Jump to content

Windows PKI online verfügbar machen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Erstmal Hallo an alle!

 

Vorweg, ich bin mit WindowsCA noch nicht sehr vertraut, eher gerade beim einlesen. Ich stehe vor folgendem Problem:

 

Wir benötigen die Möglichkeit Zertifikate (sei es für VPN, dot1x, TS-Access...) effektiv sperren zu können. Dies soll auch den Fall beinhalten dass sofern ein Client abhanden kommt sein Zertifikat gesperrt wird und er zB keine VPN mehr aufbauen kann.

Aus diesem Grund muss ich meines Wissens die PKI auch online verfügbar machen.

Ich habe nun schon einige Artikel gelesen, bin mir aber hier nicht ganz sicher was die Sicherheit und den Aufbau betrifft.

 

Unsere Windows PKI soll sich dann aus einer RootCA und einen Online-Responder zusammensetzen. Online-Responder da wenn ich richtig informiert bin dies eine effektivere Methode ist um Zertifikate zu sperren (zumindes inbezugnahme auf Sperrlisten und deren Abrufintervall).

 

Wo ich auch nicht ganz sicher bin, sollte man hier mit einem mehrstufigen Architektur arbeiten?

Die RootCA steht ja im internen Netz, desweiteren möchte ich noch in einer DMZ einen Server platzieren der die Anfragen aus dem Internet annimmt und an die RootCA weitergibt. Oder kann dies evtl. schon der OnlineResponder?? Bzw. würde hier auch schon ein Reverse-Proxy ausreichen??

 

Ich danke euch für eure Unterstützung!

 

Bastian

Link zu diesem Kommentar

Moin,

 

eine PKI besteht zum größten Teil aus Organisation und nicht aus Technik.

Eine PKI wird auf eine Lebensdauer von 10 oder mehr Jahren ausgelegt. Gute Planung und Dokumentation sind unumgänglich.

 

Ich spare mir mal großartige Ausführungen.

  • Eine PKI sollte mindestens zwei Ebenen umfassen. Eine offline Root CA und ein oder mehrere Policy/Issuing CA.
  • Je nach Anforderungen der Organisation können auch drei Ebenen sinnvoll sein. Offline Root CA, Offline Policy CA und online Issuing CA

Was den Rest anbelangt, empfehle ich einen Blick in das Buch von Brian Komar - PKI and Certificate Security (ISBN-10: 0735625166, ISBN-13: 978-0735625167) Es bezieht sich zwar auf Server 2008 aber die meisten Designaspekte sind immer noch gültig.

bearbeitet von Dunkelmann
Link zu diesem Kommentar

Wo ich auch nicht ganz sicher bin, sollte man hier mit einem mehrstufigen Architektur arbeiten?

Die RootCA steht ja im internen Netz, desweiteren möchte ich noch in einer DMZ einen Server platzieren der die Anfragen aus dem Internet annimmt und an die RootCA weitergibt. Oder kann dies evtl. schon der OnlineResponder?? Bzw. würde hier auch schon ein Reverse-Proxy ausreichen??

Da hast du einen Wurm in deiner Logik! Eine CA-Struktur arbeitet nicht wie etwa DNS mit Delegations oder Forwarding. Eine RootCA sichert mit einem von ihr ausgestellten Certificaten eine oder mehrere SubCAs. Die RootCA wird häufig danach sogar heruntergefahren und nur wieder hochgefahren, wenn weitere Zertifikate für SubCAs benötigt werden, oder nach 20 Jahren das Rootzertifikat erneuert werden muss.

 

Die entscheidende Frage zur Strategie: Soll die PKI nur für eure eigenen Maschinen in einigermaßen, überschaubarer Größenordnung Zertifikate ausstellen? Dann bau dir eine Testumgebung auf, hol dir das oben empfohlene Buch und arbeite dich in das Thema ein. Wenn ihr später mal feststellt, dass das PKI-Design doch nicht so passt, dann reißt die PKI eben wieder ein und machts beim nächsten Versuch besser. Learning by doing -> kein großes Problem.

Soll die PKI aber auch Zertifikate für User oder gar Kunden ausstellen, dann muss der bereits der erste Entwurf sitzen, weil sonst wirds peinlich und ggf. auch rechtlich problematisch. Da würde ich mir Beistand von jemandem holen, der nciht zum ersten Mal eine PKI aufsetzt. Eine Entscheidung ist  z.B., ob man selbst die gesamte PKI hostet oder Teile wie die RootCA davon einkauft. etc...

 

blub

Link zu diesem Kommentar

Moin,

baue dir eine dreistufige CA auf. Die eigentliche Root CA ist dabei stets offline und niemals online. Danach baust du die eigentliche CA der Firma und darunter die Issuer CA. Die letzten beiden können online sein (mit entsprechender Sicherung durch Firewall ect.) Einige Firmen gehen jedoch dazu über nur die Issuer CA nebst RCL online zu stellen, da bei einem möglichen Einbruch oder Attacke auf diese CA einfach die zweite CA wieder herangezogen werden kann und die PKI somit bestehen bleibt und nur die Issuer CA neu aufgebaut werden muss. Das machen zB GeoSign und OpenTrust so. Das genannte Buch kann ich ebenfalls nur empfehlen. Zum experimentieren muss es jedoch nicht umbedingt direkt ein Windows Server sein. Alle notwendigen Dinge kannst du zB mit xca auf deinem Client testen. Wichtig ist hier, dass du darauf achtest, dass du Zertifikate auch wieder löscht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...