Die Basis für das einfache Deployment ist das enge Zusammenspiel zwischen den Zertifikatsdiensten von Windows, dem Active Directory sowie den Client-Betriebssystemen. Allerdings muss man sich grundsätzlich überlegen, welchen Ansatz man wählen möchte. Falls man einen sehr großen Wert auf Sicherheit legt, wird man die starken Automatisierungsmechanismen eher nicht nutzen. Wenn es darum geht, effiziente, schnelle Deployments durchzuführen und die aktuelle Windows-Authentifizierung, in deren Kontext die Zertifikate bereitgestellt werden, als ausreichend stark betrachtet, dann kann man von der Automatisierung profitieren.
Generell ist die Konfiguration der Verteilung von Client-Zertifikaten – ob automatisiert oder mit manueller Anforderung und Verteilung – relativ einfach, wenn man sich mit einigen Besonderheiten der Verwaltungsanwendung Zertifizierungsstelle vertraut gemacht hat.
Im ersten Teil dieses Workshops zeigen wir Ihnen, wie Sie die Vorlagen für die passenden Zertifikate erstellen. Im zweiten Teil erfahren Sie, wie Sie die Zertifikate dann anfordern und administrieren.
Versionsanforderungen und weitere Voraussetzungen
Zu beachten ist außerdem, dass die volle Funktionalität der Zertifikatsdienste erst ab der Enterprise Edition des Windows Server 2008 zur Verfügung steht. Insbesondere die automatische Verteilung ist davon betroffen, weil sie die so genannten V2-Zertifikate erfordert, die mit der Version 2 der Zertifikatsdienste beim Windows Server 2003 eingeführt wurden.
Ansonsten ist es für die Webregistrierung noch erforderlich, dass die IIS installiert sind. Die Webregistrierung arbeitet auf dem gleichen Server wie die CA (Certificate Authority, Zertifizierungsstelle). Daher kann es aus Gründen der Sicherheit erforderlich sein, dass man mit mehrstufigen Konzepten für die CAs arbeitet, um insbesondere das Risiko der Kompromittierung der Root-CA zu minimieren.
Zertifikatvorlagen
Die wichtigsten Zertifikatvorlagen sind beim Windows Server 2008 bereits vorkonfiguriert. Dazu zählen solche für Domänencontroller, „normale“ Computer oder eben Benutzer. Diese können damit auch direkt genutzt werden. Allerdings ist dabei zu beachten, dass die Vorlagen in der Regel vom Typ Windows 2000 sind, also sozusagen V1-Vorlagen sind. Diese können weder bearbeitet noch für die automatische Verteilung eingesetzt werden.
Entsprechend müssen die Vorlagen noch bearbeitet werden. Dazu kann in der Anwendung Zertifizierungsstelle im Ordner Zertifikatvorlagen der Befehl Verwalten im Kontextmenü verwendet werden. Er öffnet die Zertifikatvorlagenkonsole, in der sich alle Zertifikatvorlagen befinden. Bei den Zertifikatvorlagen findet sich beispielsweise die für Benutzer. Mit Doppelte Vorlage können vorhandene Zertifikatvorlagen kopiert und weiter bearbeitet werden. Die so erstellten neuen Vorlagen können in einem aktualisierten Format abgespeichert werden.
Typen von Vorlagen
Wenn eine neue Vorlage erstellt wird, gibt es zwei Optionen. Sie kann als Typ Windows Server 2003 Enterprise Edition oder als Windows Server 2008-Vorlage – je nach Stand der Beta-Version noch als Windows Longhorn Server Enterprise Edition bezeichnet – abgelegt werden.
Die Version der Vorlage ist dabei von erheblicher Bedeutung, weil sie steuert, welche Anforderungen an die Zertifizierungsstellen und das für die Ablage von Informationen verwendete Active Directory gestellt werden. In einer reinen Windows Server 2008-Infrastruktur lässt sich das neue Format nutzen, in gemischten Umgebungen muss dagegen das Format des Windows Server 2003 verwendet werden. Grundsätzlich sind die neuen Formate nur in reinen Windows Server 2008-/Windows Vista-Infrastrukturen geeignet.
Die Grundeigenschaften der Vorlage
Beim Öffnen einer Zertifikatvorlage werden die Eigenschaften angezeigt. Im Register Allgemein müssen zunächst einige Grundeinstellungen vorgenommen werden. Die Optionen in diesem Bereich sind generell von großer Bedeutung.
Der Vorlagenanzeigename muss hier ebenso angepasst werden wie der Vorlagenname. Der Vorlagenname kann später nicht mehr verändert werden. Die Namen werden bei der ersten Anpassung synchron gehalten.
Darunter muss die Gültigkeitsdauer festgelegt werden. Der Zeitraum von einem Jahr ist grundsätzlich relativ kurz und kann verlängert werden. Das hängt von verschiedenen Faktoren wie
-
Sicherheitsanforderungen
-
Form der Verteilung/Erneuerung von Zertifikaten /(manuell/automatisch)
-
Stärke der verwendeten Schlüssel
ab. In den meisten Fällen wird mit einem längeren Zeitraum gearbeitet, wobei ein Jahr oder sogar noch kürzere Zeiträume durchaus verwendbar sind, wenn mit der automatischen Ausstellung und Erneuerung gearbeitet wird.
Roaming und Erneuerung
Unter der Option „Roaming und Erneuerung“ kann festgelegt werden, ob das Zertifikat im Active Directory veröffentlicht werden soll, dadurch wächst das Active Directory. Diese Option ist allerdings eine Grundvoraussetzung für ein automatisches Roaming von Zertifikaten, also die Option, dass Benutzer ihre Zertifikate auch auf anderen Systemen nutzen können. Über das Active Directory können sie dynamisch im Rahmen der Authentifizierung bereitgestellt werden. Hier kann auch sichergestellt werden, dass keine automatische erneute Registrierung bei einem bereits vorhandenen Zertifikat erfolgt.
Interessant ist die Option der Nutzung eines vorhandenen Schlüssels für die automatische Erneuerung, weil damit Probleme in der Generierung von Schlüsseln beim Erneuerungsprozess vermieden werden.
Generell gilt auch hier, dass Automatismen und Arbeitsvereinfachungen immer im Konflikt zu hohen Sicherheitsanforderungen stehen und damit überlegt werden muss, ob diese Ansätze aus Unternehmenssicht akzeptabel sind oder nicht.
Anforderungsverarbeitung
Das zweite wichtige Register ist das zur Anforderungsverarbeitung. Dort kann unter anderem der Zweck des Zertifikats festgelegt werden. Außerdem können etliche ergänzende Festlegungen vorgenommen werden, von denen insbesondere die Angaben zur Registrierung und zur Nutzung des Schlüssels von Bedeutung sind.
Wichtig ist aber auch die Option zur Archivierung des privaten Schlüssels bei der Zertifizierungsstelle, der für eine Wiederherstellung im Verlustfall von Bedeutung ist. Das ist insbesondere für den Zugriff auf verschlüsselte Informationen wichtig. Andererseits stellt eine solche Speicherung wiederum ein Risiko dar.
Bei den zusätzlichen Optionen für die Registrierung ist die normale Option, dass sich ein Antragssteller ohne Benutzereingabe – gemeint ist die nochmalige Authentifizierung – registrieren kann. Eine solche Authentifizierung kann aber ebenso erzwungen werden wie bei der Nutzung von Zertifikaten. Für normale Benutzerzertifikate ist insbesondere letzteres nicht sinnvoll, weil es die Nutzung aufwändiger macht und mit Sicherheit auch zu deutlich mehr Helpdesk-Anforderungen führen wird.
Weitere wichtige Einstellungen
In den weiteren Registern gibt es noch etliche weitere wichtige Einstellungen. Einige davon sind für die Erstellung und Verteilung von Zertifikaten von besonderer Bedeutung.
Im Register Kryptografie kann die Verwendung eines speziellen Kryptografiedienstanbieters (CSP, Cryptography Service Provider) verlangt werden. Damit lassen sich spezielle Anbieter, die beispielsweise bestimmte Hardwarekomponenten nutzen, konfigurieren.
Im Register Antragstellername kann konfiguriert werden, ob und wie die dafür erforderlichen Informationen zu einem Benutzer aus dem Active Directory übernommen werden sollen. Für die automatische Erstellung und Verteilung von Zertifikaten ist diese Information unverzichtbar.
Bei den Ausstellungsvoraussetzungen kann konfiguriert werden, ob eine Genehmigung durch einen oder mehrere Benutzer erforderlich ist. Dabei kann sowohl mit einer manuellen Genehmigung als auch einer automatischen Signatur entsprechend einer definierten Anwendungsrichtlinie gearbeitet werden. Diese Richtlinien legen fest, unter welchen Voraussetzungen dieser Prozess automatisiert werden darf.
Noch mehr Einstellungen
Die verschiedenen Richtlinien können als Erweiterungen zu einer Vorlage konfiguriert werden. Hier gibt es die Anwendungsrichtlinien, die Ausstellungsrichtlinien, Richtlinien für die Schlüsselverwendung und Zertifikatvorlageninformationen. Die Einstellungen sind für die gängigen Zertifikattypen vorkonfiguriert. Eine Anpassung setzt voraus, dass man beispielsweise mit den standardisierten Objektkennungen vertraut ist.
Anpassen muss man dagegen in den meisten Situationen die Festlegungen zur Sicherheit im entsprechenden Register. Hier kann man unter anderem konfigurieren, wer eine Zertifikatvorlage anpassen darf und wer sich mit einer bestimmten Zertifikatvorlage registrieren darf. Insbesondere wird hier aber auch festgelegt, für welche Benutzergruppen aus dem Active Directory eine automatische Registrierung erfolgen soll.
Zertifikatvorlage aktivieren
Bevor Sie die so erstellte Zertifikatvorlage nutzen können, muss sie zunächst in der Anwendung Zertifizierungsstelle aktiviert werden. Dort findet sich im Kontextmenü auf der rechten Seite bei Auswahl des Knotens Zertifikatvorlagen die Option Auszustellende Zertifikatvorlage.
Nach Auswahl dieser Option wird eine Liste der definierten Zertifikatvorlagen angezeigt, die noch nicht aktiviert sind, also noch nicht für die Erstellung von Zertifikaten genutzt werden können. Dort findet sich auch die neue Zertifikatvorlage. Durch Markierung und Auswahl von OK wird dieser zur Liste der vorhandenen Zertifikatvorlagen hinzugefügt und kann nun ebenfalls für die Anforderung von Zertifikaten verwendet werden.
Im zweiten Teil zu diesem Workshop zeigen wir Ihnen, wie Sie die erstellten Zertifikate anfordern und verwalten. (mja)