CA-Server hochverfügbar

[pairosilva 10]

Hallo!

 

Wieder benötige ich eure Hilfe, da mir das www nicht behilflich war bei der Suche.

 

Wie kann realisiert werden, dass der CA-Server ausfallsicher gemacht wird?

Wenn der CA-Server1 ausfällt soll der CA-Server2 (anderer Standort gleiches Netz über Gbit-Leitung) übernehmen.

 

Gibt es wie bei dem AD das DFS, eine einfache Möglichkeit dies zu bewerkstelligen. Etwaige Links würden mir schon helfen.

 

Herzlichen Dank!

 

LG pairosilva

[ingo.O 10]

hallo,

wenn du es als unternehmenszertifizierungsstelle machst, ist es ad integriert und repliziert sich übers ad, klar natürlich das die zertifizierungsstellen dann auf dc's laufen müssen.

[olc 18]

Hallo,

 

Wenn der CA-Server1 ausfällt soll der CA-Server2 (anderer Standort gleiches Netz über Gbit-Leitung) übernehmen.

 

Gibt es wie bei dem AD das DFS, eine einfache Möglichkeit dies zu bewerkstelligen. Etwaige Links würden mir schon helfen.

 

Meines Wissens ist dies nicht möglich, soll heißen die Windows CAs können nicht als Cluster-Applikation laufen. Daher wird es wohl eher schwierig (mit MS Produkten wahrscheinlich sogar unmöglich) das zu gewährleisten. Im Normalfall ist jedoch ein temporärer Ausfall einer CA nicht unbedingt kritsch, wenn auch nicht gut oder wünschenswert. Im Grunde sollte also die CA vor Ausfall geschützt werden, jedoch muß dies nicht zeitkritisch erfolgen.

 

wenn du es als unternehmenszertifizierungsstelle machst, ist es ad integriert und repliziert sich übers ad, klar natürlich das die zertifizierungsstellen dann auf dc's laufen müssen.

 

Das ist nicht ganz korrekt. Zwar lassen sich die Zertifikate der Benutzer im AD publishen als auch die Zertifikate der Root / Issung CAs etc., jedoch hat dies nichts mit der Funktionalität des Ausstellens / revoken etc. zu tun.

D.h. bei einem Ausfall einer CA können z.B. keine CRLs mehr veröffentlicht werden, keine Zertifikate zurückgerufen und auch keine neuen ausgestellt werden. Im Normalfall kommt es also spätestens nach dem Aublauf der aktuellen CRLs in der Umgebung zu ersten Problemen. Dies bezieht sich natürlich nur auf die ausgefallene CA - sind mehrere CAs vorhanden, können diese erst einmal weiterarbeiten. Jedoch haben diese nichts mit den ausgestellen Zertifikaten / CRLs etc. der jeweils ausgefallenen CA zu tun.

 

Zum Punkt, daß CAs auf DCs laufen sollen und damit Ausfallsicherheit bieten, ist nichts zu sagen, außer daß es falsch ist. ;) Grundsätzlich ist sogar zu empfehlen (wie bei vielen anderen Diensten auch), daß Du eine CA gerade nicht auf einem DC installierst.

 

Viele Grüße

olc

[ingo.O 10]

ja war ungünstig ausgedrückt, ich dachte eher an eine struktur mit subzertifikatstellen. da ist es ja nicht ganz so tragisch wenn die ca mal ausfällt, diese subs kann man doch aber ad seitig laufen lassen, oder?

[Lian 2.479]

Welche Anforderungen (SLA/Uptime/Verfügbarkeit) hast Du an die CA?

 

Geht es Dir wirklich um erhöhte Verfügbarkeit/Hochverfügbarkeit oder um Disaster Recovery?

[grizzly999 11]

Bei 2008 kann man eine Enterprise CA clustern. Wird supportet und auch von Brian Komar in seinem neuen Buch zur 2008 PKI ausführlich beschrieben ;)

 

 

grizzly999

[pairosilva 10]

Danke wiedermal für die ausführliche Hilfe!

 

@Lian: Es muss einfach "immer" ein CA-Server verfügbar sein.

[Lian 2.479]

Bei Windows Server 2003 geht es mit der Datacenter Edition auch (untested) ;)

[pairosilva 10]

Bei Windows Server 2003 geht es mit der Datacenter Edition auch (untested) ;)

 

Wie meinst du das genau "geht es auch". So wie von grizzly999 beschrieben?

[Lian 2.479]

Siehe:

 

Data Center Edition

An enterprise CA running on Windows Server 2003, Data Center Edition has the same functionality as an enterprise CA running on Enterprise Edition, with the following exception: Certificate Services can be clustered for fault tolerance. Of course, not many of use have the funds available to purchase two Data Center licenses.

Brian's Security Blog: Certificate Services and Windows Server 2003 Versions

[Velius 10]

@pairosilva

 

Entweder nach Double Take oder Neverfail googeln, die helfen bestimmt.;)

[olc 18]

@ grizzly999 und Lian: Coole Sache - wußte nicht, daß das funktioniert (zumindest mit sehr teuren oder recht neuen Anschaffungen ;) ). Gut zu wissen.

 

@pairosilva: Trotz all der Vorschläge möchte ich noch einmal fragen, was der Sinn der Sache sein soll. Um wie viele Benutzer handelt es sich denn? Warum muß es in jedem Fall soetwas wie ein Cluster oder "Spiegel" sein? Gibt es dafür einen konkreten Grund oder nur den Grund "Chefe hat das so gesagt."?

 

Wie oben schon angemerkt ist es im Normalfall weniger kritisch, wenn die CA für einen begrenzten Zeitraum nicht verfügbar ist.

 

Viele Grüße

olc

[nerd 28]

Hi,

 

auch wenn ich ein Fan von Hochverfügbar bin - so hab ich das bei einer CA bis jetzt auch noch nie in Erwägung gezogen. Daher würde mich wie olc auch schon der Einsatzzweck der CA interessieren der dies notwendig macht.

 

... was ich schon gesehen habe und was in großen Umgebungen bzw. kritischen Umgebungen auch umgesetzt wird, ist dass die CRL's auf einem extra Server veröffentlicht werden - dieser wird dann als cluster verfügbar gemacht. Auf die Neuausstellung von Zertifikaten können die meisten für ein paar Stunden verzichten ohne ein Risiko einzugehen - keine (aktuelle) CRL zu haben könnte allerdings zu Problemen führen.

 

Viele Grüße

[Lian 2.479]

Ja, sehe ich auch so - daher meine Frage in Post #5

[grizzly999 11]

auch wenn ich ein Fan von Hochverfügbar bin - so hab ich das bei einer CA bis jetzt auch noch nie in Erwägung gezogen. Daher würde mich wie olc auch schon der Einsatzzweck der CA interessieren der dies notwendig macht.

 

Hi nerd,

 

z.B. bei einem Kunden von mir, bei dem rd. 2.500 Außendienstler über VPN und Zertifikate angebunden werden sollen. Zudem gibt es da eine sehr hohe Fluktuation, d.h., es kann sein dass zeitweise täglich neue Zertifikate für neue ADler augestellt oder von der austellenden CA für gehende ADler gesperrt werden müssen. Da sollte die CA immer verfügbar sein.

 

Grüße

 

Claus