Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

Administration and audit of an MS Enterprise CA

		PRACTICE

Auditing von Ereignissen

Im Eigenschaften Dialog einer CA über das Register "Überwachung" ist das Auditing der CA konfigurierbar. Ereignisse die überwacht werden können sind:

	Sicherung und Wiederherstellung
	Konfigurationsänderungen
	Änderung der Sicherheitseinstellungen
	Zertifikatsanforderungen (Verwaltung und Ausstellung)
	Zertifikatsperrung und Sperrlistenveröffentlichung
	Abruf und Sicherung archivierter Schlüssel
	Start und Stopp der Zertifikatsdienste

Rollentrennung beim Betrieb einer Enterprise CA

Um gemäß dem Prinzip der Aufgabentrennung unterschiedlichen Personen Aufgaben beim Betrieb einer MS Enterprise CA zuweisen zu können, sind einzelne Aufgaben der Verwaltung auf verschiedene Rollen verteilt. Vor allem die Überwachung von Ereignissen erfolgt sinnvollerweise von einer Person, die keine administrativen Aufgaben besitzt. Die strikte Rollentrennung (Role Separation), sodass niemand mehr Rollen ausüben kann, wird nur von Enterprise Edition und Datacenter Edition unterstützt. Zu beachten ist, dass ein lokaler Administrator die strikte Rollentrennung wieder aufheben kann, was aber mit den Überwachungsfunktionen erkennbar sein sollte.

Folgende Rollen sind für die MS-Enterprise CA definiert:

Rollen

	Zertifizierungsstellenadministrator: (CA manager oder CA administrator) Er konfiguriert und administriert die MS Enterprise CA. Er weist andere Rollen zu und kann das CA-Zertifikat erneuert.
	Zertifikatverwaltung: (certificate manager) Zu dessen Aufgaben zählen die Ausstellung von Zertifikaten und den Widerruf ausgestellter Zertifikate
	Zertifizierungsstellenprüfer: Ihm obliegt die Überwachung von MS Enterprise CA, Zertifizierungsstellenadministrator, Zertifikatsverwaltung.
	Sicherungsoperator: Er kann Ordner und Dateien des Servers sichern und rücksichern. Das schließt die Datenbank und die Schlüsselpaare mit ein. (Recovery agent)

Rechte bei Rollentrennung

Rolle	Installation der CA	Konfiguration schreiben	Konfiguration lesen
Zertifizierungsstellen-Administrator		X	X
Zertifikatverwaltung			X
Zertifizierungsstellen-Prüfer			X
Sicherungsoperator			X
lokaler Administrator	X
Organisations-Administrator	X	X

Key Escrow - automatische Sicherung

Zertifikatsvorlagen lassen sich so konfigurieren, dass die privaten Schlüssel und das Zertifikat beim Ausstellungsprozess in der Datenbank der Zertifizierungsstelle gespeichert werden. Natürlich geschieht dies in verschlüsselter Form und diese Daten lassen sich nur vom Key Recovery Agent entschlüsseln, der SCHON VOR der Ausstellung des Zertifikates dafür bestimmt war. Aus der Datenbank kann die verschlüsselten Daten nur der Certificate Manager (Zertifikatsverwaltung) gewinnen. Der Key Recovery Agent darf, trotz ähnlicher Aufgaben, nicht mit dem Recovery Agent von EFS verwechselt werden.