E-Book, Deutsch, 767 Seiten
Reihe: Rheinwerk Computing
Kloep PKI und CA in Windows-Netzwerken
3. Auflage 2024
ISBN: 978-3-8362-9643-4
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
Das umfassende Handbuch
E-Book, Deutsch, 767 Seiten
Reihe: Rheinwerk Computing
ISBN: 978-3-8362-9643-4
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
Wie der Aufbau einer sicheren Public Key Infrastructure mit dem Windows Server gelingt, zeigt Ihnen dieses Handbuch mit umfassenden Anleitungen, Hintergrundinformationen und Tipps aus der Praxis. Es liefert Ihnen alle Schritte von der Planung der CA bis zum Ablauf oder Widerruf der Zertifikate und betrachtet damit die gesamte Lebenszeit der Infrastruktur. Lernen Sie, wie Sie für Sicherheit in Ihrem Netzwerk sorgen, indem Sie WLAN- und VPN-Zugangspunkte schützen, BitLocker, S/MIME sowie IPSec einsetzen und Zertifizierungsstellen für Mail- und Webserver konfigurieren.
Aus dem Inhalt:
- Grundlagen: Public Key Infrastructure und Certificate Authority
- Was ist eine PKI, wozu wird sie verwendet, aus welchen Komponenten besteht sie?
- Verschlüsselung vs. Signatur, Algorithmen, Gültigkeit eines Zertifikats prüfen
- Aufbau und Planung der Infrastruktur einer Windows-Zertifizierungsstelle: notwendige Parameter und Rahmenbedingungen für eine CA-Installation
- Installation und Konfiguration einer mehrstufigen Windows CA-Infrastruktur
- Verwalten von Zertifikatsvorlagen, Konfiguration der Schlüsselarchivierung, Funktionstests
- Einsatz einer Windows CA-Infrastruktur im Unternehmen
- Zertifikate für Domaincontroller, WLAN- und VPN-Zugriff, BitLocker, IPSec, Web- und Mailserver, S/MIME, Codesignaturen, Registrierungsagenten
- SmartCards zur Zweifaktor-Authentifizierung
- Wartung einer Windows-Zertifizierungsstellen-Infrastruktur: Erneuern eines CA-Zertifikates
- Backup und Recovery
- Migration und Monitoring der Zertifizierungsstelle
Peter Kloep ist herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Software Engineer und Microsoft Certified Solutions Master - Windows Server 2012. Seit fünf Jahren ist er bei Microsoft als Premier Field Engineer angestellt und unterstützt Premier-Kunden in den Bereichen Identity Management und Security.
Autoren/Hrsg.
Weitere Infos & Material
Materialien zum Buch ... 11 Vorwort ... 13 Geleitwort des Fachgutachters ... 15 1. Public Key Infrastructure und Certificate Authority ... 17 1.1 ... Was ist ein Zertifikat? ... 19 1.2 ... Zertifizierungsstellen ... 65 1.3 ... Aufbau einer Infrastruktur für öffentliche Schlüssel ... 73 1.4 ... Protokolle und Algorithmen ... 75 2. Aufbau einer Windows-CA-Infrastruktur ... 87 2.1 ... Notwendige Parameter und Rahmenbedingungen für eine CA-Installation ... 88 2.2 ... Installationsvoraussetzungen für eine CA ... 98 2.3 ... Notwendige Rechte für die Installation einer Zertifizierungsstelle ... 105 2.4 ... Installation der AD CS-Rolle ... 113 2.5 ... Konfiguration einer einfachen CA-Infrastruktur ... 136 2.6 ... Installation einer mehrstufigen CA-Infrastruktur ... 160 2.7 ... Die Funktionsweise der installierten Umgebung prüfen ... 223 2.8 ... Installation einer Zertifizierungsstelle auf einem Windows Server Core ... 226 2.9 ... Zertifikatrichtlinie und Zertifikatverwendungsrichtlinie ... 233 2.10 ... Verwendung von Hardware-Security-Modulen (HSMs) ... 240 2.11 ... Installation der zusätzlichen AD CS-Rollendienste ... 248 2.12 ... Hochverfügbarkeit ... 276 2.13 ... PowerShell-Skripte für die Installation ... 285 2.14 ... Schritt-für-Schritt-Installationsanleitung ... 294 3. Anpassung der Zertifizierungsstelle und Verteilen von Zertifikaten ... 307 3.1 ... Konfiguration einer Zertifizierungsstelle ... 307 3.2 ... Zertifikatvorlagen verwalten ... 350 3.3 ... Zertifikate an Clients verteilen ... 372 4. Eine Windows-CA-Infrastruktur verwenden ... 403 4.1 ... Zertifikate für Webserver ... 403 4.2 ... Clientzertifikate zur Authentifizierung an einem Webserver ... 440 4.3 ... Zertifikate für Domänencontroller ... 446 4.4 ... EFS verwenden ... 460 4.5 ... BitLocker und die Netzwerkentsperrung ... 473 4.6 ... Smartcard-Zertifikate verwenden ... 522 4.7 ... Den WLAN-Zugriff mit Zertifikaten absichern ... 551 4.8 ... Verwendung von 802.1x für LAN-Verbindungen ... 577 4.9 ... Den VPN-Zugang mit Zertifikaten absichern ... 583 4.10 ... Zertifikate zur Absicherung von Netzwerkkommunikation mit IPSec verwenden ... 599 4.11 ... Zertifikate für Exchange verwenden ... 613 4.12 ... S/MIME verwenden ... 621 4.13 ... Die Codesignatur verwenden ... 642 4.14 ... Zertifikate bei den Remotedesktopdiensten verwenden ... 654 4.15 ... Zertifikate für Hyper-V ... 671 4.16 ... Zertifikate für das Windows Admin Center ... 674 4.17 ... CEP und CES ... 675 4.18 ... Zertifikate für die Active Directory-Verbunddienste (AD FS) ... 680 4.19 ... Zertifikatverteilung über Intune ... 682 4.20 ... Zertifikate für VMware ... 682 5. Betrieb und Wartung einer Windows-CA-Infrastruktur ... 689 5.1 ... Überwachung der Zertifizierungsstelle ... 689 5.2 ... Ein CA-Zertifikat erneuern ... 695 5.3 ... Sicherung und Wiederherstellung ... 702 5.4 ... Eine Zertifizierungsstelle migrieren ... 711 5.5 ... Eine Zertifizierungsstelle entfernen ... 712 5.6 ... Wartungsaufgaben an der Datenbank ... 715 5.7 ... Zertifikatmanagement mit dem Microsoft Identity Manager (MIM) ... 717 5.8 ... Sicherheit rund um die Zertifizierungsstelle ... 718 Glossar ... 747 Index ... 759
1 Public Key Infrastructure und Certificate Authority
In diesem Kapitel werden die Grundlagen für eine Zertifizierungsstelleninfrastruktur gelegt und die verschiedenen Grundbegriffe wie Signatur und Verschlüsselung erläutert.
In diesem Kapitel schauen wir uns die Grundlagen für den Umgang mit Zertifikaten und Zertifizierungsstellen an. Diese Grundlagen sind essenziell und erleichtern das Verständnis der Vorgänge in einer Zertifizierungsstelle. Sie erfahren, wie Sie einen sicheren Umgang mit Zertifikaten realisieren können, und lernen, wie Sie mit Fehlermeldungen umgehen oder sie idealerweise direkt vermeiden.
Ich behaupte, dass jeder Anwender, der schon an einem Computer oder einem netzwerkfähigen mobilen Gerät gearbeitet hat, Kontakt mit Zertifikaten gehabt hat. Sobald Sie über einen Browser auf eine mit HTTPS gesicherte Webseite zugreifen, kommen digitale Zertifikate ins Spiel. Diese werden als digitaler Identitätsnachweis des Zielservers verwendet.
Ich stelle auch noch eine zweite Behauptung auf: Wenn Sie schon einmal auf eine gesicherte Webseite (zum Beispiel bei einem Online-Store oder auch bei der Arbeit auf eine »interne« Webseite) zugegriffen haben, dann kennen Sie auch gewiss die Fehlermeldung aus Abbildung 1.1 (oder zumindest eine ähnliche).
Häufig tritt die Fehlermeldung bei Netzwerkgeräten auf, die über einen Browser administriert werden. In diesem Kapitel erläutere ich, was genau dahintersteckt und wie Sie diese Meldungen vermeiden können.
Was heißt nun Public Key Infrastructure (PKI) oder – wie es ins Deutsche übersetzt wird – Infrastruktur für öffentliche Schlüssel? Als PKI wird das gesamte Konstrukt rund um die Absicherung der Datenkommunikation und die Identitätskontrolle im Netzwerk mithilfe von Zertifikaten bezeichnet. Bei der Absicherung der Kommunikation können eine Datenverschlüsselung, eine Datensignatur und ein Identitätsnachweis die Sicherheit der Kommunikation erhöhen.
Eine PKI besteht aus:
-
einer oder mehreren Zertifizierungsstellen
-
digitalen Zertifikaten
-
Geräten und Anwendungen, die diese Zertifikate verwenden
-
Verwaltungswerkzeuge für die Infrastruktur
-
Zertifikatssperrlisten bzw. einer Möglichkeit, um die Gültigkeit eines Zertifikats zu überprüfen
-
Unterstützungskomponenten (Speicherorte für Sperrlisten, Diensten für Netzwerkgeräte)
-
Sicherheitshardware (sofern gewünscht bzw. benötigt)
-
Prozessen
Abbildung 1.1 Zertifikatwarnung im Edge-Browser
Eine PKI ist also eine Kombination aus Software, Prozessen, Verschlüsselungstechnologie und Diensten, die eine Organisation benötigt, um die Vertraulichkeit, Integrität, Authentizität und Nachweisbarkeit von Unternehmenstransaktionen und Kommunikation zu gewährleisten.
Eine PKI ist daher deutlich umfangreicher und komplexer als eine Zertifizierungsstelle. Eine Zertifizierungsstelle (CA) stellt »nur« Zertifikate aus und sperrt sie gegebenenfalls wieder.
Eine Zertifizierungsstelleninfrastruktur ist sehr schnell implementiert, wogegen eine PKI deutlich aufwendiger ist, da ein Certificate Practice Statement und eine Certificate Policy erstellt werden müssen (siehe Abschnitt 2.1).
1.1 Was ist ein Zertifikat?
Wir werden uns als Erstes der Frage widmen, was eigentlich ein Zertifikat ist und wozu Zertifikate eingesetzt werden können. Wenn hier von Zertifikaten die Rede ist, meine ich natürlich digitale Zertifikate und nicht diejenigen Zertifikate, die Sie sich nach einer erfolgreichen Prüfung oder Ausbildung im Bilderrahmen an die Wand hängen.
Die Definition eines Zertifikats könnte lauten: »Ein digitales Zertifikat bindet einen öffentlichen Schlüssel an eine Entität (Benutzer, Organisation, Computer) und beinhaltet zusätzliche Informationen, wie Sperrlisteninformationen und vieles mehr.«
Da in dieser Definition weitere Begriffe auftauchen, die erklärt werden müssen, gehen wir einen Schritt zurück und sehen uns die Theorie der Kryptografie an, also der Wissenschaft, Daten abzusichern bzw. zu verschlüsseln.
1.1.1 Symmetrische und asymmetrische Kryptografie
In der Kryptografie wird zwischen zwei Hauptverfahren unterschieden, mit denen Daten abgesichert werden: Es gibt symmetrische und asymmetrische Kryptografie-Verfahren.
Bei den symmetrischen Verfahren wird ein Schlüssel verwendet, mit dem Daten verschlüsselt werden. Der gleiche Schlüssel wird auch dazu verwendet, die Daten wieder zu entschlüsseln (siehe Abbildung 1.2).
Abbildung 1.2 Symmetrische Verschlüsselung
Ein Schlüssel ist dabei natürlich – und das gilt ebenso bei den asymmetrischen Verfahren – eine Folge von Nullen und Einsen, die in aller Regel durch mathematische Verfahren erzeugt wird.
Symmetrische Verfahren können von ihrer Funktion her mit einem herkömmlichen Türschloss verglichen werden: Haben Sie einen passenden Schlüssel für das Schloss, dann können Sie den Schlüssel zum Auf- und Zuschließen des Schlosses verwenden.
Ein Nachteil bei den symmetrischen Verfahren ist der Schlüsselaustausch, der auf sichere Art und Weise erfolgen muss, denn der Empfänger der Nachricht muss ja den gleichen Schlüssel besitzen wie der Absender, um die Daten erfolgreich entschlüsseln zu können. Ein solcher Schlüsselaustausch ist mithilfe von symmetrischen Verfahren nicht praktikabel.
Der Vorteil der symmetrischen Verfahren ist jedoch ihre Geschwindigkeit: Sie sind im Vergleich zu den asymmetrischen Verfahren deutlich schneller (bis zum Faktor 5000).
Bei der asymmetrischen Kryptografie, die auch als Public Key Cryptography bezeichnet wird, wird ein Schlüsselpaar verwendet (siehe Abbildung 1.3). Die beiden Schlüssel des Paars werden als öffentlicher Schlüssel (Public Key) und privater Schlüssel (Private Key) bezeichnet. Der private Schlüssel ist im Besitz der Entität, für die das Schlüsselpaar ausgestellt wurde. Der private Schlüssel wird niemals versendet und verlässt im besten Fall nicht den gesicherten Speicher, in dem er abgelegt ist.
Abbildung 1.3 Bei asymmetrischen Verfahren werden ein öffentlicher Schlüssel und der dazu passende private Schlüssel verwendet.
Bei asymmetrischen Verfahren werden die Daten mit einem der beiden Schlüssel verschlüsselt und können nur mit dem passenden Gegenschlüssel (dem zweiten Schlüssel des Paars) entschlüsselt werden.
Der Vorteil der asymmetrischen Verfahren ist die einfache Schlüsselverteilung. Geht man davon aus, dass der öffentliche Schlüssel jedem bekannt ist und möchten Sie einem Empfänger eine verschlüsselte Nachricht zukommen lassen, dann können Sie die Daten mit dem öffentlichen Schlüssel des Empfängers so verschlüsseln, dass nur der private Schlüssel des Empfängers (der sich ausschließlich im Besitz des Empfängers befindet) diese Daten wieder entschlüsseln und damit lesbar machen kann.
Tabelle 1.1 listet die Vor- und Nachteile der verschiedenen Verfahren auf.
| Eigenschaft | Symmetrisch | Asymmetrisch |
|---|
| Schlüssel | Es wird der gleiche Schlüssel für die Ver- und Entschlüsselung verwendet. | Ein Teilnehmer besitzt den privaten Schlüssel, der oder die anderen besitzen den öffentlichen Schlüssel. Daten, die mit einem der beiden Schlüssel verschlüsselt wurden, können nur mit dem jeweils anderen Schlüssel entschlüsselt werden. |
| Schlüsselaustausch | Muss auf anderem Weg erfolgen. | Dadurch, dass der öffentliche Schlüssel »jedem« bekannt ist, kann direkt verschlüsselt kommuniziert werden. |
