theonlybrand 0 Geschrieben 14. Dezember 2016 Melden Teilen Geschrieben 14. Dezember 2016 Hallo liebe Community, ich bin neu hier und stell mich mal kurz vor:Ich heiße Felix, bin 21 Jahre jung und studiere derzeit Informatik mit der Vertiefungsrichtung Industrielle Automatisierung an der DHBW Heidenheim. Zu meiner Frage:Ich soll in meinem Praxisunternehmen eine PKI zur internen Zertifizierung aufbauen, ich hatte mir dabei gedacht eine RootCA, sowie zwei SubCA´s zu erstellen, Hintergedanke dabei ist, dass ich erst über eine SubCA die interne Zertifizierung übernehme, und später dann die zweite SubCA dafür nutze, um unseren Kunden ebenfalls Zertifikate ausstellen zu können. Frage #1: Ist mein Grundgedanke der richtige oder hab ich irgendwo einen Denkfehler? Frage #2: Funktioniert das mit Windows Server 2016 (oder älter) oder muss ich dafür auf Linux umsteigen? Frage #3: Können die beiden SubCA´s einmal in der Domäne liegen und einmal außerhalb? Danke schonmal im Voraus :)Freundliche Grüße theonlybrand Zitieren Link zu diesem Kommentar
Beste Lösung Dunkelmann 96 Geschrieben 14. Dezember 2016 Beste Lösung Melden Teilen Geschrieben 14. Dezember 2016 Moin und Willkommen ;) , der Ansatz klingt plausibel. Bei der Root CA solltest Du eine Offline Root einsetzen; Du hast es nicht explizit erwähnt. PKI läuft unter Windows wunderbar, es muss kein Linux sein. Bei Server 2016 wäre ich so kurz nach Release nocht etwas zurückhaltend und würde eher auf 2012 R2 setzen. Eine spätere Migration auf ein neues OS ist i.d.R. kein Hexenwerk. Eine Sub CA in der Domäne und eine Sub CA ohne Domäne ist kein Problem. Hier sollte bedacht werden, dass Zertifikatsvorlagen nur für AD integrierte CAs genutzt werden können und dass die Veröffentlichung der Sperrlisten etwas aufwändiger sein kann. Es hängt primär von den genauen Anforderungen ab. Eine AD integrierte CA kann auch Zertifikate für Externe (Kunden, Partner, etc.) ausstellen. Der obligatorische Buchtip: Brian Komar - PKI & Certificate Securiry Auch wenn es für Server 2008 geschrieben wurde, sind viele Grundlagen zu Design und Technik noch immer anwendbar. 1 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 14. Dezember 2016 Melden Teilen Geschrieben 14. Dezember 2016 Moin, zu ergänzen ist: Ordentlich und in Ruhe planen. Und die Anforderungen klären. Wenn man eine PKI unpassend aufsetzt, kann das später viel Aufwand bedeuten. Und am Ende geht es um Sicherheit - das sollte man nicht nebenbei machen. Ohne dir zu nahe treten zu wollen, würde ich einem Umternehmen auch nicht unbedingt raten, eine PKI von einem Praktikanten bzw. Jungstudenten planen und aufbauen zu lassen ... hoffentlich gesteht man dir ausreichend Zeit und Ressourcen zu. Gruß, Nils Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 15. Dezember 2016 Autor Melden Teilen Geschrieben 15. Dezember 2016 Vielen Dank euch, Habe bis Ende März Zeit dafür und kümmere mich in dieser Zeit ausschließlich darum. Bis dahin sollte die interne Zertifizierung funktionieren. Ich weiss auch nicht genau wie sich mein "Ausbilder" das vorstellt, er hat nur gemeint "Mach einfach mal". Anforderungen zu klären fällt da schwer, da ich alles auf eigenverantwortlicher Basis errichten soll, das ist der Punkt den ich hier nicht so ganz verstehe. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 15. Dezember 2016 Melden Teilen Geschrieben 15. Dezember 2016 Moin, der Zeitrahmen ist dann schon OK. Dass es keine Anforderungen gibt, ist in der IT typisch, aber nicht OK. Daher mein Rat: Arbeite dich in die logischen Hintergründe des Themas ein und entwickle daraus Fragen, die zur Definition von Anforderungen dienen. Das ist dann mindestens ein Thema auf Ebene der IT-Leitung, je nach Unternehmen durchaus auch ein Thema für die Leitungsebene von Fachabteilungen oder sogar dem C-Level. Dort natürlich nicht im technischen Detail, aber in den Anforderungs- und Nutzungsszenarien sowie in den organisatorischen Konsequenzen. Erst wenn das steht, kann man ein PKI-Design sinnvoll bauen. Das muss trotzdem keine Raketenwissenschaft sein, aber wie gesagt: Man baut dort sehr leicht etwas, das dann nicht passt. Besorg dir das Komar-Buch, das gibt es nur noch antiquarisch oder als E-Book, aber insbesondere die Hintergründe sind darin hervorragend dargestellt. Die technischen Details sind nicht mehr alle aktuell, aber im Wesentlichen auch noch zutreffend. Gruß, Nils Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 15. Dezember 2016 Autor Melden Teilen Geschrieben 15. Dezember 2016 Danke Nils für deine schnelle Antwort! Ich lass diesen Thread hier mal offen, vllt kommen mir noch ein paar Fragen. Grüße Felix Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 15. Dezember 2016 Melden Teilen Geschrieben 15. Dezember 2016 Nils hat es schon treffend beschrieben. Erst den organisatorischen Rahmen definieren und danach die technische Lösung planen, validieren und erst dann produktiv setzen. Zur Vorbereitung der Orga kann auch ein Blick in diverse öffentlich zugängliche CP und CPS (Certificate Policy, Certificate Practice Statement) nicht schaden. Bei Microsoft, DFN, Bundesbank, etc. gibt es etwas: https://www.microsoft.com/pki/mscorp/cps/ https://www.pki.dfn.de/policies/ http://www.bundesbank.de/Navigation/DE/Service/Services_Banken_und_Unternehmen/PKI/CP_und_CPS/cp_und_cps.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.