StefanWe 14 Geschrieben 14. Januar 2019 Melden Teilen Geschrieben 14. Januar 2019 Hallo, wir stellen für Benutzer Zertifikate zur Authentifizierung am VPN Gateway aus. Nun ist es so, wenn ein Benutzer sich an drei Geräten anmeldet, wird drei mal automatisch für den Benutzer ein Zertifikat ausgerollt und lokal auf dem Rechner gespeichert. Als CA wird ein Win 2016 als 2 Tier genutzt. Gibt es eine Möglichkeit, dass beim ersten Ausstellen eines Benutzerzertifikates dieses samt priv Key in der CA DB gespeichert wird und beim Anfordern von einem anderen Rechner das gleiche Zertifikat ausgerollt wird? Oder wie handhaben das andere Unternehmen ? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. Januar 2019 Melden Teilen Geschrieben 14. Januar 2019 Hier gabs neulich einen Thread zum Thema Roaming Profiles und Credential Roaming. Deine Vorstellung oben funktioniert meines Erachtens nicht. Wer will denn bitte den private Key in der DB? Den sieht die CA ja nie. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 14. Januar 2019 Melden Teilen Geschrieben 14. Januar 2019 (bearbeitet) Moin, hier sollte man sich genau ansehen, was man braucht und was technisch passiert. In dem VPN-Szenario wird das Zertifikat für die Traffic-Verschlüsselung verwendet, also sozusagen "nur ad-hoc". Es ist daher grundsätzlich unproblematisch, wenn auf verschiedenen Rechnern unterschiedliche Zertifikate für denselben User vorliegen. Da die verschlüsselten Daten nicht gespeichert werden, müssen sie nicht zu einem späteren Zeitpunkt entschlüsselt werden. Daher kann man den derzeitigen Zustand, den du beschreibst, für dieses Szenario durchaus akzeptieren. Anders sieht es aus, wenn die verschlüsselten Daten gespeichert werden, etwa bei der Mail- oder Dateiverschlüsselung. In dem Fall ist es unabdingbar, dass derselbe User immer dasselbe Zertifikat verwendet. Hier kann Credential Roaming eine Lösung sein. Andere Ansätze verzichten in solchen Situationen darauf, dass derselbe User verschiedene Rechner verwendet. Noch eine Variante wäre, den Private Key gar nicht auf dem Rechner zu halten, sondern auf einer Smartcard - das setzt aber drumrum natürlich einiges an Infrastruktur voraus. Was nicht hilft, ist das Speichern des Private Keys in der CA-Datenbank. Zwar bietet die Windows-CA so eine Option (Key Archival), die ist aber nur für Recovery-Zwecke vorgesehen und würde in dem Roaming-Szenario gar nicht helfen (weil der Client nicht auf die Idee käme, dort zu suchen). Daher in der Regel Finger weg davon - Key Recovery benötigt man nur, wenn verschlüsselte Daten aufbewahrt werden und auch dann nur für den Recovery-Prozess, der dann genau definiert und speziell abgesichert sein muss. Gruß, Nils bearbeitet 14. Januar 2019 von NilsK 1 Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2019 Autor Melden Teilen Geschrieben 15. Januar 2019 @Nils: Vielen Dank. Hab ich mir schon gedacht. Wie unterscheide ich denn zwischen Benutzerzertifikaten für VPN Einwahl und zum Beispiel Zertifikaten für E-mail Verschlüsselung oder Signierung ? Über unterschiedliche Issuing CA's ? Weil Verwendungszweck Clientauth ist es ja in beiden fällen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 15. Januar 2019 Melden Teilen Geschrieben 15. Januar 2019 Anhand des Verwendungszwecks der ausgestellten Zertifikate? ;) Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2019 Autor Melden Teilen Geschrieben 15. Januar 2019 vor 2 Stunden schrieb NorbertFe: Anhand des Verwendungszwecks der ausgestellten Zertifikate? ;) Der ist ja nur Client authentication oder Server auth. Und sowohl vpn als auch für E-Mail brauch ich Client auth Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 15. Januar 2019 Melden Teilen Geschrieben 15. Januar 2019 Nö für emailsignatur brauchst du sichere E-Mail oder so ähnlich. ;) „Digital Signature and Key Encipherment“ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.