Planung der MS-PKI

		PRAXIS

Vorab zu klärende Fragen für den Einsatz einer MS-Enterprise-CA gibt es eine Menge. Da immer einige Nebenbedingungen auftreten, ist es auf jeden Fall ratsam in einer Testumgebung alle Funktionen und auf der PKI aufsetzende geplante Anwendungen, wie VPN, WLAN-Absicherung, mit oder ohne Smart Cards, zu testen.

Planungsthemen für das Stammzertifikat

Zu klären ist, ob das Stammzertifikat von einer kommerziellen Zertifizierungsstelle kommen soll, oder eine eigene Stammzertifizierungsstelle eingesetzt werden soll. Insbesondere ist diese Entscheidung von Bedeutung, wenn auch außerhalb des Unternehmens befindliche Benutzer Dienste nutzen wollen bzw. in Berührung kommen. Ein Webserver oder signierte E-Mails seien hier als Beispiel genannt. Eine eigene CA lässt vielleicht noch mehr Spielraum, benötigt aber weitere Überlegungen.

Planungsthemen für die Hierarchie

Entwurfskriterien für die Hierarchie sind Sicherheit, Flexibilität und Komfort, an diesen Anforderungen orientieren sich die Entscheidungen.

Das Stammzertifikat könnte offline gehalten werden, und nur die untergeordneten CAs stellen Endzertifikate aus. Zudem sind Einschränkungen für die untergeordneten CAs wie "Name Constraints" zu planen. Auch Crosszertifizierungen oder Bridge-CAs mit Partnerorganisationen sind möglich und zu beachten.

MS Enterprise CA setzt das Schalenmodell ein, also sollte die Einsatzdauer eines CA-Zertifikats geplant werden, da die Gültigkeitsdauer eines CA-Zertifikats die darunter liegenden Zertifikate in ihrer Gültigkeitsdauer einschränkt.

Planung der Zertifikate

Für die genauere Planung der Zertifikate müssen die gewünschten Anwendungen, für die Zertifikate eingesetzt werden sollen, in Betracht gezogen werden. Diese haben bestimmte Anforderungen an die Zertifikate, vor allem an die Zertifikatserweiterungen, das X.509 Design kann bei einer MS-Enterprise-CA über die Zertifikatsvorlagen bestimmt werden.

Auch der verwendete Zertifikatsspeicher, bzw. genauer der Speicher für den privaten Schlüssel, muss nun in Betracht gezogen werden, nicht für jede Anwendung können Smart-Card-Zertifikate verwendet werden. EFS-Zertifikate müssen im Benutzerprofil liegen. Die Zertifikate und der zu verwendete Token haben klarerweise Auswirkung auf das Design des Ausstellungsprozesses.

Auch das Backup der privaten Schlüssel muss für bestimmte Anwendungen in Betracht gezogen werden. Vor allem wenn das Logon weiterhin mit einem Passwort geschieht, wird der Master Key, mit dem alle privaten Schlüssel der Zertifikate im Windows Certificate Store geschützt werden, mit einem vom Passwort abgeleiteten Schlüssel verschlüsselt. Beim Rücksetzen des Passwortes durch einen Administrator erfolgt keine Umschlüsselung. Hat der Benutzer sein Passwort vergessen, kann er die privaten Schlüssel der Zertifikate nicht mehr benutzen. Kann bei EFS noch ein Recovery Agent helfen, sind verschlüsselte Mails ohne Backup des privaten Schlüssels verloren.

Enrollment-Strategie

Die Verteilung bzw. das Zertifikatsenrollment kann mit den Autoenrollmentfeatures der MS-Enterprise-CA erheblich vereinfacht werden. Doch ist die Gestaltung des Enrollments vielfach beeinflusst von der Sicherheitspolitik der Organisation, immerhin geschieht ein Autoenrollment eigenverantwortlich, die CP und CPS sollten dies formal festhalten.

Der gewünschte Einsatzzweck, die bestehende Infrastruktur (Windows2000 Rechner?), der Einsatz von Smart Cards oder Software-Zertifikaten und andere Bedingungen wie geographische Struktur der Organisation sind bei der Entscheidung für Autoenrollment oder der physischen und organisatorischen Einrichtung einer Registration Authority (RA) relevant.

Abhängigkeiten der Domänencontroller

Bei Einsatz von Windows 2000 Server, in der Domäne wo die Zertifikatsdienste von Server 2003 verwendet werden sollen, könnte eine Adaption des Active Directory notwendig werden.

Für die Verwendung von RAS-Richtlinien muss die Domäne im einheitlichen Windows2000 Modus laufen, d.h. es lassen sich keine NT 4.0 Server mehr hinzufügen.

Windows2000 Server müssen wegen der LDAP-Signierung bei der Active-Directory Kommunikation mindestens SP 3 installiert sein. Außerdem muss das Active Directory Schema von Windows 2000 Server Domänen aktualisiert werden, da die Server 2003 Zertifikatsdienste neue Schemaerweiterungen nutzen.

Prozesse

Was nicht vergessen werde darf ist, dass die laufenden Prozesse wie Überwachung, Wartung und Benutzersupport geplant werden müssen. Eine PKI muss zusätzlich die Ausstellung und den Widerruf von Endzertifikaten und von CA-Zertifikaten geordnet über die Bühne bringen. Die Datensicherung des Servers, der Zertifikate und vor allem des privaten Schlüssels, sind zu beachten.

Je nach Sicherheitspolitik der Organisation ist die Zuordnung der Rollen zu Personen durchzuführen und ob der Einsatz der strikten Rollentrennung aktiviert wird. Nicht zu vergessen sind auch die Schulungen von Mitarbeitern und vor allem auch der Anwender. Die Orientierung an CobiT-Prozessen ist für ein PKI-Projekt ratsam.