Windows Server 2008: Zertifikatsdienste nutzen

Für die Verwaltung der Zertifikatsdienste gibt es – wenn man die Kernfunktionen betrachtet – vier wichtige Verwaltungsprogramme. Das erste ist der Server-Manager, über den die Rollenfunktionen und der generelle Status des Dienstes administriert werden können. Die weiteren sind das Verwaltungsprogramm Zertifikatsdienste, das Online Responder Management und schließlich die web-basierte Schnittstelle für die Anforderung von Zertifikaten.

Im Server-Manager werden – wie bei allen Rollen – vier Gruppen von Informationen angezeigt:

• Ereignisse, die für jene Systemdienste protokolliert wurden, die für diese Rolle ausgeführt werden.

• Informationen zu den installierten Systemdiensten und ihrem Status.

• Eine Auflistung der Rollendienste und ihres Installationsstatus.

• Zusatzinformationen für eine aktuelle Konfiguration

Die Nutzung des Server-Managers für die Zertifikatsdienste

Im Gegensatz zu anderen Rollen gibt es im Server-Manager bei den Zertifikatsdiensten keine direkte Verknüpfung zu den Verwaltungsprogrammen. Diese müssen gesondert über die Gruppe Verwaltung aufgerufen werden.

Damit stehen nur die Standardfunktionen des Server-Managers für das Rollenmanagement der AD CS (Active Directory Certificate Services) zur Verfügung. Am wichtigsten ist dabei sicherlich die Möglichkeit der Dienststeuerung. In der Regel sollten die installierten Dienste standardmäßig ausgeführt werden, wenn es sich um eine Unternehmens-Zertifizierungsstelle handelt, die online betrieben wird. Zu beachten ist, dass keine Informationen über abhängige Dienste, also insbesondere die IIS 7.0 für die Webregistrierung, angezeigt werden. Hier muss auf die Detailinformationen zur IIS-Rolle zurückgegriffen werden.

Ansonsten ist vor allem der Bereich Ressourcen und Support interessant. Hier gibt es eine Reihe von Links zu weiterführenden Informationen, die beispielsweise die detaillierte Konfiguration der Zertifikatsdienste für spezifische Aufgabenstellungen beschreiben.

Das Management der Zertifizierungsstelle

Beim Verwaltungsprogramm Zertifizierungsstelle hat sich zunächst nicht viel geändert. Wenn man es startet, wird die Verbindung zur aktuellen CA (Certificate Authority, Zertifizierungsstelle) hergestellt. Darunter werden die gleichen fünf Knoten wie bisher angezeigt.

Zunächst finden sich bei den meisten Knoten kaum Informationen, solange es noch keine Zertifikatsanforderungen gibt oder Zertifikate über die erste Anforderung hinaus weiter verwaltet wurden. Bei den ausgestellten Zertifikaten findet sich das Zertifikat der CA selbst, also das Trusted Root CA oder Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle.

Einige Einträge gibt es auch bei Zertifikatvorlagen, wo die bereits vorbereiteten Zertifikatvorlagen zu finden sind. Diese Zertifikate können direkt genutzt werden. Sie sind für die wichtigsten Aufgabenstellungen vorbereitet.

Weitere Zertifikatvorlagen

Weitere Zertifikatvorlagen finden sich in der Zertifikatvorlagenkonsole, die über den Befehl Verwalten im Kontextmenü des Knotens Zertifikatvorlagen im Verwaltungsprogramm Zertifikatsdienste geöffnet werden kann.

Diese Vorlagen können hier über den etwas unglücklich bezeichneten Befehl Doppelte Vorlage aus dem Kontextmenü dupliziert und bearbeitet werden. Beim Duplizieren wird ein Dialogfeld angezeigt, das fragt, welche Eigenschaften genutzt werden sollen.

Dabei kann man zwischen dem Windows Server 2003 und dem Windows Server 2008 – aktuell noch als „Longhorn“ bezeichnet – wählen. Die verwendeten Zertifizierungsstellen in der Infrastruktur müssen den jeweiligen Level unterstützen. Man kann also die Windows-Server-2008-Eigenschaften nur verwenden, wenn die entsprechenden Zertifikate ausschließlich von CAs auf Basis des Windows Server 2008 ausgestellt werden. Außerdem wird als Client mindestens Windows Vista benötigt.

Windows Server 2008 – Unterstützung von CNG

Der wesentliche Unterschied bei Vorlagen für den Windows Server 2008 liegt in der Unterstützung von CNG und damit auch Suite-B-Verschlüsselungsmechanismen. Wenn eine Zertifikatvorlage für den Windows Server 2008 erstellt wird, findet sich bei den Eigenschaften das Register Kryptografie. In diesem können die Algorithmen ausgewählt werden – und hier eben neben RSA nun auch die Suite-B-Algorithmen.

Ansonsten ist das Management der Zertifizierungsstelle aber im Vergleich zum Windows Server 2003 unverändert geblieben. Dort wurden ja mit den flexibel konfigurierbaren Zertifikatvorlagen die wesentlichen Änderungen bereits vorgenommen.

Die Schnittstelle für die Webregistrierung

Weitgehend unverändert ist auch die Schnittstelle für die Webregistrierung. Über sie können fünf Aktionen ausgeführt werden:

• Zertifikate können angefordert werden.

• Der Status ausstehender Zertifikate kann angezeigt werden.

• Das Zertifizierungsstellenzertifikat kann heruntergeladen und lokal installiert werden.

• Eine Zertifikatkette kann heruntergeladen werden.

• Die aktuelle Sperrliste (CRL, Certificate Revocation List) kann heruntergeladen werden.

Die Nutzung des Tools ist einfach, weil man alle Aktionen über die Webschnittstelle, geführt durch einen Assistenten, vornehmen kann. Standardmäßig wird die Anforderung von Benutzerzertifikaten unterstützt. Für andere Zertifikate können erweiterte Anforderungen zur Bearbeitung an die Zertifizierungsstelle gesendet werden.

OCSP – das Konzept

Die vierte wichtige Konfigurationsschnittstelle ist das Online Responder Management, das für OCSP (Online Certificate Status Protocol) benötigt wird. OCSP ist ein Protokoll, das entwickelt wurde, um den Umgang mit gesperrten Zertifikaten zu vereinfachen.

Wenn ein Zertifikat gesperrt wird, wird diese Information in einer sogenannten CRL (Certificate Revocation List) veröffentlicht. Diese Listen werden in definierten Zeitabständen veröffentlicht. Anwendungen, die Zertifikate verarbeiten – also beispielsweise ein Web-Server für die Client-Authentifizierung –, können diese Listen herunterladen. Das Problem dabei ist der Spagat zwischen Aktualität und Größe der Listen. Wenn größere Zertifizierungsstellen viele gesperrte Zertifikate beispielsweise von ehemaligen Mitarbeitern in der CRL haben, ist eine sehr kurze Aktualisierungsfrist lastintensiv.

OCSP erlaubt nun einzelne Anfragen zum Status von Zertifikaten, setzt also die Informationen der CRL in Einzelinformationen um, die für die Beantwortung dieser spezifischen Anforderungen benötigt werden. Beim Windows Server 2008 können dafür Arrays von mehreren Servern für die Beantwortung konfiguriert werden. Mit sogenannten Sperrkonfigurationen wird festgelegt, welche Anforderungen in welcher Weise beantwortet werden sollen.

Sperrkonfigurationen

Die Konfiguration von Sperren erfolgt über Sperrkonfiguration hinzufügen im Kontextmenü Sperrkonfiguration des Verwaltungsprogramms Online Responder Management. Dazu wird ein Assistent gestartet, der durch die verschiedenen Konfigurationsschritte führt.

Der erste Schritt ist die Festlegung eines eindeutigen und möglichst einfach verständlichen Namens für die Sperrkonfiguration. Anschließend muss das Zertifikat für die Zertifizierungsstelle ausgewählt werden. Hier gibt es drei Optionen:

• Es kann ein im Active Directory gespeichertes Zertifikat verwendet werden. Bei der Nutzung von OCSP in Verbindung mit Unternehmenszertifizierungsstellen ist das der übliche Weg.

• Es kann ein Zertifikat verwendet werden, das bereits in den lokalen Zertifikatsspeicher importiert wurde.

• Es kann mit einem Zertifikat gearbeitet werden, das in Form einer Datei geliefert wird.

Die beiden letztgenannten Optionen sind dann wichtig, wenn mit Zertifizierungsstellen außerhalb des Active Directory gearbeitet wird. So können beispielsweise CRLs von Geschäftspartnern auf diese Weise mit in die Überprüfung eingebunden werden.

Die weitere Konfiguration

Im nächsten Schritt muss das Zertifikat der Zertifizierungsstelle ausgewählt werden. Dazu kann im Active Directory gesucht werden. Bei diesem Schritt wird eine Liste der bereits dort verwalteten Zertifikate angezeigt.

Anschließend muss ein Zertifikat für die Signatur der Antworten auf OCSP-Anforderungen ausgewählt werden. Dieses kann man auch automatisch über die Stammzertifizierungsstelle der AD CS erzeugen lassen.

Bei Signierendes Zertifikat auswählen kann man dazu die Option Signaturzertifikat automatisch auswählen verwenden. Mit Automatisch für ein OCSP-Signaturzertifikat registrieren kann man den Bereitstellungsprozess für das Zertifikat starten. Dabei muss die Zertifizierungsstelle angegeben werden. Bei dieser muss die entsprechende Zertifikatvorlage aktiviert sein. Wie man das macht, wird weiter unten noch erläutert. Die Zertifikatvorlage wird als OCSPResonseSigning angezeigt.

Der Sperranbieter

Schließlich müssen noch Details für den Sperranbieter konfiguriert werden, also die Zertifizierungsstelle, die Sperrlisten bereitstellt. Dazu muss die Schaltfläche Anbieter auf der entsprechenden Seite des Assistenten angeklickt werden.

Hier finden sich die CRL-Bereitstellungspunkte, die über LDAP und HTTP erreichbar sind. Wichtig ist aber vor allem die Festlegung des Aktualisierungsintervalls. Standardmäßig werden die CRLs vom OCSP-Provider jeweils am Ende ihres Gültigkeitsintervalls geladen. Man kann aber auch einen deutlich kürzeren Zeitraum festlegen, um die Aktualität der Antworten, die der OCSP-Server liefern kann, zu erhöhen. Aus Gründen der Sicherheit ist das auf jeden Fall empfehlenswert.

Damit ist die Konfiguration der OCSP-Infrastruktur abgeschlossen – Clients können nun OCSP-Anforderungen an die Server im Array stellen.

Die Zertifizierungsstelle vorbereiten

Bei der Vorbereitung der Zertifizierungsstelle gibt es zwei Schritte. Der eine ist die Konfiguration der Bereitstellung von CRLs, der andere die Aktivierung der Zertifikatvorlage für OCSP-Antwortsignaturen.

Die Konfiguration von Eigenschaften der CRLs können im Register Erweiterungen bei den Eigenschaften einer CA konfiguriert werden. Dort finden sich mehrere vordefinierte Verteilpunkte für unterschiedliche Zugriffsmechanismen. Für jeden der Verteilpunkte lassen sich mehrere zusätzliche Optionen definieren. In den meisten Fällen sind die Standardeinstellungen aber ausreichend.

Das Veröffentlichungsintervall wird dagegen über den Befehl Eigenschaften beim Knoten Gesperrte Zertifikate konfiguriert. Der Standardwert ist eine Woche, wobei nach jeweils einem Tag Delta-Sperrlisten veröffentlicht werden. Da OCSP die Nutzung von CRLs deutlich effizienter macht, können hier auch niedrigere Werte bis in den Stundenbereich gewählt werden, um jeweils aktuelle Informationen für OCSP-Server zur Verfügung zu haben. Der kürzestmögliche Wert für die Aktualisierung beträgt eine Stunde.

OCSP-Antwortsignaturen

Die OCSP-Server kommunizieren in signierter Form mit den Systemen, die Anforderungen an sie stellen. Dafür benötigen sie, wie oben ausgeführt, ein entsprechendes Zertifikat, das auf der Vorlage OCSP-Antwortsignatur oder einer selbst erstellten, analogen Vorlage basiert.

Da diese Vorlage standardmäßig konfiguriert ist, muss sie nur noch aktiviert werden. Dazu kann im Kontextmenü des Knotens Zertifikatvorlagen der Befehl Neu – Auszustellende Zertifikatvorlage gewählt werden.

Die Vorlage OCSP-Antwortsignatur ist bereits vorkonfiguriert. Sie muss nur noch aktiviert werden. Anschließend kann sie beim OCSP-Server ausgewählt werden, um automatisch ein Signaturzertifikat zu erstellen.

Die beschriebenen Schritte machen deutlich, dass das Management von Public-Key-Infrastrukturen (PKIs) auf Basis der Zertifikatsdienste des Windows Server 2008 kein Hexenwerk mehr ist – planungsintensiv sind sie trotzdem. (mja)