Entwerfen und Implementieren von AD CS

  • 14 Minuten

Es ist wichtig sicherzustellen, dass Sie die interne Zertifizierungsstelle optimal entwerfen. Ihr Entwurf hat erhebliche Auswirkungen auf die Sicherheit und die betrieblichen Aspekte Ihrer PKI-Umgebung.

Entwerfen der AD CS-basierten Hierarchie

Vor der Implementierung von AD CS sollten Sie zunächst die ZS-Hierarchie entwerfen. Im Rahmen Ihres Entwurfs müssen Sie entscheiden, wie viele ZS-Ebenen Sie benötigen und welchen Zweck die Zertifizierungsstellen auf den einzelnen Ebenen haben sollen. Es wird nicht empfohlen, eine ZS-Hierarchie mit mehr als drei Ebenen zu erstellen, falls es sich nicht um eine komplexe, äußerst sichere oder verteilte Umgebung handelt. In den meisten Fällen verfügen ZS-Hierarchien über zwei Ebenen: auf oberster Ebene die Stammzertifizierungsstelle und auf der zweiten Ebene eine untergeordnete ausstellende Zertifizierungsstelle. Normalerweise verwenden Sie die Stammzertifizierungsstelle zum Erstellen der ZS-Hierarchie. In einem solchen Fall bleibt die Stammzertifizierungsstelle offline, während Sie die untergeordnete Zertifizierungsstelle zum Ausstellen und Verwalten von Zertifikaten nutzen.

Hinweis

Eine ZS-Hierarchie mit mehreren Ebenen ist nicht obligatorisch. Für kleinere, weniger komplexe Umgebungen können Sie auch nur eine Stammzertifizierungsstelle implementieren. In diesem Fall stellt die Stammzertifizierungsstelle auch die Ausstellungs- und Verwaltungsfunktionen für die Zertifikate bereit.

Einige komplexere Zertifizierungsstellenentwürfe enthalten Folgendes:

  • ZS-Hierarchien mit einer Richtlinienzertifizierungsstelle. Richtlinienzertifizierungsstellen sind untergeordnete Zertifizierungsstellen, die sich in der ZS-Hierarchie direkt unter der Stammzertifizierungsstelle und vor anderen untergeordneten Zertifizierungsstellen befinden. Richtlinienzertifizierungsstellen werden verwendet, um Zertifizierungsstellenzertifikate für die untergeordneten Zertifizierungsstellen auszustellen. Die Zertifizierungsstellenzertifikate entsprechen den Richtlinien und Verfahren, die eine Organisation zum Schutz ihrer PKI, der Prozesse zum Überprüfen der Identität des Zertifikatbesitzers sowie zum Erzwingen der Verfahren zum Verwalten von Zertifikaten implementiert. Eine Richtlinienzertifizierungsstelle stellt nur für andere Zertifizierungsstellen Zertifikate aus. Die Zertifizierungsstellen, die diese Zertifikate erhalten, müssen die von der Richtlinienzertifizierungsstelle definierten Richtlinien einhalten und erzwingen. Die Verwendung von Richtlinienzertifizierungsstellen ist nicht obligatorisch, sofern Ihre Organisation nicht über verschiedene Abteilungen, Sektoren oder Standorte verfügt, für die andere Ausstellungsrichtlinien und Verfahren erforderlich sind. So kann eine Organisation beispielsweise eine Richtlinienzertifizierungsstelle für alle intern an Mitarbeiter ausgegebenen Zertifikate und eine andere Richtlinienzertifizierungsstelle für alle an Vertragspartner ausgegebenen Zertifikate implementieren.
  • ZS-Hierarchien mit Vertrauensstellungen durch Kreuzzertifizierung. In diesem Szenario interagieren zwei unabhängige ZS-Hierarchien miteinander, wenn eine Zertifizierungsstelle in einer Hierarchie ein ZS-Zertifikat mit Kreuzzertifizierung für eine Zertifizierungsstelle in einer anderen Hierarchie ausgibt. Dabei wird eine gegenseitige Vertrauensstellung zwischen verschiedenen ZS-Hierarchien gebildet.

Die verschiedenen ZS-Hierarchieoptionen, einschließlich Verwendung einer Richtlinienzertifizierungsstelle, einer Hierarchie mit zwei Ebenen und einer Vertrauensstellung durch Kreuzzertifizierung.

Eigenständige und Unternehmenszertifizierungsstellen

Bei Verwendung von AD CS können Sie zwei Arten von Zertifizierungsstellen bereitstellen: Eigenständige ZS und Unternehmens-ZS. Bei diesen Arten von Zertifizierungsstellen geht es nicht um die Hierarchie, sondern um Funktionalität und Integration mit AD DS. Eine eigenständige Zertifizierungsstelle ist unabhängig von AD DS. Eine Unternehmenszertifizierungsstelle setzt AD DS für die Bereitstellung weiterer Funktionen (z. B. automatische Registrierung) voraus. Bei der automatischen Registrierung können sich Domänenbenutzer und in die Domäne eingebundene Geräten automatisch für Zertifikate registrieren, nachdem über eine Gruppenrichtlinie die automatische Zertifikatregistrierung aktiviert wurde.

In der folgenden Tabelle werden die wichtigsten Unterschiede zwischen eigenständigen und Unternehmenszertifizierungsstellen ausführlich erläutert.

Merkmal

Eigenständige Zertifizierungsstelle

Unternehmenszertifizierungsstelle

Typische Verwendung

Eine eigenständige Zertifizierungsstelle wird in der Regel für Offline-Zertifizierungsstellen verwendet.

Eine Unternehmenszertifizierungsstelle wird üblicherweise zum Ausstellen von Zertifikaten für Benutzer, Computer und Dienste verwendet. Sie kann nicht als Offline-Zertifizierungsstelle verwendet werden.

Abhängigkeiten von AD DS

Eine eigenständige Zertifizierungsstelle ist unabhängig von AD DS.

Eine Unternehmenszertifizierungsstelle basiert auf AD DS als zugehörige Konfigurations- und Registrierungsdatenbank. Eine Unternehmenszertifizierungsstelle verwendet AD DS auch zum Veröffentlichen von Zertifikaten und deren Metadaten.

Zertifikatanforderungsmethoden

Benutzer können Zertifikate von einer eigenständigen Zertifizierungsstelle nur mithilfe einer manuellen Prozedur oder Webregistrierung anfordern.

Benutzer können Zertifikate von einer Unternehmenszertifizierungsstelle mithilfe manueller Registrierung, Webregistrierung, automatischer Registrierung, Registrierung im Auftrag und über Webdienste anfordern.

Zertifikatausstellungsmethoden

Ein ZS-Administrator muss alle Anforderungen manuell genehmigen.

Die Zertifizierungsstelle kann automatisch auf Basis einer von einem ZS-Administrator definierten angepassten Konfiguration Zertifikate ausstellen oder die Zertifikatausstellung ablehnen.

Bei der Bereitstellung einer einzelnen Zertifizierungsstelle in einer AD DS-Umgebung ist eine Unternehmenszertifizierungsstelle als Stammzertifizierungsstelle die häufigste Wahl. Wenn Sie in einer AD DS-Umgebung eine Hierarchie mit zwei Ebenen und einer untergeordneten Zertifizierungsstelle bereitstellen, sollten Sie die Verwendung einer eigenständigen Zertifizierungsstelle als Stammzertifizierungsstelle in Betracht ziehen. Dadurch können Sie die Zertifizierungsstelle schalten, ohne den Prozess der Zertifikatverwaltung für Domänenbenutzer und in die Domäne eingebundene Geräte zu beeinträchtigen.

Eine weitere Überlegung gilt dem Installationstyp des Betriebssystems. Sowohl Installationen mit Desktopdarstellung als auch Server Core-Installationen unterstützen AD CS. Server Core mit seiner minimalen Angriffsfläche für potenziell schädliche Hackerangriffe reduziert auch den Wartungsaufwand für Betriebssysteme, was für AD CS in einer Unternehmensumgebung die optimale Wahl ist.

Außerdem sollten Sie beachten, dass Sie nach der Bereitstellung einer Zertifizierungsstelle eines beliebigen Typs auf dem Computer Computernamen, Domänennamen oder Domänenmitgliedschaften des Computers nicht mehr ändern können. Daher ist es wichtig, diese Einstellungen vor der Bereitstellung zu konfigurieren.

Auch hinsichtlich der Bereitstellung einer eigenständigen Offline-Stammzertifizierungsstelle sind einige Überlegungen anzustellen:

  • Bevor Sie ein untergeordnetes Zertifikat von der Stammzertifizierungsstelle ausstellen, müssen Sie sicherstellen, dass Sie mindestens einen Zertifikatsperrlisten-Verteilungspunkt (Certificate Revocation List Distribution Point, CDP) und einen AIA-Speicherort angeben, die für alle Clients verfügbar sind. Eine eigenständige Stammzertifizierungsstelle beinhaltet nämlich standardmäßig selbst den CDP und den AIA-Speicherort. Daher schlägt eine Sperrüberprüfung fehl, wenn Sie die Stammzertifizierungsstelle offline schalten, da dann der CDP und der AIA-Speicherort nicht mehr zugänglich sind. Wenn Sie diese Speicherorte definieren, müssen Sie die Zertifikatsperrlisten- und AIA-Informationen manuell an diesen Speicherort kopieren.
  • Legen Sie eine Gültigkeitsdauer für Zertifikatsperrlisten, die von der Stammzertifizierungsstelle veröffentlicht werden, auf einen längeren Zeitraum (z. B. ein Jahr) fest. Das bedeutet, dass Sie die Stammzertifizierungsstelle einmal jährlich einschalten müssen, um eine neue Zertifikatsperrliste zu veröffentlichen. Diese müssen Sie dann an einen Speicherort kopieren, der für die Clients verfügbar ist. Falls Sie das versäumen, treten nach Ablauf der Zertifikatsperrliste in der Stammzertifizierungsstelle bei allen Sperrüberprüfungen für alle Zertifikate Fehler auf.
  • Verwenden Sie eine Gruppenrichtlinie, um das Zertifikat der Stammzertifizierungsstelle in einem vertrauenswürdigen Speicher der Stammzertifizierungsstelle auf allen Servern und Clientcomputern zu veröffentlichen. Diesen Vorgang müssen Sie manuell ausführen, da es bei einer eigenständigen Zertifizierungsstelle im Gegensatz zu einer Unternehmenszertifizierungsstelle keine Automatismen gibt. Sie können das Zertifikat der Stammzertifizierungsstelle auch mithilfe des Befehlszeilentools „certutil“ in AD DS veröffentlichen.

Demo

Im folgenden Video erhalten werden folgende Aufgaben veranschaulicht:

  • Konfigurieren der Voraussetzungen für eine Unternehmens-Stammzertifizierungsstelle
  • Bereitstellen einer Unternehmens-Stammzertifizierungsstelle

Der Vorgang besteht aus folgenden Hauptschritten:

  1. Erstellen einer AD DS-Umgebung Erstellen einer AD DS-Gesamtstruktur mit einer Domäne
  2. Konfigurieren der Voraussetzungen für eine Unternehmens-Stammzertifizierungsstelle Installieren der erforderlichen Serverrolle und der Serverrollendienste
  3. Bereitstellen einer Unternehmens-Stammzertifizierungsstelle Konfigurieren der Einstellungen für die Unternehmens-Stammzertifizierungsstelle

Überprüfen Sie Ihr Wissen

1.

Welche der folgenden Aussagen bezüglich der Installation der AD CS-Unternehmens-Stammzertifizierungsstelle ist richtig?