bastianu 0 Geschrieben 5. März 2016 Melden Teilen Geschrieben 5. März 2016 Erstmal Hallo an alle! Vorweg, ich bin mit WindowsCA noch nicht sehr vertraut, eher gerade beim einlesen. Ich stehe vor folgendem Problem: Wir benötigen die Möglichkeit Zertifikate (sei es für VPN, dot1x, TS-Access...) effektiv sperren zu können. Dies soll auch den Fall beinhalten dass sofern ein Client abhanden kommt sein Zertifikat gesperrt wird und er zB keine VPN mehr aufbauen kann. Aus diesem Grund muss ich meines Wissens die PKI auch online verfügbar machen. Ich habe nun schon einige Artikel gelesen, bin mir aber hier nicht ganz sicher was die Sicherheit und den Aufbau betrifft. Unsere Windows PKI soll sich dann aus einer RootCA und einen Online-Responder zusammensetzen. Online-Responder da wenn ich richtig informiert bin dies eine effektivere Methode ist um Zertifikate zu sperren (zumindes inbezugnahme auf Sperrlisten und deren Abrufintervall). Wo ich auch nicht ganz sicher bin, sollte man hier mit einem mehrstufigen Architektur arbeiten? Die RootCA steht ja im internen Netz, desweiteren möchte ich noch in einer DMZ einen Server platzieren der die Anfragen aus dem Internet annimmt und an die RootCA weitergibt. Oder kann dies evtl. schon der OnlineResponder?? Bzw. würde hier auch schon ein Reverse-Proxy ausreichen?? Ich danke euch für eure Unterstützung! Bastian Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 5. März 2016 Melden Teilen Geschrieben 5. März 2016 (bearbeitet) Moin, eine PKI besteht zum größten Teil aus Organisation und nicht aus Technik. Eine PKI wird auf eine Lebensdauer von 10 oder mehr Jahren ausgelegt. Gute Planung und Dokumentation sind unumgänglich. Ich spare mir mal großartige Ausführungen. Eine PKI sollte mindestens zwei Ebenen umfassen. Eine offline Root CA und ein oder mehrere Policy/Issuing CA. Je nach Anforderungen der Organisation können auch drei Ebenen sinnvoll sein. Offline Root CA, Offline Policy CA und online Issuing CA Was den Rest anbelangt, empfehle ich einen Blick in das Buch von Brian Komar - PKI and Certificate Security (ISBN-10: 0735625166, ISBN-13: 978-0735625167) Es bezieht sich zwar auf Server 2008 aber die meisten Designaspekte sind immer noch gültig. bearbeitet 5. März 2016 von Dunkelmann Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 5. März 2016 Melden Teilen Geschrieben 5. März 2016 Wo ich auch nicht ganz sicher bin, sollte man hier mit einem mehrstufigen Architektur arbeiten? Die RootCA steht ja im internen Netz, desweiteren möchte ich noch in einer DMZ einen Server platzieren der die Anfragen aus dem Internet annimmt und an die RootCA weitergibt. Oder kann dies evtl. schon der OnlineResponder?? Bzw. würde hier auch schon ein Reverse-Proxy ausreichen?? Da hast du einen Wurm in deiner Logik! Eine CA-Struktur arbeitet nicht wie etwa DNS mit Delegations oder Forwarding. Eine RootCA sichert mit einem von ihr ausgestellten Certificaten eine oder mehrere SubCAs. Die RootCA wird häufig danach sogar heruntergefahren und nur wieder hochgefahren, wenn weitere Zertifikate für SubCAs benötigt werden, oder nach 20 Jahren das Rootzertifikat erneuert werden muss. Die entscheidende Frage zur Strategie: Soll die PKI nur für eure eigenen Maschinen in einigermaßen, überschaubarer Größenordnung Zertifikate ausstellen? Dann bau dir eine Testumgebung auf, hol dir das oben empfohlene Buch und arbeite dich in das Thema ein. Wenn ihr später mal feststellt, dass das PKI-Design doch nicht so passt, dann reißt die PKI eben wieder ein und machts beim nächsten Versuch besser. Learning by doing -> kein großes Problem. Soll die PKI aber auch Zertifikate für User oder gar Kunden ausstellen, dann muss der bereits der erste Entwurf sitzen, weil sonst wirds peinlich und ggf. auch rechtlich problematisch. Da würde ich mir Beistand von jemandem holen, der nciht zum ersten Mal eine PKI aufsetzt. Eine Entscheidung ist z.B., ob man selbst die gesamte PKI hostet oder Teile wie die RootCA davon einkauft. etc... blub Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 5. März 2016 Melden Teilen Geschrieben 5. März 2016 Moin, baue dir eine dreistufige CA auf. Die eigentliche Root CA ist dabei stets offline und niemals online. Danach baust du die eigentliche CA der Firma und darunter die Issuer CA. Die letzten beiden können online sein (mit entsprechender Sicherung durch Firewall ect.) Einige Firmen gehen jedoch dazu über nur die Issuer CA nebst RCL online zu stellen, da bei einem möglichen Einbruch oder Attacke auf diese CA einfach die zweite CA wieder herangezogen werden kann und die PKI somit bestehen bleibt und nur die Issuer CA neu aufgebaut werden muss. Das machen zB GeoSign und OpenTrust so. Das genannte Buch kann ich ebenfalls nur empfehlen. Zum experimentieren muss es jedoch nicht umbedingt direkt ein Windows Server sein. Alle notwendigen Dinge kannst du zB mit xca auf deinem Client testen. Wichtig ist hier, dass du darauf achtest, dass du Zertifikate auch wieder löscht. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. März 2016 Melden Teilen Geschrieben 5. März 2016 Für den VPN-Fall musst du nichts online stellen. Es genügt wenn dein VPN-Endpunkt die Sperrliste hat. Du brauchst die Liste nur online wenn es Geräte oder Anwendungen gibt welche auf eure Zertifikate vertrauen und welche NICHT unter eurer Kontrolle sind oder wenn du davon ausgehst Zertifikate wie z.B. vom VPN-Endpunkt zurückziehen zu müssen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. März 2016 Melden Teilen Geschrieben 5. März 2016 Wenn Direct Access in Verwendung sein sollte, muß die CRL online zur Verfügung stehen afair. Zitieren Link zu diesem Kommentar
bastianu 0 Geschrieben 6. März 2016 Autor Melden Teilen Geschrieben 6. März 2016 hallo... danke für eure Antworten. nein, steht nicht direkt online. sollte es über einen reverse-proxy ein sicherheitsproblem darstellen oder geht die verbindung https nach außen offen klar? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. März 2016 Melden Teilen Geschrieben 6. März 2016 Per https eine crl bereitzustellen ist eher unüblich. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.