist das UBEXECROOTCA) wird beispielsweise in der Anzeige des lokalen Zertifikatspeichers verwendet. Er sollte also einigermaßen prägnant sein. Als Suffix für Distinguished Name geben Sie hier den Namen Ihrer Active Directory-Domäne ein.

Abbildung

Abbildung 12.101 Auch eine Zertifizierungsstelle benötigt einen Namen.

Im nächsten Dialog (Abbildung 12.102) geht es um die Gültigkeit des Stammzertifikats. Die hier vorgeschlagenen 30 Jahre sind zwar nach IT-Maßstäben ein geradezu biblischer Zeitraum – ich halte das für eine Stammzertifizierungsstelle aber durchaus für akzeptabel. Sie wollen ja vermutlich nicht alle paar Jahre größere Umbauarbeiten an der Zertifikatsinfrastruktur vornehmen.

Abbildung

Abbildung 12.102 Für das Zertifikat der Stammzertifizierungsstelle kann durchaus eine Gültigkeitsdauer von 30 Jahren gewählt werden.

Zum Schluss werden noch die Speicherorte für Zertifikatsdatenbank und deren Protokoll abgefragt. Sie können sich hier getrost für die Standardwerte entscheiden (Abbildung 12.103).

Zertifikat sicher aufbewahren

Denken Sie daran, das soeben erzeugte Zertifikat an einem sicheren Ort aufzubewahren. »Sicherer Ort« hat hierbei zwei Bedeutungen:

  • Das Zertifikat muss wiederherstellbar sein.
  • Das Zertifikat muss so geschützt sein, dass es nicht in fremde Hände fällt.

Die Sicherung der Zertifizierungsstelle kann in deren Kontextmenü initiiert werden. Sofern Sie nur das Stammzertifikat nebst privatem Schlüssel exportieren möchten, müssen Sie dies über das Zertifikate-Snap-In erledigen.

Abbildung

Abbildung 12.103 Zum Schluss muss noch der Speicherort für die Zertifikatdatenbank und das zugehörige Protokoll gewählt werden.

Konfiguration

Die Zertifizierungsstelle ist zwar nun installiert, muss aber noch weiter konfiguriert werden.

Wichtig ist zunächst der Verteilungspunkt für Sperrlisten (CDP, Certificate Revocation Distribution Point). Den CDP konfigurieren Sie entweder mit dem Kommandozeilenwerkzeug Certutil oder – was aus Sicht der meisten Leser sicher angenehmer ist – mit der grafischen Oberfläche. Den entsprechenden Dialog finden Sie im Snap-In Zertifizierungsstelle auf der Registerkarte Erweiterungen in den Eigenschaften der Zertifizierungsstelle (Abbildung 12.104).

Details

Die Details zu Sperrlisten wurden in Abschnitt 12.10 ausführlich erläutert, daher zeige ich Ihnen hier nur, was für dieses Szenario konfiguriert werden muss.

Ich habe mich in diesem Beispielszenario dafür entschieden, die Sperrlisten unterhalb der URL http://certs.boddenberg-technik.de/CertEnroll zu veröffentlichen. Dieser Server ist sowohl für interne als auch für externe Clients zu erreichen. Dies ist mittlerweile auch für eine firmeninterne PKI wichtig, weil es zunehmend Anwendungen gibt, die eine erfolgreiche Zertifikatsüberprüfung voraussetzen – zu nennen wären hier beispielsweise DirectAccess und SSTP.

Abbildung

Abbildung 12.104 In den Eigenschaften der Zertifizierungsstelle muss der Sperrlisten-Verteilungspunkt konfiguriert werden.

Einheitliche URL

Es ist möglich, mehrere Orte für die Sperrlisten hinzuzufügen und so beispielsweise eine interne und eine externe URL zu definieren. Ich sehe bei einer einheitlichen URL allerdings folgende Vorteile:

  • Sie ist aus Zertifikatssicht einfacher zu verwalten.
  • Bei der Überprüfung des Zertifikats wird gemäß der definierten Reihenfolge der Orte vorgegangen. Ein nicht erreichbarer Ort führt stets zu einer gewissen Verzögerung.

Hier ist nun die Vorgehensweise:

  1. Wählen Sie das Hinzufügen eines weiteren Standorts (Schaltfläche Einfügen, siehe Abbildung 12.105).
  2. Tragen Sie die URL des Orts für die Veröffentlichung der Sperrliste ein, in diesem Beispiel ist das http://certs.boddenberg-technik.de/certenroll/. Dann fügen Sie die Variablen <CaName>, <CRLNameSuffix> und <DeltaCRLAllowed>, wie auf Abbildung 12.105 gezeigt, hinzu. Schließen Sie die Zeile mit der Dateiendung .crl ab.

    Abbildung

    Abbildung 12.105 Einen neuen Ort für die Sperrliste hinzufügen

  3. Wenn der neue Ort eingerichtet ist, selektieren Sie ihn und aktivieren die Option In CDP-Erweiterung ... Das führt dazu, dass in jedem von dieser Zertifizierungsstelle ausgestellten Zertifikat dieser Speicherort der Sperrliste angegeben ist (Abbildung 12.106).
  4. Deaktivieren Sie bei den anderen Standorten die Option In CDP-Erweiterung.

    Abbildung

    Abbildung 12.106 Der neue Sperrlisten-Verteilungspunkt soll in den Erweiterungen des Zertifikats aufgeführt werden.

Bleiben Sie auf der Registerkarte Erweiterungen, und wählen Sie nun Zugriff auf Stelleninformationen (Abbildung 12.107). Hier wird der Speicherort des öffentlichen Teils des Zertifikats angegeben. Gehen Sie wie für die Sperrliste gezeigt vor, um einen neuen Speicherort hinzuzufügen. Aktivieren Sie für diesen die Option In AIA-Erweiterung ..., und deaktivieren Sie diese Option für die anderen Orte.

Abbildung

Abbildung 12.107 Auch die AIA-Erweiterung muss konfiguriert werden.

Nun müssen Sie noch einige Einstellungen vornehmen, die leider nicht in der grafischen Oberfläche möglich sind, sondern mit Certutil erfolgen. Abbildung 12.108 zeigt exemplarisch die Vorgehensweise. Folgende Einstellungen sind erforderlich:

  1. Sie müssen den Konfigurationsnamenskontext Ihres Active Directorys angeben, z. B. für die AD-Domäne ubinf.intra:
    Certutil –setreg CA\DSConfigDN CN=Configuration,DC=ubinf,DC=intra
  2. Die Konfiguration der Sperrlisten-Veröffentlichungs-Zeiträume sollte bereits in der CAPolicy.inf-Datei erfolgt sein. Sofern Sie diese nicht verwendet haben, sind folgende Einstellungen vorzunehmen:
    Certutil –setreg CA\CRLPeriod weeks
    Certutil –setreg CA\CRLPeriodUnits 52
    Certutil –setreg CA\CRLDeltaPeriod days
    Certutil –setreg CA\CRLDeltaPeriodUnits 0
    Certutil –setreg CA\CRLOverlapPeriosd weeks
    Certutil –setreg CA\CRLOverlapPeriodUnits 4
  3. Nun muss noch konfiguriert werden, dass die von dieser Zertifizierungsstelle ausgestellten Zertifikate 15 Jahre gültig sind. Ansonsten wäre das Zertifikat für die untergeordnete Zertifizierungsstelle nur ein Jahr gültig, was weniger praktikabel ist. Die Befehle dazu sind (siehe auch Abbildung 12.108):
    Certutil –setreg CA\ValidityPeriod years
    Certutil –setreg CA\ValidityPeriodUnits 15

    Abbildung

    Abbildung 12.108 Etliche Parameter werden mit Certutil konfiguriert.

  4. Nun legen Sie fest, dass diskrete Signaturen für ausgestellte Zertifikate verwendet werden dürfen:
    Certutil –setreg CA\csp\DiscreteSignatureAlgorithm 1
  5. Nach Abschluss der Konfiguration mit Certutil müssen die Zertifikatdienste neu gestartet werden. Das lässt sich von der Kommandozeile aus mit folgenden Befehlen bewerkstelligen:
    Net stop certsvc
    Net start certsvc

Zertifikat und Sperrliste kopieren

Der öffentliche Teil des Zertifikats und die Sperrliste befinden sich standardmäßig im Verzeichnis C:\Windows\System32\CertSrv\CertEnroll. Dort sollten sich jetzt, wie auf Abbildung 12.109 gezeigt, zwei Dateien befinden, nämlich der öffentliche Teil des Zertifikats (*.crt) und die Sperrliste (*.crl).

Abbildung

Abbildung 12.109 In diesem Verzeichnis befinden sich das Zertifikat und die Sperrliste.

Ein Doppelklick auf die Dateien ermöglicht jeweils einen Blick in die »Innereien«. Sie können somit kontrollieren, ob auch alles korrekt konfiguriert ist:

  • Abbildung 12.110 zeigt die Details des Stammzertifikats. Sie können sehen, dass es exakt 30 Jahre gültig ist – ich habe es am 21. August 2013 erzeugt. Wie bereits in Abschnitt 12.10 beschrieben, sind im Stammzertifikat keine Verteilungspunkte für Sperrlisten oder Stelleninformationen eingetragen. Das entspricht der gängigen Praxis und wird von Windows Server 2008/2012/R2 beim Erzeugen eines Stammzertifikats automatisch so gehandhabt.
  • Abbildung 12.111 zeigt die Sperrliste. Diese ist 52 Wochen gültig, so wie gewünscht.

Abbildung

Abbildung 12.110 Das Zertifikat ist 30 Jahre gültig und hat keine definierten Sperrlisten – wie erwartet.

Abbildung

Abbildung 12.111 Die Sperrliste: Die nächste Aktualisierung ist in 52 Wochen fällig.

Hinweis

Hier noch ein Hinweis zur Sperrliste: Da die Sperrliste 52 Wochen gültig ist, müssen Sie die Zertifizierungsstelle zu diesem Datum auf den angegebenen Sperrlisten-Verteilungspunkt kopieren.

Die neue Sperrliste wird zu diesem Zeitpunkt erzeugt sein. Falls das noch nicht erfolgt ist, können Sie mit certutil –crl die Erstellung der Sperrliste erzwingen.

Es ist eine ziemlich gute Idee, jetzt und sofort einen Termin in Outlook einzutragen. Ich rate immer dazu, eine kurze Beschreibung der Vorgehensweise aufzunehmen – nach einem Jahr sind die Schritte, die man durchführen muss, oft in Vergessenheit geraten.

Kopieren Sie nun Zertifikat und Sperrliste aus dem auf Abbildung 12.109 gezeigten Verzeichnis auf den Server, auf dem die untergeordnete CA installiert werden soll.

OCSP

Sie können anstatt mit den Sperrlisten oder zusätzlich zu den Sperrlisten auch mit OCSP arbeiten. In Abschnitt 12.11 ist das ausführlich erläutert.

Abbildung

Abbildung 12.112 Erstellen Sie am besten direkt einen Terminkalendereintrag, der Sie an das Kopieren der Sperrliste erinnert. Es hat sich bewährt, die Vorgehensweise zu skizzieren – sie ist nach einem Jahr schnell vergessen.


Rheinwerk Computing - Zum Seitenanfang

12.12.2 Zertifikat und Sperrliste dem Unternehmenszertifikatserver und dem Active Directory hinzufügenZur nächsten ÜberschriftZur vorigen Überschrift

Nachdem Sie im vorherigen Schritt den öffentlichen Teil des Zertifikats und die Sperrliste auf den Server kopiert haben, auf dem die Unternehmenszertifizierungsstelle installiert werden soll, müssen diese dort noch installiert werden.

Den lokalen Zertifikatsspeicher hinzufügen

Um es direkt vorweg zu sagen: Dieser Schritt ist eigentlich optional, da Zertifikat und Sperrliste ohnehin durch das Active Directory auf den Server verteilt würden. Das manuelle Importieren in den lokalen Zertifikatsspeicher beschleunigt den Vorgang jedoch.

Wie Sie auf Abbildung 12.113 sehen können, lassen sich mittels Certutil sowohl das Zertifikat als auch die Sperrliste in den lokalen Zertifikatsspeicher importieren. Das ginge übrigens auch mit der grafischen Oberfläche (Snap-In Zertifikate), aber so geht es meines Erachtens am schnellsten.

Abbildung

Abbildung 12.113 Hinzufügen von Zertifikat und Sperrliste zum lokalen Zertifikatsspeicher

Abbildung

Abbildung 12.114 Als Ergebnis von »certutil -addstore« befinden sich jetzt Zertifikat und Sperrliste im Container für »Vertrauenswürdige Stammzertifizierungsstellen«.

Das Active Directory hinzufügen

Sie müssen das Zertifikat Ihrer Stammzertifizierungsstelle auf alle Systeme Ihrer Umgebung bringen. Angenehmerweise lässt sich dies mit dem Active Directory automatisieren. Das Zertifikat wird im Konfigurationsnamenskontext gespeichert, was dazu führt, dass die Server und PCs es herunterladen und installieren. Das Ganze funktioniert übrigens auch umgekehrt: Wenn Sie das Zertifikat im AD löschen, wird es nach einer Weile (einige Stunden) von Servern und PCs verschwunden sein.

Das Hinzufügen von Zertifikat und Sperrliste zum Active Directory wird mit Certutil erledigt, auf Abbildung 12.115 ist zu sehen, wie’s gemacht wird.

In einigen Stunden wird das Zertifikat auf allen Systemen in Ihrem Active Directory installiert sein. Sie können die Installation übrigens durch gpupdate /force erzwingen.

Abbildung

Abbildung 12.115 Hinzufügen von Zertifikat und Sperrliste zum Active Directory

Abbildung

Abbildung 12.116 »certutil -dspublish« veröffentlicht das Zertifikat im AD.


Rheinwerk Computing - Zum Seitenanfang

12.12.3 Unternehmens-CA installierenZur nächsten ÜberschriftZur vorigen Überschrift

Im nächsten Schritt geht es um die Installation der Unternehmenszertifizierungsstelle, also um den Teil der PKI, der die Zertifikate an Computer und Benutzer ausgibt.

Zertifizierungsstelle installieren

Zur Installation der Unternehmenszertifizierungsstelle fügen Sie einem Server mit dem Server-Manager die Rolle Active Directory-Zertifikatdienste hinzu. Dieser Server muss kein Domänencontroller sein – kann aber einer sein. Bei der Einrichtung der Stammzertifizierungsstelle habe ich empfohlen, auf die Webregistrierungskomponenten zu verzichten. Bei einer Zertifizierungsstelle, die Zertifikate für Benutzer und Computer ausstellt, ist diese Komponente allerdings sehr empfehlenswert. Optional können Sie weitere Rollendienste installieren (Abbildung 12.117):

  • Der Rollendienst Online-Responder unterstützt das OCSP-Protokoll zur Validierung von Zertifikaten (OCSP = Online Certificate Status Protocol). Damit dieser Mechanismus nutzbar ist, muss diese URL in den AIA-Erweiterungen des Zertifikats eingetragen werden. Der Rollendienst steht unter Windows Server 2008 (und älteren Versionen) nur auf Servern der Enterprise Edition zur Verfügung (ab Server 2012 gibt es diese Unterscheidung nicht mehr).
  • Zertifizierungsstellen-Webregistrierung: Wie der Name schon sagt, handelt es sich um einen Webdienst, der die Anforderung von Zertifikaten für interne und externe Clients technisch vereinfacht. Diese Rollendienste stehen übrigens erst seit Windows Server 2008 R2 zur Verfügung.

Abbildung

Abbildung 12.117 Neben der eigentlichen Zertifizierungsstelle sollte die Webregistrierungs- Komponente installiert werden.

Abbildung

Abbildung 12.118 Der Konfigurationsassistent sorgt für die »Feinkonfiguration«.

Die ersten beiden Schritte sind schnell erklärt, aber trotzdem extrem wichtig:

  1. Zunächst entscheiden Sie sich für die Installation einer Unternehmenszertifizierungsstelle. Dies bedeutet, dass diese in das Active Directory integriert wird und somit für Clients leicht auffindbar ist (Abbildung 12.119).

    Abbildung

    Abbildung 12.119 Die Zertifizierungsstelle soll eine Unternehmenszertifizierungsstelle werden.

  2. Auf der zweiten Dialogseite des Installationsassistenten wird definiert, dass eine untergeordnete Zertifizierungsstelle erstellt wird. Die Stammzertifizierungsstelle ist ja bereits eingerichtet worden, eine untergeordnete CA erhält ihr Zertifikat von ebendieser Stammzertifizierungsstelle (Abbildung 12.120).

Abbildung

Abbildung 12.120 Die neue Zertifizierungsstelle ist eine untergeordnete Zertifizierungsstelle.

Auf den nächsten beiden Dialogseiten geht es um die Erstellung des privaten Schlüssels der neuen Zertifizierungsstelle. Da es diese Zertifizierungsstelle bisher noch nicht gab, muss ein neuer Schlüssel erstellt werden (Abbildung 12.121) – das ist so weit einleuchtend.

Auf der folgenden Seite geht es dann um einige kryptografische Einstellungen für den Schüssel. Sie kennen den Dialog bereits von der Konfiguration der Stammzertifizierungsstelle her. Und genauso gilt auch hier, dass Sie insbesondere die Schlüssellänge von 2.048 Bits übernehmen sollten.

Eine höhere Schlüssellänge kann dazu führen, dass Geräte oder Applikationen mit den von dieser Zertifizierungsstelle ausgestellten Zertifikaten nichts anfangen können (Abbildung 12.122)!

Abbildung

Abbildung 12.121 Sie müssen einen neuen Schlüssel erstellen, da es die Zertifizierungsstelle bisher noch nicht gab.

Abbildung

Abbildung 12.122 Wählen Sie für die Konfiguration der Kryptografie diese Angaben.

Im nächsten Schritt wählen Sie einen Namen für die neue Zertifizierungsstelle. Es gilt, dass der Name möglichst prägnant sein sollte. Unter diesem Namen wird die Zertifizierungsstelle im Active Directory veröffentlicht (Abbildung 12.123).

Abbildung

Abbildung 12.123 Geben Sie der Zertifizierungsstelle einen prägnanten Namen.

Da es sich um eine untergeordnete Zertifizierungsstelle handelt, muss ein Zertifikat von der Stammzertifizierungsstelle angefordert werden. Wer bereits ein wenig mehr mit Zertifikaten und Zertifizierungsstellen zu tun hatte, der weiß, dass dazu zunächst eine Anforderung erzeugt werden muss, die von der Stammzertifizierungsstelle signiert werden muss. Die gute Nachricht ist, dass diese Anforderung bereits vom Installationsassistenten erzeugt wird und Sie nur noch einen Speicherort (Pfad und Dateinamen) wählen müssen. Da die Stammzertifizierungsstelle nicht Active Directory-integriert ist, kommt die automatische Übermittlung nicht infrage (Abbildung 12.124).

Nach der Auswahl der Speicherorte für die Zertifikatdatenbank und deren Protokoll (hier nicht abgebildet) wird der Installationsassistent darauf hinweisen, dass die Installation der Zertifizierungsstelle noch nicht abgeschlossen worden ist, da das Zertifizierungsstellenzertifikat von der übergeordneten Zertifizierungsstelle angefordert und eingespielt werden muss (Abbildung 12.125).

Abbildung

Abbildung 12.124 Erstellen Sie die Zertifikatsanforderung in einer Datei.

Abbildung

Abbildung 12.125 Die Installation der Zertifizierungsstelle ist erst abgeschlossen, wenn das von der übergeordneten Zertifizierungsstelle erstellte Zertifikat installiert ist.

Der nächste Schritt ist nun, die Anforderungsdatei (siehe Abbildung 12.126) auf das System zu bringen, auf dem die Stammzertifizierungsstelle betrieben wird. Dies kann entweder per Memory Stick oder Diskette geschehen; und falls die Stammzertifizierungsstelle über eine Netzwerkkarte verfügt, kann die Datei auch über diesen Weg auf die Festplatte des Systems kopiert werden.

Abbildung

Abbildung 12.126 Auf der Stammzertifizierungsstelle wird eine neue Anforderung eingereicht.

Zertifikat anfordern

Wir haben bewusst nicht die Komponenten für die Webregistrierung auf der Stammzertifizierungsstelle installiert, um die Ressourcen zu schonen. Die Anforderung des Zertifikats kann auf zwei Arten eingereicht werden:

  • Im Kontextmenü der Stammzertifizierungsstelle findet sich der Menüpunkt Neue Anforderung einreichen (Abbildung 12.126). Wenn Sie diesen angeklickt haben, erscheint ein Dialog zur Auswahl der Anforderungsdatei.
  • Alternativ können Sie auf der Kommandozeile das Werkzeug certreq aufrufen. Sie kommen zum selben Ergebnis.

Nach dem Einreichen der Anforderung wird es eine ausstehende Anforderung geben, die Sie in der entsprechenden Rubrik des Zertifizierungsstellen-Werkzeugs genehmigen können. Der Menüpunkt heißt Ausstellen, weil Sie eben das Ausstellen des Zertifikats initiieren (Abbildung 12.127).

Abbildung

Abbildung 12.127 Die Anforderung wird genehmigt, und das Zertifikat wird ausgestellt.

Das Ausstellen des Zertifikats wird augenblicklich durchgeführt; es findet sich nun unterhalb des Knotens Ausgestellte Zertifikate. Wenn Sie das Zertifikat öffnen, werden Sie unter anderem zwei Aspekte sehen:

  • Die Gültigkeit des ausgestellten Zertifikats beträgt wie gewünscht 15 Jahre (Abbildung 12.128). Dieser Wert wurde durch den Certutil-setreg-Befehl eingestellt.
  • Weiterhin ist in dem Zertifikat der Sperrlisten-Verteilungspunkt vermerkt (Abbildung 12.129).

Abbildung

Abbildung 12.128 Das Zertifikat für die untergeordnete Zertifizierungsstelle ist erstellt worden und kann nun exportiert werden.

Nun muss das ausgestellte Zertifikat exportiert und auf die Unternehmenszertifizierungsstelle kopiert werden. Dazu wählen Sie in dem Dialog aus Abbildung 12.129 die Funktion In Datei kopieren. In dem daraufhin startenden Assistenten entscheiden Sie sich für den Export im .P7B-Format (Abbildung 12.130).

Die Datei kopieren Sie auf den Server der Unternehmenszertifizierungsstelle.

Abbildung

Abbildung 12.129 Der Sperrlisten-Verteilungspunkt ist wie konfiguriert im Zertifikat angegeben.

Abbildung

Abbildung 12.130 Wählen Sie beim Export des Zertifikats dieses Format.

Zertifikat installieren

Starten Sie nun das Konfigurationswerkzeug der Zertifizierungsstelle auf dem Server der Unternehmenszertifizierungsstelle. Sie werden feststellen, dass die Zertifizierungsstelle derzeit nicht ausgeführt wird – kein Wunder, es ist ja auch noch kein Zertifikat installiert. In den Eigenschaften der Zertifizierungsstelle wählen Sie nun den Menüpunkt Zertifizierungsstellenzertifikat installieren (Abbildung 12.131). Sie müssen die erzeugte P7B-Datei auswählen. Einen Augenblick später ist schon alles erledigt, und das Zertifikat ist installiert.

Abbildung

Abbildung 12.131 Sie können nun das Zertifizierungsstellenzertifikat installieren.

Wenn Sie alles richtig gemacht haben, dürften keine Fehler- oder Warnmeldungen erscheinen. Die häufigsten Probleme sind:

  • Es erscheint eine Fehlermeldung, die besagt, dass das Zertifikat nicht vertrauenswürdig ist. In diesem Fall haben Sie vermutlich das Stammzertifikat nicht dem lokalen Zertifikatsspeicher hinzugefügt (siehe Abschnitt 12.12.2). Im Grunde genommen genügt es, das Zertifikat dem Active Directory hinzuzufügen; das Problem ist allerdings, dass es ein wenig dauert, bis es dann wirklich auf dem Server vorhanden ist.
  • Ein zweite, häufig anzutreffende Meldung ist, dass die Sperrliste nicht überprüft werden konnte. Falls Sie noch nicht den Speicherort der Sperrliste eingerichtet haben, ist das zwar korrekt, andererseits können Sie das Problem umgehen, indem Sie momentan die aktuelle Sperrliste (wie in Abschnitt 12.12.2 gezeigt) dem lokalen Zertifikatsspeicher hinzufügen.

Nach dem erfolgreichen Import des Zertifizierungsstellenzertifikats kann die Zertifizierungsstelle gestartet werden. In den Eigenschaften wird das soeben importierte Zertifikat als Zertifikat Nr. 0 angezeigt (Abbildung 12.132). Die Zertifizierungsstelle ist nun grundsätzlich einsatzbereit.

Da es sich um eine Unternehmenszertifizierungsstelle handelt, ist sie auch als Enrollment Service im Active Directory registriert (Abbildung 12.133). Server und PCs werden sie nun als Online-Zertifizierungsstelle finden, allerdings erst nach einem Neustart (des PCs oder Servers) oder nach der Eingabe von gpupdate /force.

Abbildung

Abbildung 12.132 Hat alles geklappt, startet die Zertifizierungsstelle und verfügt über ein Zertifizierungsstellenzertifikat.

Abbildung

Abbildung 12.133 Die Zertifizierungsstelle ist im Active Directory eingetragen.

Zertifikatvorlagen zuweisen

Wie Sie aus dem bisherigen Verlauf dieses Kapitels bereits wissen, arbeitet die Zertifizierungsstelle mit Zertifikatvorlagen. Wenn Sie eine einstufige Unternehmenszertifizierungsstelle installiert haben, sind die wesentlichen Zertifikatvorlagen bereits hinterlegt; bei einer untergeordneten Zertifizierungsstelle müssen Sie die auszustellenden Zertifikatvorlagen noch auswählen. Diese Aufgabe ist einfacher zu erledigen, als es sich vielleicht zunächst anhört (Abbildung 12.134):

  • Wechseln Sie zum Knoten Zertifikatvorlagen.
  • Wählen Sie den Menüpunkt Neu · Auszustellende Zertifikatvorlage.
  • Es erscheint eine Liste, aus der Sie die benötigten Vorlagen auswählen können, beispielsweise für Benutzer, Computer, Webserver und so weiter.

Abbildung

Abbildung 12.134 Die auszustellenden Zertifikatvorlagen müssen ausgewählt werden.

Vor Server 2012: Abhängig von der Edition

Wenn Sie Betriebssysteme vor Server 2012 verwenden: An dieser Stelle sei nochmals darauf hingewiesen, dass es von der Edition des Betriebssystems abhängt, ob Sie eigene Zertifikatvorlagen erstellen können. Bei der Standard Edition von Windows Server 2008 (R2) stehen nur die Standardvorlagen zur Verfügung, bei der Enterprise Edition können Sie eigene Zertifikatvorlagen erzeugen.

Sperrlisten-Verteilungspunkt und Zugriff auf Stelleninformation definieren

Auf der neu eingerichteten Unternehmenszertifizierungsstelle müssen nun noch der Sperrlisten-Verteilungspunkt und der Ort für den Zugriff auf die Stelleninformation eingerichtet werden. Die Vorgehensweise entspricht der, die ich beim Einrichten der Stammzertifizierungsstelle erläutert habe (Abbildung 12.104 ff.).

Zur Erinnerung sehen Sie hier noch zwei Screenshots.

Abbildung

Abbildung 12.135 Definition eines weiteren Orts für die Sperrliste

Abbildung

Abbildung 12.136 Ein weiterer Ort für den Zugriff auf die Stelleninformation

OCSP

Sie können anstelle oder zusätzlich zu den Sperrlisten auch mit OCSP arbeiten. In Abschnitt 12.11 ist das ausführlich erläutert.


Rheinwerk Computing - Zum Seitenanfang

12.12.4 Sperrlisten-Verteilungspunkt mit ISA Server veröffentlichen Zur vorigen Überschrift

Damit die Sperrlisten extern verfügbar sind, können Sie sie mit dem ISA Server veröffentlichen. Abbildung 12.137 dient als Gedankenstütze: Sie können einfach mit dem Assistenten zur Erstellung einer neuen Website-Veröffentlichungsregel arbeiten.

Abbildung

Abbildung 12.137 Der Webserver mit den Sperrlisten kann mit dem ISA Server veröffentlicht werden.



Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück




Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern


  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen


 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365


Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Rheinwerk-Shop: Linux-Server






 Linux-Server


Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5


Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo