Grundlegendes einer Zertifizierungsstellen (CA)

Bevor Sie mal eben schnell eine CA einrichten, sollten Sie vorher über ein paar Dinge nachdenken. Ist eine Interne CA überhaupt, dass was Sie benötigen? Ergeben sich aus Ihren Sicherheitsanforderungen der Bedarf nach einer Offline Root-CA? Sollen / müssen die Zertifikate im Internet auf Ihre Gültigkeit geprüft werden können? Welche Arten von Zertifikaten benötigen Sie? Welche Menge an Zertifikaten benötigen Sie?

Fangen wir mal an die Fragen zu erörtern.

Intern oder Extern? Was sind die Vorteile und was sind die Nachteile?

Interne CA Externe CA Interne Sub-CA einer Externen
Einfach zu erstellen Zertifikate müssen meistens einzeln Beschafft werden Wird von wenigen Anbietern angeboten
Es können für alle möglichen Verwendungszwecke Zertifikate erzeugt werden Die Art der Zertifikate hängt von dem Anbieter ab. Meistens nur SSL, Mail und Softwaresignatur Zertifikate Es können für alle möglichen Verwendungszwecke Zertifikate erzeugt werden, die die Übergeordnete CA erlaubt.
Kann einfach in ein Active Directory integriert werden Administration meistens über eine Webseite Kann einfach in ein Active Directory integriert werden
Zertifikate sind kostenlos Meistens muss pro Zertifikat bezahlt werden Zertifikate sind meistens kostenlos, aber hohe Initialkosten
Automatisches erstellen und Verteilen bei Integration in das Active Directory möglich Manuelle Integration notwendig Automatisches erstellen und Verteilen bei Integration in das Active Directory möglich
Es können auch Zertifikate für nicht “offizielle” TLDs wie .local oder .intern ausgestellt werden Nur für Offizielle Domains möglich, die meisten CAs prüfen auch die Inhaberschaft Es können auch Zertifikate für nicht “offizielle” TLDs wie .local oder .intern ausgestellt werden. Dies kann aber auch durch Vorgaben eingeschränkt sein.
CA muss zu den Vertrauten CAs hinzugefügt werden um Warnung zu verhindern Wenn der Anbieter in den Listen der Vertrauten CAs der Hersteller enthalten ist, sind keine weiteren Schritte notwendig Wenn der Anbieter der übergeordneten CA in den Listen der Vertrauten CAs der Hersteller enthalten ist, sind keine weiteren Schritte notwendig

Was ist eine Offline CA?

Bei einer Offline / Standalone Root CA wird zuerst eine Übergeordnete CA erstellt die keine Verbindung zum Netz hat, das bedeutet der Server ist auch kein Domänenmitglied. Typischer weise eine VM die exportiert wird nach den notwendigen Schritten und in einen Tresor gelegt wird. Diese CA hat nur die Aufgabe ein Sub-CA Zertifikat auszustellen und dieses zu gegebener Zeit zu erneuern. Wenn die Sub-CA kompromittiert wird, kann die Übergeordnete CA das Sub-CA Zertifikat wiederrufen. Dies ist eigentlich nur notwendig, wenn sich andere auf die Zertifikate verlassen können müssen. Dann sollten Sie aber auch noch weiter Schutzmaßnahmen treffen. Für eine rein Intern genutzte CA (z.B. für VPN, oder 802.1x) ist dieser Mehraufwand selten notwendig, aber trotzdem eine Best-Practise Empfehlung.

Prüfpunkte für die Gültigkeit von Zertifikaten

Je nach dem was Sie mit den Zertifikaten vorhaben, verlangen die Dienste das geprüft werden kann, ob in Zertifikat noch gültig ist. Diese Prüfpunkte werden bei der Erstellung der Zertifikate im Zertifikat hinterlegt. Neben der Möglichkeit diese Listen im Active Directory zu speichern, bietet sich für Systeme die sich nicht innerhalb der eigenen Netzwerkgrenzen befinden ein zusätzlicher Webserver an. Dieser sollte optimaler Weise von überall erreichbar sein. Was genau an Prüfpunkten und Protokollen Sie benötigen, hängt wie so oft von Ihren Anforderungen ab.

Welche Arten von Zertifikaten benötigen Sie?

Wenn Sie noch nicht genau wissen für was Sie alles Zertifikate brauchen, hat eine Interne CA Vorteile. Wichtig ist, diese kann (Ohne Abstriche an der Usability) selten für “externe” Zwecke eingesetzt werden, es sei denn, alle die Zertifikate nutzten fügen Ihre CA zu den Vertrauenswürdigen CAs hinzu. Brauchen Sie hingegen nur ein Zertifikat für Ihre Homepage oder der öffentlichen Adresse Ihres Exchange Servers, so sind Zertifikate von einer Externen CA meistens der beste Weg. Möchten Sie mit S/MIME digital Signierte Mail für alle Ihrer Mitarbeiter zur Kommunikation nach extern umsetzten, dürfte meistens eine Interne Sub-CA einer Externen CA der beste Weg sein.

Welche Menge an Zertifikaten benötigen Sie?

Ab wie vielen Zertifikaten es sich lohnt eine interne CA oder Sub-CA aufzubauen, kann man so nicht sagen. Wenn aber alle 50 Computer ein Zertifikat benötigen, dann sollten Sie definitiv über eine der Internen Lösungen nach denken.

Update:

Alle 3 Teile dieser Serie sind zusammen als PDF im Microsoft TechNet zum kostenlosen Download verfügbar.

Please wait...

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs und arbeitet bei der steep GmbH in Bonn. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte und Historische Lieder.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.