Dies ist der zweite Teil unseres Workshops rund um das Thema Zertifikate in Active Directory. Im ersten Teil zeigen wir Ihnen, wie Sie die passenden Vorlagen für die Zertifikate erstellen.
Die Basis für das einfache Deployment ist das enge Zusammenspiel zwischen den Zertifikatsdiensten von Windows, dem Active Directory sowie den Client-Betriebssystemen. Allerdings muss man sich grundsätzlich überlegen, welchen Ansatz man wählen möchte. Falls man sehr großen Wert auf Sicherheit legt, wird man die starken Automatisierungsmechanismen eher nicht nutzen.
Wenn es darum geht, effiziente, schnelle Deployments durchzuführen, und man die aktuelle Windows-Authentifizierung, in deren Kontext die Zertifikate bereitgestellt werden, als ausreichend stark betrachtet, dann kann man von der Automatisierung profitieren.
Ansätze für die Zertifikatanforderung
Damit können nun auch Zertifikate angefordert werden. Dafür gibt es mehrere Wege. Die gängigen Ansätze sind
-
Die Anwendung Zertifikate für das lokale Management von Zertifikaten. Dieses Snap-In muss explizit in die MMC eingefügt werden.
-
Die Web-Schnittstelle für die Anforderung von Zertifikaten.
-
Die Nutzung von Anforderungsdateien, die an die Zertifizierungsstelle übergeben werden.
-
Die Verwendung von Anwendungen mit einer integrierten Funktionalität für die Anforderung von Zertifikaten wie beispielsweise die Internetinformationsdienste.
Je nach Verfahren und verwendeten Zertifikatvorlagen sind teils keine, teils auch explizite administrative Eingriffe erforderlich. Entsprechend unterschiedlich fallen der zeitliche Aufwand für die Anforderung und Bereitstellung von Zertifikaten und der Einbezug der Benutzer aus. Grundsätzlich gilt, dass aus Sicht der Benutzer einiges für automatisierte Verfahren spricht, da das Konzept der Zertifikate und ihrer Anforderungs- und Verwaltungsprozesse nur einer kleinen Zahl von Anwendern bekannt ist.
Die MMC für die Zertifikatanforderung
Die Anwendung Zertifikate kann sowohl für die eigenen Zertifikate als auch für das Management von Zertifikaten von Computern und Diensten eingerichtet werden. Die entsprechenden Optionen werden bei der Einbindung des Snap-Ins in die MMC angeboten.
Bei Eigene Zertifikate finden sich mehrere Optionen für die Zertifikatsanforderung:
-
Mit Zertifikate suchen können vorhandene Zertifikate gesucht und in die Schnittstelle eingebunden werden.
-
Neues Zertifikat anfordern startet den Prozess für die Anforderung der gängigen Zertifikate. Darauf wird nachfolgend näher eingegangen.
-
Über den Befehl Importieren können vorhandene Zertifikate aus Dateien eingelesen werden.
-
Benutzerdefinierte Anforderung erstellen ermöglicht die Erstellung einer Anforderung eines Zertifikats über eine Datei, die spezifisch gestaltet werden kann.
-
Mit Registrieren im Auftrag von kann schließlich auch eine Registrierung für einen anderen Benutzer durchgeführt, für diesen also ein Zertifikat angefordert werden – vorausgesetzt, man verfügt über die entsprechenden Berechtigungen.
Zertifikate anfordern
Wenn man ein eigenes Zertifikat anfordert, führt ein Assistent durch die weiteren Schritte. Nach dem allgemeinen Start-Bildschirm folgt die Liste der Zertifikate, die ausgestellt werden können. Selbst erstellte Zertifikatvorlagen sind darin aufgeführt, soweit sie für einen Benutzer geeignet sind. Mit Alle Vorlagen anzeigen können prinzipiell aber auch weitere Vorlagen angezeigt werden.
Je nach Zertifikatvorlage müssen anschließend noch Informationen eingegeben werden. Im Idealfall läuft der Prozess durch, wenn alle für die Registrierung erforderlichen Informationen aus dem Active Directory übernommen werden können und wenn das Zertifikat automatisch, also ohne weitere Bestätigung in der CA, erstellt werden kann. Dieser Prozess hängt aber von der verwendeten Zertifikatvorlage ab.
Fehler im Registrierungsprozess
Bei der Registrierung kann es zwar auch zu Fehlern kommen, doch die sollten gleich bei den ersten Tests auffallen. Die typischen Ursachen solcher Fehler sind die fehlende Erreichbarkeit der Zertifizierungsstelle oder unvollständige Daten im Active Directory.
Die bei der Registrierung gelieferten Fehlermeldungen sind allerdings so aussagefähig, dass man zumeist schon ohne Blick auf die Details die Fehlerursachen erkennen kann. Im aktuellen Fall ist das Problem die nicht im Active Directory konfigurierte eMail-Adresse, die aber benötigt würde.
Durch Hinzufügen dieses Attributs kann man das Problem beheben. Bei einem erneuten Registrierungsversuch wird das Zertifikat in diesem Fall automatisch erstellt und ausgestellt, da eine Zertifikatvorlage für die automatische Bereitstellung verwendet wird. Das Zertifikat wird anschließend in der Liste der Zertifikate eingefügt und kann verwendet werden.
Die Administration der CA
Bei der Certification Authority (CA), also in der Anwendung Zertifizierungsstelle, findet sich das neue Zertifikat in der Liste Ausgestellte Zertifikate. Daneben gibt es noch eine Reihe weiterer Ordner in der Anwendung.
Bei Gesperrte Zertifikate finden sich Zertifikate, die explizit nicht mehr gültig sind. Die Sperrung von Zertifikaten ist beispielsweise erforderlich, wenn ein Benutzer nicht mehr im Unternehmen arbeitet, damit das entsprechende Zertifikat nicht mehr genutzt werden kann. Die Informationen über gesperrte Zertifikate können von anderen Anwendungen über CRLs (Certificate Revocation Lists) oder OCSP (Online Certificate Status Protocol) angefordert werden.
Bei Ausgestellte Zertifikate findet sich die Liste der von der CA ausgestellten und gültigen Zertifikate. Hier können Zertifikate auch für ungültig erklärt werden. Im Bereich Ausstehende Anforderungen gibt es eine Liste der Anforderungen, die noch manuell von einem zuständigen Administrator bearbeitet werden müssen. Bei rein automatischen Anforderungsprozessen, die allerdings typischerweise nur für eine Teilmenge der Zertifikate genutzt werden, finden sich hier keine Einträge.
Gerade bei der Nutzung automatischer Anforderungsprozesse ist der Bereich Fehlgeschlagene Anforderungen von Bedeutung, weil man dort die Informationen zu den nicht erfolgreichen Zertifikatsanforderungen findet. In diesem Fall gibt es typischerweise ein Konfigurationsproblem der CA, beispielsweise durch nicht ausreichende Berechtigungen für die Anforderung von Dienstzertifikaten. Schließlich gibt es noch den bereits bekannten Bereich Zertifikatvorlagen, in dem die aktivierten Vorlagen für die Erstellung von Zertifikaten zu finden sind.
Die Web-Schnittstelle
Neben der Anwendung Zertifikate kann auch eine Web-Schnittstelle für die Anforderung von Zertifikaten genutzt werden. Diese muss bei der Einrichtung der Zertifikatsdienste installiert werden. Sie ist anschließend unter http://<servername>/certsrv zu finden. Dort gibt es drei Optionen:
-
Anforderung eines Zertifikats: Es können sowohl Standard-Benutzerzertifikate als auch speziellere Zertifikatanforderungen an die CA abgesetzt werden.
-
Überprüfung des Status ausstehender Zertifikate: Damit kann analysiert werden, ob Zertifikatsanforderungen bereits bearbeitet wurden, soweit das erforderlich ist.
-
Herunterladen von Zertifikaten: Sowohl die Zertifikate der vertrauenswürdigen Stammzertifizierungsstelle für die Herstellung des Vertrauens vom lokalen System aus als auch andere Informationen für die Konfiguration von Zertifikaten können bei Bedarf heruntergeladen werden.
Wenn die Web-Schnittstelle genutzt wird, sollte die Kommunikation natürlich über SSL geschützt werden. Das setzt voraus, dass ein digitales Zertifikat für die Internetinformationsdienste des Servers entweder bei der lokalen CA oder einer externen Zertifizierungsstelle angefordert wird.
Die Anforderung von Benutzerzertifikaten
Wenn die Option Anforderung eines Zertifikats ausgewählt wird, gibt es anschließend zwei Optionen. Es kann zum einen ein Benutzerzertifikat angefordert werden. Wenn dabei auf das Active Directory aufgesetzt wird, sind keine weiteren Informationen erforderlich, soweit die Attribute vollständig aus dem Active Directory generiert werden können.
Alternativ dazu kann mit einer erweiterten Zertifikatanforderung gearbeitet werden. Hier kann entweder eine Zertifikatanforderung definiert oder eine vorhandene Datei mit einer Zertifikatanforderung auf Basis der Standards CM, PKCS10 oder PKCS7 an die CA gesendet werden.
Bei der erweiterten Zertifikatanforderung können anschließend wesentliche Informationen zu dem gewünschten Zertifikat angegeben werden. Allerdings ist bei der Web-Schnittstelle generell zu beachten, dass diese eine deutlich geringere Flexibilität als die Anwendung Zertifikate besitzt, insbesondere in Bezug auf die Nutzung neu definierter Zertifikatvorlagen.
Weitere Aspekte
Neben diesen Kernaspekten für die Konfiguration der Zertifikatdienste gibt es noch etliche weitere Punkte, die zu beachten sind. Zwei davon sind besonders wichtig.
Erstens: Die Gruppenrichtlinien werden für das automatische Deployment von Systemen benötigt. Beim Windows Server 2008 und für Windows Vista wurden diese allerdings deutlich erweitert. Daher wird in einem gesonderten Artikel darauf eingegangen, in dem die verschiedenen Einstellungen in den Gruppenrichtlinien detailliert erläutert werden.
Zweitens: Es gibt das Konzept der Enrollment Agents. Dabei handelt es sich um Benutzer, die digitale Zertifikate für andere Benutzer anfordern dürfen. Diese Funktion ist vor allem dann wichtig, wenn beispielsweise zentral Smartcards mit den digitalen Zertifikaten vorbereitet werden sollen. Diese werden vom Windows Server 2008 komplett unterstützt. Damit können letztlich unterschiedlichste Ansätze für die Implementierung von Zertifikatsdiensten realisiert werden – abhängig von den unternehmensspezifischen Anforderungen an die Sicherheit und Administration solcher Dienste. (mja)