|
|
 |
 |
| Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding! |
Microsoft Certification Authority |
| |
|
|
|
Bei Windows Server 2003 gehören die Zertifikatsdienste (Certificate Services) zum standardmäßigen Lieferumfang (ausgenommen Web Edition) womit sich der Windows 2003 Server als Zertifizierungsstelle (Certificate Authority) betreiben lässt. Windows Server 2003 bietet dabei einen größeren Funktionsumfang als Windows 2000 Server, was größere Flexibilität für die Realisation einer PKI offen lässt.
Generell werden X.509 Zertifikate und sowohl CMC
als auch SCEP
als Management-Protokolle verwendet. Als Gültigkeitsmodell wird das Schalenmodell eingesetzt. Für den Widerrufsdienst werden nun auch Delta-CRLs
unterstützt.
|
Zertifizierungsstellentypen |
Microsofts Enterprise CA hat im Deutschen den Namen Organisationszertifizierungsstelle bekommen und meint damit eine CA, die sich direkt in das Active Directory integrieren lässt, um dort die Zertifikate für Benutzer und Computer sowie die Zertifikatssperrlisten zu veröffentlichen. Enterprise CAs müssen daher auf Servern, die Mitglied in einer Domäne sind, installiert sein. Die Zertifikatsdienste lassen sich aber auch nutzen, um eine eigenständige Zertifizierungsstelle
(Stand-alone CA) zu betreiben, die aber einigen Einschränkungen unterliegt.
Enterprise CAs können die Angaben über Active Directory Objekte (Benutzer, Computer,...) nutzen um Zertifizierungsanträge automatisch zu bearbeiten, sprich Zertifikate auszustellen oder die Ausstellung zu verweigern ohne auf eine Administratoraktion zu warten.
Eine Unterordnung einer Zertifizierungsstelle innerhalb einer Hierarchie kann mit Einschränkungen der Möglichkeiten der untergeordneten CA verbunden sein. Diese qualifizierte Unterordnung (qualified Subordination) kann z.B. Name Constraints
umfassen und damit z.B. nur erlauben Zertifikate in einer bestimmten Active-Directory-Domäne auszustellen.
|
|
|
Zertifikatsvorlagen |
Eine solche Vorlage (Certificate Template) definiert den Inhalt eines Zertifikates. Vor allem die Zertifikatserweiterungen lassen viel Spielraum für die Adaptierung eines Zertifikats für die intendierten Einsatzzwecke und bestimmter Voraussetzungen für die Ausstellung.
Die Vorlagen werden bei einer Enterprise CA definiert und von dieser verwendet, wenn ein Antrag auf Ausstellung eines entsprechenden Zertifikates ankommt. Zu den einzelnen Vorlagen sind Berechtigungen definiert, welche Benutzer (Principals) Vorlagen lesen, schreiben oder zur Ausstellung benutzen dürfen.
Zertifikatsvorlagen der Version 1 sind schreibgeschützt und können daher nicht angepasst oder gelöscht werden. Vorlagen der Version 2 sind für eigene Bedürfnissen adaptierbar, d.h. eine vorhandene Vorlage wird dupliziert und ebendiese kann entsprechend konfiguriert werden.
Achtung: Zertifikate der Version 2 sind nur mit XP Professional und Server 2003 verwendbar, Version 1 Zertifikate sind auch von Windows 2000 verwendbar. Während Version 2 Zertifikate nur mit Enterprise Edition und Datacenter Edition ausstellbar sind, ist mit der Standard Edition oder Small Business Server 2003 zwar eine neue Vorlage erstellbar, aber entsprechende Zertifikate sind nicht ausstellbar, d.h. in der Management Console der Zertifikatsdienste können Sie nicht veröffentlicht werden.
|
CSPs und Smart Cards bei MS-CA |
Für die kryptographischen Funktionen und Speicherung der kryptographischen Schlüssel steht bei Windows die CryptoAPI zur Verfügung. Die Operationen werden dabei aber von CSPs (Cryptographic Service Provider) erledigt, die über die CryptoAPI lediglich angesprochen werden. , MS liefert mehrere CSP standardmäßig mit, da sich unterschiedliche CSPs in unterstützten Algorithmen, Schlüssellängen sowie Hardwarekomponenten unterscheiden.
Diese Hardwarekomponenten sind üblicherweise Smart Cards. Wollen Sie eine Smart Card benutzen, müssen Sie diese mit einem CSP ansprechen. Vor allem wie die Generierung und wo Speicherung des Schlüsselpaares erfolgt, bestimmt dieser CSP. Der private Schlüssel kann aber auch im persönlichen Zertifikatsspeicher eines Benutzers - als Teil des Benutzerprofils mit einem Master Key verschlüsselt gespeichert werden, der Master-Key wiederum ist mit dem Benutzerpasswort verschlüsselt. Ein Verlust oder Rücksetzen des Passworts zieht den Verlust des Master-Keys und der privaten Schlüssel nach sich. Sicherheit bietet für Zertifikate eine nur eine Smart Card.
|
Linktipps |
|
Cryptoshop Tipps |
|
PKI: Implementing and Managing E-Security
Nash, Duane, Joseph, Brink
Obwohl von 4 RSA Experten verfasst ist dieses Buch kein RSA-Werbebuch. Es beinhaltet einen guten Einstieg in die Materie von der Kryptographie über Standards, Anwendungen, bis hin zu Smart Cards, Biometrie und über den ROI einer PKI. |
|
Microsoft Windows Server 2003 PKI and Certificate Security
von Brian Komar und Microsoft PKI Team
Behandelt das Design und die Implementierung zertifikatsbasierender Lösungen im Windows Umfeld, wie Smart Card Authentication, WLAN, VPN, E-Mail, SSL, EFS, Code Signing.... |
|
 |
 |
|
|
 |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Legal notice