Einrichtungshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten

Auf dieser Seite

	Einführung
	Planungstabelle Zertifikatsdienste
	Einrichten Ihres Servers
	Vorbereiten von Active Directory für die PKI
	Absichern von Windows Server 2003 für die Zertifikatsdienste
	Weitere Windows-Konfigurationsaufgaben
	Installieren und Konfigurieren der Stammzertifizierungsstelle
	Installieren und Konfigurieren der ausstellenden Zertifizierungsstelle
	Konfigurationsschritte nach Beendigung der Einrichtung
	Clientkonfiguration
	Zusammenfassung

Einführung

In diesem Kapitel erhalten Sie eine ausführliche Beschreibung zur Einrichtung einer auf Zertifikatsdiensten von Microsoft® Windows Server™ 2003 basierenden Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI). Beschrieben wird die Installation und Konfiguration der Zertifizierungsstellen (Certification Authorities, CAs), die Vorbereitung von Microsoft Active Directory® und Microsoft-Internetinformationsdiensten (IIS), sowie die Konfiguration von Richtlinien für Clientzertifikate. Diese Anleitung soll Ihnen bei der Erstellung der Zertifikatsinfrastruktur helfen, die in den folgenden Kapiteln für den Aufbau einer vollständigen Lösung zur WLAN-Absicherung verwendet wird.

In diesem Kapitel erhalten Sie Anweisungen für die Implementierung des PKI-Entwurfs, der in Kapitel 4 unter "Entwerfen der Infrastruktur öffentlicher Schlüssel" beschrieben wird. Hierbei wird jedoch nicht auf die allgemeinen Konzepte von PKI oder Besonderheiten der Microsoft Zertifikatsdienste eingegangen.

Dieses Kapitel stellt ein Begleitkapitel zu den entsprechenden PKI-Kapiteln des Planungs- und Betriebshandbuchs (Kapitel 4 bzw. 11) dar. Im Planungshandbuchs werden die Gründe für die Entscheidung zur Implementierung erläutert. Im PKI-Kapitel des Betriebshandbuchs werden die erforderlichen Aufgaben und Prozesse für eine erfolgreiche Wartung einer PKI behandelt. Sofern Sie es nicht bereits getan haben, lesen Sie die entsprechenden Kapitel im Planungshandbuch, bevor Sie die Lektüre dieses Kapitels fortsetzen. Sie sollten sich auch mit den Auswirkungen der Supportanforderungen im Betriebshandbuch vertraut machen, bevor Sie mithilfe der Anweisungen in diesem Kapitel Ihre PKI implementieren.

Voraussetzungen für das Kapitel

Dieser Abschnitt enthält Prüflisten, die Ihnen bei der Implementierung der PKI helfen sollen. ("Hilfe" ist hier mehr in einem logistischen als unternehmerischen Sinn gemeint. Die Unternehmensmotivation zur Implementierung dieser Lösung wird in den ersten Kapiteln des Planungshandbuchs behandelt.)

Vorausgesetzte Kenntnisse

Sie sollten mit den Konzepten von PKI und insbesondere mit Microsoft-Zertifikatsdiensten vertraut sein. Vertrautheit mit Windows 2000 Server oder Windows Server 2003 wird in den folgenden Bereichen ebenfalls vorausgesetzt:

Bevor Sie mit diesem Kapitel fortfahren, sollten Sie das Planungshandbuch lesen und sich ausführlich mit der Architektur und Gestaltung dieser Lösung auseinandersetzen.

Organisationsvoraussetzungen

Sprechen Sie sich mit anderen Mitgliedern Ihrer Organisation ab, die in die Umsetzung dieser Lösung einbezogen werden sollten, z. B.:

Grundvoraussetzungen der IT-Infrastruktur

In diesem Kapitel gelten folgende Annahmen bezüglich der bestehenden IT-Infrastruktur:

Kapitelüberblick

Die folgende Abbildung zeigt den in diesem Kapitel beschriebenen PKI-Erstellungsvorgang.

Abbildung 7.1: Diagramm des PKI-Erstellungsvorgangs

Diese Schritte spiegeln sich im Aufbau des Kapitels wieder und werden in der folgenden Liste beschrieben. Jeder Schritt besteht aus Installations- und Konfigurationsaufgaben. Zu jedem Schritt stehen Überprüfungsverfahren zur Verfügung, so dass Sie alle getätigten Aktionen auf ihre Funktionsfähigkeit prüfen können, bevor Sie mit dem nächsten Schritt fortfahren.

Zum Seitenanfang

Planungstabelle Zertifikatsdienste

Die folgenden Tabellen enthalten alle PKI-Konfigurationsparameter, die in dieser Lösung verwendet werden. Verwenden Sie diese als Checklisten für Ihre Planungsentscheidungen.

Viele der Parameter in diesen Tabellen werden als Teil der in diesem Kapitel beschriebenen Verfahren manuell gesetzt. Andere Parameter werden entweder durch ein Skript gesetzt, das als Teil eines der Verfahren ausgeführt wird, oder der Parameter wird von einem Skript referenziert, um andere Konfigurations- oder Betriebsschritte zu vervollständigen. Der Name des Skripts wird in solchen Fällen in der Tabelle angegeben.

Hinweis: Die in diesem Kapitel verwendeten Skripts werden ausführlich im Anhang A und in der Datei ToolsReadme.txt beschrieben, die den Skripts beiliegt.

Benutzerdefinierte Konfigurationseinstellungen

Die folgende Tabelle bietet eine Übersicht über organisationsspezifische Parameter der fiktiven Woodgrove Bank. Stellen Sie hierbei sicher, dass Sie in Ihrer Organisation bei sämtlichen Optionen gleichwertige Einstellungen gesammelt oder festgelegt haben, bevor Sie mit der Einrichtung beginnen. Die hier angegebenen, fiktiven Daten werden in den Beispielbefehlen im gesamten Kapitel verwendet. Sie müssen sie durch Werte ersetzen, die für Ihre eigene Organisation zutreffen. Die Stellen, an denen Sie stattdessen Ihre eigenen Werte einsetzen müssen, werden kursiv dargestellt.

Tabelle 7.1: Benutzerdefinierte Konfigurationseinstellungen

Durch die Lösung vorgegebene Konfigurationseinstellungen

Die Einstellungen in der folgenden Tabelle müssen für Ihre Installation nicht geändert werden, es sei denn, Sie möchten aus einem bestimmten Grund eine Einstellung verwenden, die von der Lösung abweicht. Änderungen in den hier vorgegebenen Entwurfsparametern sind vollkommen akzeptabel, sofern Sie sich bewusst sind, dass Sie damit von der getesteten Lösung abweichen. Wenn Sie eine Einstellung ändern, müssen Sie sich über die Auswirkungen im Klaren sein, die dies auf mögliche Abhängigkeiten haben kann, bevor Sie Werte hier und in den Konfigurationsverfahren oder in den angegebenen Skripts ändern.

Tabelle 7.2: Durch die Lösung vorgegebene Konfigurationseinstellungen

Wichtig: Die Verwendung von Schlüssellängen von 4.096-Bit kann Kompatibilitätsprobleme verursachen, wenn die Zertifikate an bestimmte Geräte verteilt oder von diesen verwendet werden (beispielsweise bestimmte Router) bzw. ältere Software anderer Anbieter eingesetzt wird, da diese Schlüssel nur bis zu einer bestimmten Größe verarbeiten können. Sie sollten Ihre Anwendungen darauf überprüfen, ob diese mit einer solchen Schlüssellänge arbeiten können, bevor Sie Ihre PKI bereitstellen. Wenn die Schlüssellänge ein Problem darstellt, reduzieren Sie die Schlüssellänge der Stamm-CA auf 2.048 Bit. Sie müssen das während der Installation der Stamm-CA in der Datei CAPolicy.inf angeben (siehe Abschnitt "Installieren und Konfigurieren der Stammzertifizierungsstelle").

Zum Seitenanfang

Einrichten Ihres Servers

In diesem Abschnitt werden die grundlegenden Schritte beschrieben, mit denen die Serverhardware vorbereitet und das Betriebssystem installiert werden. Es werden zwei Server benötigt: einer als Stamm-CA und ein weiterer als ausstellende CA.

Wichtig: Bevor Sie mit der Einrichtung Ihrer CAs beginnen, sollten Sie den Abschnitt "Sicherheitsverwaltung der Zertifizierungsstellen" in Kapitel 4 ("Entwerfen der Infrastruktur öffentlicher Schlüssel") lesen. Diese Anweisungen können sich auf die für das Einrichten Ihrer Server verwendete Sicherheitsumgebung auswirken.

Auswählen und Konfigurieren der Serverhardware

Die folgenden Unterabschnitte skizzieren die wesentlichen Serverspezifikationen für beide CA-Rollen. In Kapitel 4 ("Entwerfen der Infrastruktur öffentlicher Schlüssel") werden einige der Schlüsselkriterien für die Hardwareauswahl genauer untersucht.

Hardware des Stammzertifizierungsstellen-Servers

In der folgenden Tabelle finden Sie basierend auf den Empfehlungen für Windows Server 2003 die empfohlenen Hardwarespezifikationen für die Stamm-CA. Wenn Sie aber über Hardware verfügen, die die im Planungshandbuch aufgeführten Kriterien erfüllt, aber aus Leistungsgründen aussortiert wurde, können Sie diese verwenden und müssen keine neue Hardware erwerben.

Tabelle 7.3: Hardwareempfehlungen für Stamm-CA-Server

Hardware für die ausstellende Zertifizierungsstelle

Die Leistungsanforderungen für eine ausstellende CA sind relativ gering, da sie im Vergleich zu anderen Servertypen normalerweise nur wenige Aufgaben erfüllt. Hier gelten dieselben Qualitäts- und Zuverlässigkeitskriterien wie bei der Hardwareauswahl für den Stamm-CA-Server. Kleinere Abweichungen von der Stamm-CA-Spezifikation gibt es beim Netzwerk und beim Plattenspeicher. Diese Abweichungen werden in der folgenden Tabelle dargestellt.

Tabelle 7.4: Hardwareempfehlungen für ausstellende CA-Server

Wichtig: Die in dieser Tabelle angegebene Serverspezifikation ist auf eine Gruppe von ca. 5.000 Benutzern ausgelegt. Wenn Ihr System eine höhere Benutzerzahl aufweist, sollten Sie die Laufwerkkapazität für das zweite Laufwerk sowie den installierten Speicher verdoppeln. Rechnen Sie für die benötigte Laufwerkkapazität mit ca. 2 GB pro 1.000 Benutzer. Richtlinien zur Laufwerkverwendung finden Sie unter "Bestimmen der Speicher- und Sicherungsvoraussetzungen einer ausstellenden Zertifizierungsstelle" in Kapitel 11 ("Verwalten der Infrastruktur öffentlicher Schlüssel").

Vorbereiten der Hardware

Führen Sie alle von Ihrem Hardwarelieferanten empfohlenen Hardwarekonfigurationsschritte durch. Möglicherweise müssen Sie für diese Konfigurationen die neuesten BIOS- und Firmware-Updates einspielen.

Erstellen Sie mithilfe der zu Ihrer Hardware gehörenden Plattenverwaltungssoftware die RAID 1-Laufwerke wie in der obenstehenden Tabelle beschrieben (ein Laufwerk für die Stamm-CA, zwei für die ausstellende CA).

Vorbereiten des Stammzertifizierungs-Servers

Die Aufgaben in diesem Abschnitt beschreiben die Installation von Windows auf dem Server, der als Stamm-CA verwendet wird.

Installieren von Windows Server 2003 Standard Edition

Viele Organisationen setzen mittlerweile automatisierte Serverinstallationsverfahren ein. Wenn die in diesem Abschnitt beschriebenen Parameter in das automatische Einrichtungsverfahren eingefügt werden können, können sie auch zur Servereinrichtung eingesetzt werden.

Es gibt dabei eine Ausnahme: Wenn die Einrichtung von einer Netzwerkverbindung abhängt, sollten Sie zumindest für den Stamm-CA-Server eine manuelle Einrichtung ernsthaft in Betracht ziehen. Die Sicherheitsgarantie für eine Offline-CA hängt entscheidend von dem Umstand ab, dass keine Verbindung zu einem Netzwerk besteht oder jemals bestand. So werden die Möglichkeiten einer Gefährdung des Computers durch externe Angriffe drastisch eingeschränkt (da der Angreifer in diesem Fall in irgendeiner Form physischen Zugriff auf den Server haben müsste).

So installieren Sie Windows Server 2003

Netzwerkeinstellungen

Die Stamm-CA ist nicht mit dem Netzwerk verbunden. Sie sollten mithilfe der Netzwerkverbindungen in der Systemsteuerung alle Netzwerkschnittstellen deaktivieren, damit über das Netzwerk kein Zugriff auf die Stamm-CA möglich ist, wenn der Server versehentlich angeschlossen wird.

Überprüfen der Installation

Sie sollten sicherstellen, dass die Betriebssysteminstallation erfolgreich beendet wurde und die konfigurierten Parameter Ihren Erwartungen entsprechen.

So überprüfen Sie die aktuelle Systemkonfiguration

Vorbereiten des ausstellenden Zertifizierungsstellen-Servers

Die folgenden Schritte beschreiben die Installation von Windows Server 2003 auf dem Server, der als ausstellende CA verwendet wird.

Installieren von Windows Server 2003 Enterprise Edition

Führen Sie die gleichen Schritte wie bei der Einrichtung des Stamm-CA-Servers durch, mit Ausnahme der im Folgenden beschriebenen Unterschiede.

Im Gegensatz zur Stamm-CA können Sie den Server für die ausstellende CA bei Bedarf durch eine netzwerkgestützte Installation einrichten. Sie sollten jedoch angemessene Vorkehrungen treffen, um sicherzustellen, dass die CA keinen Sicherheitsbedrohungen ausgesetzt wird. Sie sollten den Server zum Beispiel in einem isolierten Netzwerk installieren, das keine Verbindung zum Internet oder zum Hauptnetzwerk der Organisation hat. Bedenken Sie, dass das System ohne aktuelle Sicherheitsupdates gegen netzwerkinterne Bedrohungen unter Umständen nicht geschützt ist.

So installieren Sie Windows Server 2003 Enterprise Edition

Netzwerkeinstellungen

Die ausstellende CA besitzt eine Netzwerkkarte (obwohl der Server aus Gründen der höheren Ausfallsicherheit auch mit zwei Karten ausgestattet werden kann). Die Netzwerkkarte sollte mit einer statischen IP-Adresse und anderen IP-Einstellungen (z. B. Standard-Gateway und DNS-Einstellungen) passend zu Ihrem Netzwerk konfiguriert sein.

Aus Sicherheitsgründen sollten Sie auch jede ein- und ausgehende Verbindung zwischen der ausstellenden CA und dem Internet blockieren. Auch wenn diese Einschränkungen nur für auswärtigen Zugriff gelten, können sich Viren oder andere bösartige Software ("Malware") als äußerst gefährlich erweisen, da sie weiteren Code aus dem Internet herunterladen oder Ihre privaten CA-Schlüssel stehlen und außerhalb Ihrer Organisation verwerten können.

Überprüfen der Installation

Sie sollten sicherstellen, dass die Betriebssysteminstallation erfolgreich beendet wurde und die konfigurierten Parameter Ihren Erwartungen entsprechen.

So überprüfen Sie die aktuelle Systemkonfiguration

Installieren von Konfigurationsskripts auf den Servern

Um Teile der Konfiguration und des Betriebs zu vereinfachen, sind der Lösung verschiedene Unterstützungsskripts und Konfigurationsdateien beigefügt. Sie müssen diese Dateien auf jedem CA-Server installieren. Einige Skripts werden von Verfahren benötigt, die im Betriebshandbuch beschrieben sind. Deshalb sollten Sie sie nach Beendigung der CA-Installation nicht löschen.

So installieren Sie die Setup-Skripts auf jedem Server

Installieren und Konfigurieren der Internetinformationsdienste

Dieser Abschnitt beschreibt die Installation und Konfiguration von Internetinformationsdiensten (IIS) auf der ausstellenden CA. Die IIS werden verwendet, um CA-Zertifikate und CRL-Downloadpunkte für Nicht-Windows-Clients bereitzustellen. Es wird empfohlen, auf dem Stamm-CA keine IIS zu installieren. Sie können die IIS zwar auf der ausstellenden CA installieren, es ist jedoch sicherer, die Internet-Downloadpunkte für die CA-Zertifikate und CRL auf einem anderen Server als dem CA-Server unterzubringen. Möglicherweise gibt es viele Zertifikatbenutzer (interne oder externe), die CRLs oder CA-Pfadinformationen benötigen, aber nicht notwendigerweise Zugriff auf die CA haben sollen. Der Zugriff kann nicht beschränkt werden, wenn die Downloadpunkte in der Zertifizierungsstelle selbst gehostet werden.

Wichtig: Zur Vereinfachung dieses Handbuchs wird der Server der ausstellenden CA dazu verwendet, als Webserver und als Downloadpunkt für CA-Zertifikate und CRL zu dienen. Es wird jedoch empfohlen, dass Sie die Verwendung eines zusätzlichen Webservers in Ihrer Umgebung in Erwägung ziehen, um die Absicherung Ihrer CAs zu verbessern. Die hier beschriebenen Schritte können gleichermaßen auf die Installation von IIS auf der ausstellenden CA oder auf einem separaten Server angewendet werden.

Der IIS kann auch als Host für die Webregistrierungsseiten der Zertifikatdienste dienen. Diese Seiten werden jedoch in dieser Lösung nicht verwendet. Wenn Sie die Webregistrierungsseiten auf einem anderen Server als dem CA-Server installieren, müssen Sie diesen Server als "für Delegierungszwecke vertrauenswürdig" kennzeichnen. Diese Einstellung nehmen Sie am entsprechenden Computerobjekt in Active Directory vor.

Installieren der Internetinformationsdienste auf der ausstellenden Zertifizierungsstelle

ISS wird mit dem Manager für optionale Windows-Komponenten (Zugriff über Software und Komponenten hinzufügen/entfernen in der Systemsteuerung) installiert. In der folgenden Tabelle sind die zu installierenden Komponenten aufgeführt. Der Einzug spiegelt die hierarchische Beziehung zwischen den Komponenten wider, wie Sie sie im Assistenten zum Verwalten optionaler Komponenten sehen können. (COM+-Netzwerkzugriff aktivieren, zum Beispiel, ist eine Unterkomponente von Anwendungsserver). Komponenten, die nicht ausgewählt werden, sind in der Tabelle nicht aufgeführt.

Tabelle 7.5: Optionale Komponenten, die installiert werden müssen

So installieren Sie IIS

[Components]
complusnetwork = On
iis_common = On
iis_asp = On
iis_inetmgr = On
iis_www = On

Konfigurieren von IIS für Autoritätsinformationszugriff (Authority Information Access, AIA) und Veröffentlichen des Zertifikatssperrlisten-Verteilungspunkts (CRL Distribution Point, CDP) auf der ausstellenden Zertifizierungsstelle

Sie müssen ein virtuelles Verzeichnis erstellen, um es als HTTP-Speicherort für CA-Zertifikate (AIA) und zur CRL-Veröffentlichung (CDP) zu nutzen.

So erstellen Sie ein virtuelles Verzeichnis auf IIS

Auswählen eines DNS-Alias für den HTTP-Veröffentlichungspunkt

Sie sollten einen allgemeinen DNS-Alias (CNAME) erstellen, der für IIS-Server aufgelöst wird (z. B. www.woodgrovebank.com). Dieser DNS-Alias sollte beim Konfigurieren der CDP- und AIA-Pfade für die CAs in den folgenden Abschnitten verwendet werden. Mithilfe dieses Alias können Sie von nun an CA-Veröffentlichungspunkte problemlos auf einen anderen Server bzw. Netzwerkspeicherort verschieben, ohne CA-Zertifikate neu ausgeben zu müssen.

Überprüfen der IIS-Installation

Überprüfen Sie zunächst die Betriebsbereitschaft des IIS. Wenn einer der folgenden Tests fehlschlägt, müssen Sie die IIS-Installation und -Konfiguration in den vorangegangenen Schritten noch einmal überprüfen.

So überprüfen Sie den ordnungsgemäßen Betrieb des virtuellen Verzeichnisses in IIS

So überprüfen Sie, ob die Ausführungsberechtigungen deaktiviert sind

Stellen Sie sicher, dass anonymer Zugriff auf diese Site möglich ist. Da der Microsoft Internet Explorer automatisch und im Hintergrund versucht, einen Benutzer gegenüber einer Website zu authentifizieren, ist es schwierig zu entscheiden, ob der anonyme Zugriff anstelle des authentifizierten Zugriffs verwendet wurde. Eine Möglichkeit dies zu überprüfen besteht darin, die Sicherheitseinstellungen der Internet Explorer-Zone zu ändern, um die Verwendung der anonymen Anmeldung zu erzwingen und den vorangegangenen Test zu wiederholen. Alternativ dazu können Sie auch das folgende Verfahren anwenden, wobei mittels telnet.exe ein nicht authentifizierter Zugriff erzwungen wird. Dabei wird davon ausgegangen, dass Sie den Test der Website direkt vom IIS-Server aus durchführen.

So überprüfen Sie, ob ein anonymer Zugriff möglich ist

Wenn alle drei Tests erfolgreich beendet wurden, löschen Sie die Dateien test.htm und test.asp in dem Ordner auf dem Webserver.

Installieren und Konfigurieren zusätzlicher Betriebssystemkomponenten

Dieser Abschnitt behandelt die Installation und Konfiguration weiterer Komponenten, die auf den Servern erforderlich sind. Sie müssen diese Verfahren auf dem Stamm-CA- und den ausstellenden CA-Servern ausführen.

Entfernen des Dienstes zur Aktualisierung von Stammzertifikaten

Sie sollten den Dienst zur Aktualisierung von Stammzertifikaten entfernen. Es handelt sich hierbei um eine zusätzliche Komponente, die standardmäßig installiert wird. Die vertrauenswürdigen Stamm-CAs Ihrer CAs sollten nicht automatisch aktualisiert werden. Der Dienst funktioniert sowieso nicht, wenn er keinen Internetzugang findet und protokolliert in diesem Fall Fehler im Ereignisprotokoll. Die Offline-CA wird offensichtlich keinen Netzwerkzugriff haben; Sie sollten aber auch alle eingehenden oder ausgehenden Verbindungen zwischen der ausstellenden CA und dem Internet blockieren (wie bereits weiter oben beschrieben).

So entfernen Sie den Dienst zur Aktualisierung von Stammzertifikaten

Mit diesem Befehl verwendet der Manager für optionale Komponenten die Komponentenkonfigurationen, die in der Datei C:\MSSScripts\OC_ RemoveRootUpdate.txt festgelegt sind.

[Components]
rootautoupdate = Off

Überprüfen von Service Packs und Sicherheitsupdates

Sie sollten jetzt die Liste der Service Packs und Sicherheitsupdates überprüfen, da möglicherweise weitere Komponenten (z.  B. IIS) installiert wurden. Verwenden Sie ein Tool wie Microsoft Baseline Security Analyzer (MBSA), um die Überprüfung durchzuführen. Beschaffen Sie sich alle nötigen Updates und installieren Sie diese auf dem Server bzw. auf den Servern, nachdem Sie sie entsprechend getestet haben.

Anweisungen zur Verwendung von MBSA finden Sie unter dem entsprechenden Link im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Hinweis: Sie müssen die aktuelle Liste der Microsoft-Sicherheitsupdates (mssecure.xml) separat herunterladen, sodass Sie MBSA offline ausführen können. Dieser Vorgang wird in er MBSA-Dokumentation beschrieben, die Sie über den MBSA-Link am Ende des Kapitels aufrufen können.

Installieren zusätzlicher Software

Dieser Abschnitt beschreibt die Installation weiterer Software, die auf den CAs erforderlich ist.

CAPICOM

CAPICOM 2.0 (die aktuelle Version ist CAPICOM 2.0.0.3) ist auf der Stamm-CA und der ausstellenden CA für viele Einrichtungs- und Verwaltungsskripts erforderlich, die zu dieser Lösung gehören. Wo Sie die neueste Version von CAPICOM herunterladen können, erfahren Sie am Ende dieses Kapitels im Abschnitt "Weitere Informationen".

Folgen Sie den Anweisungen in der selbst extrahierenden Datei, um die CAPICOM-DLL (dynamic-link library) zu installieren und zu registrieren.

Windows Server 2003 Support Tools

Obwohl nicht unbedingt erforderlich, ist es sehr hilfreich, die Windows  2000 Support Tools auf dem ausstellenden CA-Server zu installieren. Einige der Tools sind für bestimmte CA-Vorgänge und bei der Problembehandlung sehr nützlich. Sie können die Support Tools von der Windows-Installations-CD (Suptools.msi im Ordner Support\Tools) installieren.

Zum Seitenanfang

Vorbereiten von Active Directory für die PKI

In diesem Abschnitt wird erläutert, wie Sie Active Directory für die Installation der Windows Server 2003-Zertifikatsdienste vorbereiten.

Vorbereiten des Active Directory-Schemas

Es gibt einige grundlegende Voraussetzungen für die Active Directory-Domäneninfrastruktur dieser Lösung. Diese hängen davon ab, ob die Lösung in einer Windows  2000-Active Directory-Umgebung installiert wird oder in einer Umgebung, die auf Windows Server  2003-Active Directory umgestellt wurde (oder direkt neu installiert wurde).

Voraussetzungen für alle Active Directory-Versionen

Die Lösung setzt eine Domänenfunktionsebene ab Windows 2000 Einheitlicher Modus oder höher voraus, zumindest für die Domäne, in der die CA-Server installiert werden. Diese Voraussetzung muss gegeben sein, da diese Lösung universelle Active Directory-Gruppen verwendet, die erst ab Windows 2000 Einheitlicher Modus verfügbar sind. Wenn die Domäne nicht den Anforderungen entspricht, müssen Sie sie entsprechend der Anweisungen in der Produktdokumentation ändern (siehe Abschnitt "Weitere Informationen" am Ende dieses Kapitels).

Hinweis: Die Standardeinstellung für die Domänenfunktionsebene von Active Directory ist immer "gemischter Modus", auch wenn Sie die Domäne nur unter Verwendung von Windows 2003 Active Directory-Domänencontrollern installiert haben. Sie müssen die Domänenfunktionsebene höher stufen, bevor Sie fortfahren können. Wenn Sie die Domänenebene nicht höher als "gemischter Modus" einstufen können, da Sie Domänencontroller für Microsoft Windows NT&#174 Version 4.0 unterstützen, müssen Sie manuell globale Domänengruppen anstelle der universellen Gruppen erstellen.

Die Lösung setzt eine Active Directory-Gesamtstruktur mit den Standardeinstellungen für Windows  2000-Gesamtstrukturen (oder höher) voraus. Sie müssen dies nicht ändern. Weitere Informationen zu diesen Konzepten finden Sie am Ende dieses Kapitels.

Installieren in einer Windows 2000-Domäne

Wichtig: Microsoft unterstützt zwar die Installation und Verwendung von Windows Server 2003-Zertifikatsdiensten in einer Domäne, die Windows&#2000-Domänencontroller verwendet, diese Lösung wurde jedoch in dieser Kombination noch nicht vollständig getestet.

Wenn diese Lösung in eine Windows  2000-Active Directory-Gesamtstruktur installiert wird, müssen Sie das Verzeichnisschema aktualisieren, damit die installierten Windows  2003-Zertifikatsdienste ordnungsgemäß funktionieren. Stellen Sie auch sicher, dass auf allen Domänencontrollern Windows 2000 mit Service Pack 3 oder höher installiert ist. Dieses Service Pack ist für das Tool zur Schemaaktualisierung erforderlich sowie dafür, dass die Domänencontroller LDAP-Signatur unterstützen. LDAP-Signatur stellt eine Verbesserung der Sicherheit dar, die für CAs mit Windows Server  2003 und Clients mit Windows  XP-Betriebssystem erforderlich ist, die automatische Registrierung von Zertifikaten einsetzen.

Viele Funktionen von Windows  2003-Zertifikatsdiensten (wie automatische Benutzerregistrierung und bearbeitbare Vorlagen) erfordern eine Windows Server  2003-Version des Active Directory-Schemas. Das heißt jedoch nicht, dass auf einem oder allen Domänencontrollern Windows Server 2003 ausgeführt werden muss. Die Windows Server  2003-Zertifikatsdienste benötigen einfach bestimmte Schemaerweiterungen, die in einem Windows  2000-Active Directory-Schema noch nicht vorhanden sind. Sie können das Verzeichnisschema mithilfe des Tools ADPrep.exe aktualisieren. Sie finden dieses Tool im Ordner i386 der Windows Server 2003-CD.

Um Adprep verwenden zu können, muss Service Pack  3 (SP3) auf Ihren Windows  2000-DCs installiert sein. (ADPrep funktioniert zwar auch mit Service Pack  1 plus einiger Updates, da  SP3 aber auf jeden Fall benötigt wird, spielt dies hier keine Rolle). Verwenden Sie dieses Tool auf keinen Fall, wenn Sie sich nicht sicher sind, ob alle DCs über die richtigen Service Packs verfügen.

Warnung: Die Verwendung dieses Tools bewirkt irreversible Änderungen an Ihrem Verzeichnisschema. Obwohl dieses Verfahren sicher ist, sollten Sie die entsprechende Dokumentation sorgfältig gelesen haben, bevor Sie fortfahren.

Führen Sie auf dem Domänencontroller, der Schemamaster für die Gesamtstruktur ist, den folgenden Befehl aus:

ADPrep /ForestPrep

Sie müssen Schema-Administrator sein, um diese Aufgabe ausführen zu können. Bitten Sie anderenfalls einen Administrator, der über ausreichende Berechtigungen verfügt, diese Änderungen für Sie durchzuführen.

Weitere Informationen zum Tool ADPrep finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Überprüfen der Active Directory-Voraussetzungen

Sie können die Domänenfunktionsebene und die Schemaversion überprüfen, indem Sie die folgenden Schritte ausführen:

So überprüfen Sie die Domänenfunktionsebene

So überprüfen Sie die zutreffende Schemaversion

Active Directory-Gruppen und -Benutzer

In diesem Abschnitt werden die Active Directory-Sicherheitsgruppen und –Benutzerkonten erstellt, die von den CAs verwendet werden.

Erstellen von PKI- und Zertifizierungsstellen-Administrationsgruppen

Die administrativen Rollen und Ressourcen werden mithilfe von Domänenbenutzerkonten und Sicherheitsgruppen definiert.

Hinweis: Die Lösung definiert eine Reihe von Sicherheitsgruppen entsprechend den unterschiedlichen administrativen Rollen. Sie erhalten damit umfassende Kontrolle darüber, wie Sie die Verantwortung für die CA-Administration delegieren möchten. Sie müssen diese Rollen jedoch nicht unbedingt verwenden, wenn dies nicht Ihrem normalen Administrationsmodell entspricht. Wenn Sie zum Beispiel nur einen PKI-Administrator haben, der sich um alle Aspekte des Dienstes kümmert, reicht es unter Umständen aus, wenn Sie dieses Konto allen Rollengruppen auf der CA hinzufügen. In der Praxis verwenden viele Organisationen meist irgendeine Form der Rollenverteilung allerdings werden nur sehr wenige die gesamten Möglichkeiten der Rollenverteilung bei den Windows-Zertifikatsdiensten verwenden.

So erstellen Sie CA-Administrationsgruppen in der Domäne

Dieses Skript erstellt die in der folgenden Tabelle aufgelisteten Sicherheitsgruppen. Die Gruppen werden als universelle Gruppen im Benutzercontainer der Domäne angelegt und sollten in passendere Organisationseinheiten (OUs, Organizational Units) verschoben werden. (In einem der folgenden Abschnitte finden Sie eine Abbildung einer geeigneten Organisationseinheiten-Struktur.)

Vorsicht: Dieses Skript erstellt Sicherheitsgruppen, denen innerhalb der Active Directory-Gesamtstruktur sehr viele Berechtigungen zugewiesen werden. Sie sollten bei der Auswahl der Gruppenmitglieder äußerst sorgfältig vorgehen. Dazu zählen insbesondere die folgenden Sicherheitslücken:

Enterprise PKI Admins. Diese Gruppe verfügt über äußerst umfassende Berechtigungen. Diese Gruppe hat die vollständige Kontrolle über die PKI in der Active Directory-Gesamtstruktur, d.h. über Installation und Ersetzung von Stamm- und Unternehmens-CAs, Änderungen der vertrauenswürdigen Stamm-CAs und über Installation der Kreuzzertifikate. Gehen Sie bei der Auswahl und Zuweisung dieser Gruppe ebenso sorgfältig vor wie bei der Organisations-Administratorengruppe.

Enterprise PKI Publishers. Obwohl der Name auf eine relativ harmlose Gruppe schließen lässt, sind dieser Gruppe auch zahlreiche wichtige Berechtigungen zugewiesen, z. B. die Berechtigung zum Installieren und Entfernen von vertrauenswürdigen Stamm-CAs und Kreuzzertifikaten in der Gesamtstruktur. Diese Gruppe verfügt zwar nicht über so weitreichende Berechtigungen wie die Organisations-Administratorengruppe, ist aber dennoch mit Vorsicht zu handhaben.

Tabelle 7.7: Gruppennamen und Verwendungszweck

Hinweise:
Wenn Sie für jede Organisations-CA unterschiedliche CA Administrators, Certificate Managers, Auditors und Backup Operators benötigen, sollten Sie jeweils eigene Domänengruppen für jede CA erstellen, anstatt einzelner organisationsweiter Gruppen wie hier. Benennen Sie sie CAName CA Admins oder ähnlich.
Für die meisten Domänengruppen gibt es entsprechende lokale Gruppen auf den Offline-CA-Servern.
Die lokale Administratorgruppe auf den CA-Servern spielt ebenfalls eine wichtige Rolle bei der Verwaltung einer CA. Diese Gruppe ist standardmäßig auf Windows-Servern vorhanden.
In einer Mehrfachdomänengesamtstruktur sollten diese Gruppen in derselben Domäne wie die Zertifikatsdienstserver erstellt werden (zumindest geht diese Anleitung von dieser Vorgabe aus). (Da es sich hierbei um universelle Gruppen handelt, können Sie sie zum Verwalten von CAs verwenden, die in einer beliebigen Domänengesamtstruktur installiert sind.)

Erstellen von Testbenutzern für PKI- und Zertifizierungsstellen-Administration

Zu Testzwecken und zur Verdeutlichung erstellt das folgende Skript allgemeine Benutzerkonten, die mit den Rollen übereinstimmen, die durch die zuvor erstellten Administratorengruppen definiert werden. Wenn die eigentlichen Konten, die Sie verwenden werden, an dieser Stelle bereits existieren oder definiert wurden und von Ihnen erstellt werden können, sollten Sie diesen Schritt ignorieren und stattdessen diese Konten verwenden.

So erstellen Sie die Testbenutzerkonten für die CA-Administration

Das Skript erstellt die in der folgenden Tabelle aufgeführten Domänenkonten. Die Benutzer werden im Benutzercontainer angelegt und sollten in eine passendere OU verschoben werden. (Einer der folgenden Abschnitte enthält dazu eine Abbildung.)

Tabelle 7.8: Kontennamen und Verwendungszweck

Hinweis: Die Testkonten zeigen die komplexeste Konfiguration der Administrationsrollen, wobei jede CA-Rolle einer einzelnen Person entspricht (Benutzerkonto). Dies macht jedoch erst Sinn, wenn Sie über genügend Personen verfügen, die diese Rollen übernehmen. Es ist durchaus zulässig, dass einzelne Konten zu mehreren oder sogar zu allen Rollengruppen gehören, wenn dadurch Ihre administrative Struktur präziser wiedergegeben wird. Siehe auch Abschnitt "Erstellen eines vereinfachten Administrationsmodells für die Unternehmenszertifizierungsstelle" weiter unten.

Auffüllen der Zertifizierungsstellen-Administrationsgruppen

Sie müssen die Konten des entsprechenden Administrationspersonals Ihrer Organisation zu den CA-Administrationsgruppen hinzufügen. Eine umfassende Beschreibung der Beziehungen zwischen diesen Gruppen und den administrativen Rollen in der Zertifikatsdiensteinfrastruktur finden Sie im Abschnitt "Verwaltungsrollen" in Kapitel 4 "Entwerfen der Infrastruktur öffentlicher Schlüssel". Eine noch ausführlichere Beschreibung der administrativen Rollen bei Windows Server  2003-Zertifikatsdiensten bietet das Thema "Role-Based Administration". Weitere Informationen dazu finden Sie am Ende des Kapitels.

Hinweis: Nachdem Sie die Testdomänenkonten erstellt haben, müssen Sie diese noch manuell ihren jeweiligen Sicherheitsgruppen hinzufügen. Aus Gründen der Sicherheit führt das Skript diesen Schritt nicht automatisch aus.

Für das Setup-Verfahren im weiteren Verlauf dieses Dokumentes ist es erforderlich, dass Sie für einige Setup-Aktionen Konten verwenden, die zu den Enterprise PKI Admins, Enterprise PKI Publishers und CA Admins gehören. So wird vermieden, dass Berechtigungen von Organisations-Administratoren oder Domänen-Administratoren öfter als unbedingt notwendig verwendet werden.

Hinweis: Es ist möglich, eine deutliche Rollentrennung bei den Windows Server  2003-Zertifikatsdiensten (nur Enterprise Edition) zu erzwingen. Dies bedeutet, dass Konten, denen mehr als eine Rolle zugewiesen wurde (entweder direkt oder über Gruppenzugehörigkeit), von allen administrativen Rollen auf der CA ausgeschlossen werden. Diese Einstellung ist standardmäßig nicht aktiviert und wird in der vorliegenden Lösung auch nicht verwendet. Somit können Sie das gleiche Benutzerkonto mehreren administrativen Rollen zuordnen.

Erstellen eines vereinfachten Administrationsmodells für die Unternehmenszertifizierungsstelle

Die Testkonten und administrativen Gruppen zeigen die komplexeste Konfiguration der Administrationsrollen, wobei jede CA-Rolle einer einzelnen Person entspricht (Benutzerkonto). Es ist durchaus zulässig, dass einzelne Konten zu mehreren oder sogar zu allen Rollengruppen gehören, wenn dadurch Ihre administrative Struktur präziser wiedergegeben wird.

Die meisten Organisationen verwenden drei Rollen: CA-Administrator, Prüfer und Sicherungsoperator. Dies ist in der folgenden Tabelle dargestellt. (Dabei wird eine Teilmenge der Testkonten verwendet, die zu einem früheren Zeitpunkt zu Demonstrationszwecken erstellt wurden.)

Tabelle 7.9: Gruppenzuordnung im vereinfachten Administrationsmodell

Bei dieser Anordnung wäre das CA-Administratorenkonto in der Lage, alle administrativen Aufgaben auf den Unternehmens-CAs (einschließlich Zertifikatsgenehmigung und -sperrung) durchzuführen, und hätte ebenfalls administrative Kontrolle über alle Konfigurationsinformationen der Unternehmens-PKI in Active Directory (die Berechtigungen hierfür werden weiter unten vergeben).

Empfohlene Struktur der Domänenorganisationseinheiten für die Verwaltung der Zertifizierungsstelle und Zertifikatsvorlagen

Für die Verwaltung und den Betrieb einer PKI wird eine große Anzahl von Gruppen und Benutzerkonten verwendet. Zur einfacheren Verwaltung sollten Sie diese Gruppen und Konten in OUs organisieren. In der folgenden Tabelle wird eine entsprechende OU-Struktur dargestellt und der Zweck der jeweiligen OU beschrieben (die eingerückten Objekte sind untergeordnete OUs der Zertifikatsdienste-OU).

Sie müssen der Gruppe der Enterprise PKI Admins die Berechtigungen zum Erstellen und Löschen von Gruppen und Benutzern in der Zertifikatsdienste-OU und allen untergeordneten Containern erteilen.

Tabelle 7.10: Beispiel einer OU-Struktur

Weitere Informationen zur Verwendung dieser OUs und der darin enthaltenen Gruppen finden Sie in den entsprechenden Abschnitten des Kapitels 11 "Verwalten der Infrastruktur öffentlicher Schlüssel".

So erstellen Sie die Zertifikatsdienste-OU-Hierarchie für die Administration

Absichern der Active Directory-PKI

Dieser Abschnitt erläutert die Delegation der Kontrolle über den Container für öffentliche Schlüssel an die Sicherheitsgruppen für die PKI-Administration.

Gewähren von Berechtigungen für den Container für öffentliche Schlüssel

Die PKI-Konfiguration für die Gesamtstruktur wird im Active Directory-Konfigurationscontainer verwaltet. Die Berechtigungen für diesen Container und alle untergeordneten Container und Objekte sind standardmäßig auf die Sicherheitsgruppe der Organisations-Administratoren beschränkt.

Sie müssen die Sicherheit des Containers für öffentliche Schlüssel aus folgenden Gründen ändern:

Solange Sie nicht selbst Mitglied der Organisations-Administratoren sind, müssen Sie ein Mitglied dieser Gruppe bitten, das erste Verfahren für Sie durchzuführen.

Vorsicht: Dieses Verfahren delegiert einen sehr vertraulichen Teil von Active Directory, und zwar den Teil, in dem Benutzer und Computer in der Gesamtstruktur verwaltet werden. Sie sollten sich sehr genau überlegen, wem Sie Zugriff auf den Container für öffentliche Schlüssel gewähren. Konten, die über Zugriffsberechtigungen für diesen Container verfügen, können u. a. vertrauenswürdige Stamm-CAs entfernen, Unternehmens-CAs hinzufügen und entfernen und gültige Anmeldeinformationen für jeden beliebigen Benutzer in der Gesamtstruktur erstellen.

So gewähren Sie Enterprise PKI Admins Berechtigungen

So gewähren Sie Enterprise PKI Publishers Berechtigungen

Gewähren von Berechtigungen für die Gruppe "Zertifikat-Herausgeber"

Die Sicherheitsgruppe "Zertifikat-Herausgeber" enthält die Computerkonten aller Unternehmens-CAs der Domäne. Die Gruppe dient dazu, Benutzer- und Computerobjekten sowie den Objekten im CDP-Container aus dem vorherigen Verfahren Berechtigungen zu gewähren. Wird eine CA installiert, muss deren Computerkonto zu dieser Gruppe hinzugefügt werden. Normalerweise verfügen nur die Gruppen "Domänenadministratoren", "Organisationsadministratoren" oder "Administratoren" über die Berechtigung zum Ändern der Mitgliedschaft in der Gruppe "Zertifikat-Herausgeber". Damit Enterprise PKI Admins Unternehmens-CAs installieren können, müssen Sie die Berechtigungen dieser Sicherheitsgruppe ändern.

So erteilen Sie Berechtigungen zur Mitgliedschaftsänderung in der Gruppe "Zertifikat-Herausgeber"

Gewähren von Berechtigungen zum Wiederherstellen für Enterprise PKI Admins

Für die Installation von Unternehmens-CAs müssen Sie über die Berechtigung zum Wiederherstellen von Dateien und Verzeichnissen in der Domäne verfügen, in der Sie die CA installieren. Der Installationsprozess für die Zertifikatsdienste erfordert dieses Benutzerrecht, um Zertifikatsvorlagen in der Domäne installieren zu können. Genauer gesagt, ist diese Berechtigung erforderlich, um die Sicherheitsbeschreibungen der Vorlagen und anderer Verzeichnisobjekte verbinden zu können und so die richtigen Berechtigungen für die Domänen-PKI-Objekte zu gewähren. Die integrierten Domänengruppen der Administrators, Serveroperatoren und Sicherungsoperatoren verfügen standardmäßig über diese Berechtigung.

Da sie für die Installation der CA die Gruppe der Enterprise PKI Admins verwenden, müssen Sie dieser Gruppe die Berechtigungen zum Wiederherstellen von Dateien und Verzeichnissen erteilen.

So erteilen Sie Enterprise PKI Admins Wiederherstellungsrechte

Überprüfung

Sie können die Erstellung der Gruppen, Benutzer und OUs überprüfen, indem Sie mit dem MMC-Snap-In Active Directory-Benutzer und -Computer die verschiedenen Benutzer und Gruppen suchen. Die Benutzer sollten Mitglieder in den jeweiligen Gruppen sein (unabhängig davon, ob Sie Testbenutzer oder die tatsächlichen Benutzerkonten für die PKI-Administration verwenden).

Sie können mit den folgenden Schritten überprüfen, ob die Berechtigungen auf den Container für öffentliche Schlüssel korrekt angewendet werden: Sie müssen auf dem System, auf dem Sie dieses Verfahren durchführen, Windows Server 2003  Support Tools installieren. Die Überprüfung muss nicht auf einer CA erfolgen.

Hinweis: Melden Sie sich für das folgende Verfahren nicht mit verschiedenen Benutzerkonten an, verwenden Sie stattdessen Runas.exe oder die Menüoption Ausführen als im Windows Explorer, um das MMC-Snap-In ADSIEDIT im Kontext des erforderlichen Benutzers auszuführen.

So überprüfen Sie die Berechtigungen für öffentliche Schlüssel

Zum Seitenanfang

Absichern von Windows Server 2003 für die Zertifikatsdienste

In diesem Abschnitt wird erläutert, wie Sie Sicherheitsrichtlinien und andere Sicherheitsregeln in Windows Server anwenden, bevor Sie die Zertifikatsdienste installieren. Sie sollten außerdem den Abschnitt über "Physische Absicherung" in Kapitel 4 "Entwerfen der Infrastruktur öffentlicher Schlüssel" lesen.

Implementieren der Absicherung auf dem Server für die Stammzertifizierungsstelle

Im Folgenden wird die Konfiguration von lokalen Gruppen- und Benutzerkonten und der Einsatz von Sicherheitsrichtlinien auf dem CA-Server beschrieben.

Erstellen von lokalen Benutzerkonten und Sicherheitsgruppen auf der Stammzertifizierungsstelle

Da die Stamm-CA kein Mitglied einer Domäne ist, müssen administrative Rollen und Funktionen mithilfe lokaler Benutzerkonten und Sicherheitsgruppen festgelegt werden.

So erstellen Sie lokale Benutzerkonten und Gruppen auf dem Server für die Stamm-CA

Erstellen eines vereinfachten Administrationsmodells für die Stammzertifizierungsstelle

Die meisten Organisationen benötigen eine so komplexe Administrationsstruktur wie oben gezeigt nicht. Einige Organisationen benötigen möglicherweise keine Rollentrennung, andere verwenden drei Rollen: CA-Administrator, Prüfer und Sicherungsoperator. Diese Rollen sind in der folgenden Tabelle dargestellt. (Dabei wird eine Teilmenge der Testkonten verwendet, die zu einem früheren Zeitpunkt erstellt wurden.)

Table 7.14: Gruppenzuordnung im vereinfachten Administrationsmodell

Überprüfen der Gruppen und Konten

Überprüfen Sie die Erstellung der Gruppen, Benutzer und Gruppenmitgliedschaften im Knoten Benutzer und Gruppen des MMC-Snap-ins Computerverwaltung.

Zuweisen von Sicherheitseinstellungen für das System auf dem Server für die Stammzertifizierungsstelle

Die Zertifikatsserver werden mithilfe der Rolle Unternehmensclient  Zertifikatsdienste abgesichert, die im Sicherheitshandbuch für Windows Server 2003-Sicherheitshandbuch definiert ist (siehe auch Abschnitt "Weitere Informationen" am Ende dieses Kapitels).

Die Stamm-CA ist kein Mitglied einer Domäne, deshalb müssen die Sicherheitsvorlagen und Verfahren manuell zugewiesen werden. Sie finden die folgenden Sicherheitsvorlagen im Windows Server 2003-Sicherheitshandbuch. Kopieren Sie sie auf den Stamm-CA-Server in den Ordner C:\MSSScripts.

Passen Sie die Sicherheitsvorlagen an, und weisen Sie die Vorlagen dann dem Server zu. Befolgen Sie dabei die folgenden Angaben.

So passen Sie Sicherheitsvorlagen an

Überprüfen der Sicherheitseinstellungen

Mit dem folgenden Verfahren können Sie überprüfen, ob die Sicherheitseinstellungen richtig zugewiesen wurden:

So überprüfen Sie die Sicherheitseinstellungen der Stamm-CA

Implementieren der Absicherung auf dem Server für die ausstellende Zertifizierungsstelle

Der folgende Abschnitt beschreibt die Zuweisung der Sicherheitsrichtlinien für den CA-Server.

Zuweisen von Sicherheitseinstellungen für das System auf dem Server für die ausstellende Zertifizierungsstelle

Die Zertifikatsserver werden mit der Zertifikatsdienste-Serverrolle abgesichert, die im Windows Server 2003-Sicherheitshandbuch definiert wird. Da die ausstellende CA Mitglied einer Domäne ist, werden die Einstellungen der Sicherheitsrichtlinien durch domänenbasierte Gruppenrichtlinien zugewiesen.

Um die Sicherheitseinstellungen zuzuweisen, müssen Sie eine passende OU-Struktur für die Computerobjekte der CA-Server und die GPO-Struktur erstellen. Erstellen Sie drei GPOs:

Es beschreibt die Schritte, mit denen Sie OUs und GPOs für Ihr Unternehmen erstellen können. Die GPO- und OU-Namen dienen nur als Beispiel; Sie müssen das Verfahren an Ihre eigenen Domänenstandards für OUs und GPOs anpassen.

So erstellen Sie OUs und GPOs für die CA-Server

Nachdem Sie die GPOs erstellt und die Vorlagen importiert haben, müssen Sie die Einstellungen in den GPOs anpassen und sie den Zertifikatsdienste-Computern zuweisen. Gehen Sie dazu folgendermaßen vor:

So passen Sie die GPOs für die Zertifikatsdienste an und weisen sie zu

Überprüfen der Sicherheitseinstellungen

Mit dem folgenden Verfahren können Sie überprüfen, ob die Sicherheitseinstellungen richtig zugewiesen wurden:

So überprüfen Sie die Sicherheitseinstellungen der Stamm-CA

Konfigurieren der Absicherung von Terminaldiensten auf der ausstellenden Zertifizierungsstelle

Sie sollten die Terminaldienste auf der ausstellenden CA deaktivieren, da sie sonst eine weitere Möglichkeit für einen Angriff auf die CA bietet. Außerdem wird der Schutz, den Sie im Zusammenhang mit physischen Absicherungsverfahren für die Server eingerichtet haben, erheblich verringert. Wenn Sie die Terminaldienste zur Remoteadministration unbedingt benötigen, sollten Sie die Einstellungen vornehmen, die in der folgenden Tabelle beschrieben werden.

Hinweis: Die Terminaldienste auf dem Server der Stamm-CA spielen keine Rolle, da dieser nicht mit dem Netzwerk verbunden ist.

Konfigurieren Sie die Einstellungen in dem GPO Zertifikatsdienste oder einem anderen GPO, dass den Online-CA(s) zugewiesen wird.

Tabelle 7.18: Zu konfigurierende Einstellungen in Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste

Domänenkonten oder Sicherheitsgruppen, die Zugriff auf die CA-Server per Terminaldienste benötigen, müssen der lokalen Gruppe "Remotedesktopbenutzer" hinzugefügt werden (es sei denn, sie sind bereits Mitglied der lokalen Administratorengruppe).

Zum Seitenanfang

Weitere Windows-Konfigurationsaufgaben

Je nach der Infrastruktur und den Standards Ihres Unternehmens wird es höchstwahrscheinlich weitere Konfigurationsaufgaben geben, die Sie sowohl auf den ausstellenden CAs als auch auf den Stamm-CA durchführen müssen. Zu diesen Aufgaben gehören:

Wenn installiert, sollten Sie diese Software gemäß den jeweiligen Produktanweisungen überprüfen.

Zum Seitenanfang

Installieren und Konfigurieren der Stammzertifizierungsstelle

Dieser Abschnitt beschreibt die Installation und die Konfiguration von Zertifikatsdiensten auf dem Server der Stamm-CA.

Vorbereiten der Datei Capolicy.inf für die Stammzertifizierungsstelle

Bevor Sie eine Stamm-CA unter Windows  2003 einrichten, muss die Datei Capolicy.inf erstellt werden. In dieser Datei sind die Eigenschaften des selbstsignierten Zertifikats der Stamm-CA festgelegt, zum Beispiel die Schlüssellänge und die Gültigkeitsdauer des Zertifikats, die CRL- und AIA-Veröffentlichungsorte, die Zertifikatsrichtlinien und, wenn erstellt, eine Zertifikatverwendungserklärung (Certificate Practices Statement, CPS).

Hinweis: Weitere Informationen zur CPS finden Sie im Abschnitt "Erstellen einer Zertifikatverwendungserklärung" des Kapitels 4 "Entwerfen der Infrastruktur öffentlicher Schlüssel". Eine CPS ist kein technisches, sondern ein juristisches Dokument; Sie sollten daher sicher sein, dass Sie so ein Dokument benötigen, bevor Sie es für Ihre CA konfigurieren.

CRL- und AIA-Informationen werden für das Stamm-CA-Zertifikat selbst nicht benötigt. Deshalb werden die Parameter CRLDistributionPoint und AuthorityInformationAccess in der Datei Capolicy.inf auf Leer gesetzt.

So erstellen Sie die Datei CAPolicy.inf

[Version]
Signature= "$Windows NT$"

[Certsrv_Server]
RenewalKeyLength=4096 
RenewalValidityPeriod=Years 
RenewalValidityPeriodUnits=16

[CRLDistributionPoint]
Empty=true

[AuthorityInformationAccess]
Empty=true

[CAPolicy]
Policies=WoodGrove Bank Root CA CPS

[WoodGrove Bank Root CA CPS]
OID=your.Orgs.OID
URL = "http://www.woodgrovebank.com/YourCPSPage.htm" 

Installieren der Softwarekomponenten für die Zertifikatsdienste

Installieren Sie die CA-Softwarekomponenten mithilfe des Assistenten für Windows-Komponenten. Beachten Sie, dass Sie zur Beendigung der Installation die Windows Server  2003-Installations-CD oder einen Netzwerkpfad benötigen.

So installieren Sie die Zertifikatsdienste

Überprüfen der Stammzertifizierungsstellen-Installation

Sie können die erfolgreiche Installation der Zertifikatsdienste wie folgt überprüfen:

So überprüfen Sie die erfolgreiche Installation der Stamm-CA

Konfigurieren der Stammzertifizierungsstellen-Eigenschaften

Die Konfiguration der CA weist einige Parameter zu, die von der Umgebung abhängig sind. Die Werte für diese Parameter finden Sie oben im Abschnitt "Planungstabelle Zertifikatsdienste". Mit diesem Verfahren werden die CA-Eigenschaften konfiguriert, die in der folgenden Tabelle beschrieben werden:

Tabelle 7.20: Zu konfigurierende CA-Eigenschaften

Hinweis: Die in dieser Tabelle aufgeführten Eigenschaften wirken sich auf die von der Stamm-CA ausgestellten Zertifikate aus, nicht auf die Stamm-CA selbst.

So konfigurieren Sie die Eigenschaften der Stamm-CA

'**************************************************************************
'    USER SETTABLE CONSTANTS        
'
' These values MUST be set to reflect actual values used
' by the organization.
'**************************************************************************

' This is the URL where CRL and CA certs are to be published.
CONST CA_HTTP_PKI_VROOT        = " http://www.woodgrovebank.com/pki"

' This needs to be set only if non Active directory clients need to query
' the ldap URL for CRLs. Normally they are OK with HTTP. If you do set this 
' (to a specific DC FQDN) ALL clients will use this DC to query. Left blank
' AD clients use their default LDAP server (local DC) to query.
CONST CA_LDAP_SERVER        = ""

' This needs to be set to the DN of the Active Directory Forest root domain
' This is used to set the Root CA CDP and AIA paths so that clients can 
' obtain CRL and CA Certificate information from the Active Directory 
CONST AD_ROOT_DN            = "DC=woodgrovebank,DC=com"

Konfigurieren administrativer Rollen

Um administrative Rollen für die CA verwenden zu können (zum Beispiel Auditor, Certificate Manager), müssen Sie die zuvor erstellten Sicherheitsgruppen den einzelnen Rollen zuordnen.

Hinweis: Diese Anleitung verwendet die zuvor angelegten Gruppen zum Definieren mehrerer separater Rollen. Sie erreichen damit eine maximale Flexibilität beim Delegieren von Verantwortlichkeiten für Ihre CA-Verwaltung. Wenn Sie diese Delegationsebene jedoch nicht benötigen, sollten Sie das vereinfachte Administrationsgruppenmodell verwenden, das weiter oben beschrieben wurde. Mithilfe des vereinfachten Modells können Sie dann die administrativen Funktionen auf den CAs auf weniger Konten verteilen.

So konfigurieren Sie administrative Rollen auf der Stamm-CA

Übertragen des Stammzertifizierungsstellen-Zertifikats und der Zertifikatssperrliste auf Diskette

Sie müssen das Zertifikat der Stamm-CA und die CRL von der CA kopieren, damit sie in Active Directory und auf dem IIS-Server veröffentlicht werden können.

So kopieren Sie das Stamm-CA-Zertifikat und die CRL auf Diskette

Veröffentlichen der Stammzertifizierungsstellen-Informationen

Bevor Sie die ausstellende CA installieren können, müssen Sie das Zertifikat der Stamm-CA dem Active Directory-Speicher der vertrauenswürdigen Stamm-CAs hinzufügen und die CRL der Stamm-CA im Active Directory-CDP-Container veröffentlichen. Dadurch importieren alle Domänenmitglieder (einschließlich der ausstellenden CA) das Zertifikat der Stamm-CA in ihre eigenen Listen und können den Sperrstatus jedes von der Stamm-CA ausgestellten Zertifikats überprüfen. (Die ausstellende CA muss den Sperrstatus ihres eigenen Zertifikats überprüfen, bevor die Zertifikatsdienste starten.)

Hinweis: Sie können das folgende Verfahren von jedem Domänenmitglied aus durchführen. Allerdings müssen Certutil.exe und die Bibliotheksdateien certadm.dll und certcli.dll auf dem System installiert sein certutil.exe (plus erforderlicher DLLs) wird als Bestandteil von Windows Server  2003 installiert. Sie können dafür zum Beispiel den unkonfigurierten Server der ausstellenden CA verwenden.

So veröffentlichen Sie das Zertifikat und die CRL der Stamm-CA in Active Directory

Veröffentlichen des Stammzertifizierungsstellen-Zertifikats und der Zertifikatssperrliste auf dem Webserver

Dieser Schritt ist erforderlich, da HTTP-Versionen der CDP- und AIA-URLs in den Zertifikaterweiterungen der CA-Zertifikate angegeben sind. Wenn diese Erweiterungen vorhanden sind, müssen sie durch die Veröffentlichung der CRLs und Zertifikate an die in den Zertifikaten konfigurierten URLs berücksichtigt werden.

Hinweis: Die Vorgehensweise ist identisch. Dabei spielt es keine Rolle, ob sich der CDP- und AIA-veröffentlichende Webserver auf der ausstellenden CA oder auf einem anderen Server befindet. Es wird davon ausgegangen, dass das virtuelle Verzeichnis mit dem Verzeichnis C:\CAWWWPub übereinstimmt, das zu einem früheren Zeitpunkt bei der IIS-Konfiguration eingerichtet wurde. Wenn Sie einen anderen Pfad wählen, müssen Sie in der Datei C:\MSSScripts\PKIParams.vbs den Wert WWW_LOCAL_PUB_PATH aktualisieren.

So veröffentlichen Sie das Stamm-CA-Zertifikat und die CRL im Web-URL

Überprüfen der Veröffentlichung der Stammzertifizierungsstellen-Informationen

Sie sollten überprüfen, ob die Stamm-CA-Informationen korrekt veröffentlicht wurden. Sie müssen diese Schritte an einem Computer durchführen, der ein Domänenmitglied ist. Der Computer muss mit dem Netzwerk verbunden sein, und Sie müssen ein gültiges Domänenkonto verwenden.

Hinweis: Sie müssen möglicherweise warten, bis die Active Directory-Replikation stattgefunden hat. Verwenden Sie den Befehl certutil -pulse, um den Download des Stamm-CA-Zertifikats zu erzwingen, bevor Sie die Veröffentlichung der Stamm-CA-Informationen überprüfen.

So überprüfen Sie die Veröffentlichung der Stamm-CA-Informationen

Zum Seitenanfang

Installieren und Konfigurieren der ausstellenden Zertifizierungsstelle

Dieser Abschnitt beschreibt die Installation und Konfiguration von Zertifikatsdiensten auf dem ausstellenden CA-Server. Während der Installation finden komplexe Interaktionen zwischen dieser CA, der Stamm-CA, Active Directory und dem Webserver statt. Diese Interaktionen werden in folgendem Diagramm verdeutlicht. Das Diagramm kann Ihnen während der Einrichtung als Referenz dienen.

Abbildung 7.2: Interaktion zwischen CAs, Active Directory und Webserver während der Installation der ausstellenden CA
Bild in voller Größe anzeigen

Die hauptsächlichen Interaktionen zwischen den unterschiedlichen Systemen während der Installation der ausstellenden CA sind im Diagramm dargestellt. Zu diesen Interaktionen gehören:

Vorbereiten der Datei Capolicy.inf für die ausstellende Zertifizierungsstelle

Die Datei CAPolicy.inf ist für die ausstellenden CA nicht zwingend notwendig. Diese Datei ist jedoch erforderlich, wenn Sie die Schlüssellänge verändern möchten, die von der CA verwendet wird. Sie sollten die Datei Capolicy.inf erstellen, bevor Sie die ausstellende CA einrichten (obwohl Sie die Datei auch noch später hinzufügen und das CA-Zertifikat dann erneuern können). Diese Datei spezifiziert einige Eigenschaften des CA-Zertifikats, wie die Schlüssellänge und die CPS (sofern Sie eine erstellt haben).

So erstellen Sie die Datei CAPolicy.inf

[Version]
Signature= "$Windows NT$"

[Certsrv_Server]
RenewalKeyLength=2048 

[CAPolicy]
Policies=WoodGrove Bank Issuing CA 1 CPS

[WoodGrove Bank Issuing CA 1 CPS]
OID=your.Orgs.OID
URL = "http://www.woodgrovebank.com/YourCPSPage.htm" 

Installieren der Softwarekomponenten für die Zertifikatsdienste

Installieren Sie die CA-Softwarekomponenten mithilfe des Assistenten für Windows-Komponenten. Beachten Sie, dass Sie die Windows Server  2003-Installations-CD zur Beendigung der Installation benötigen.

So installieren Sie die Zertifikatsdienste

Einreichen der Zertifikatsanforderung an die Stammzertifizierungsstelle

Als nächstes müssen Sie die Zertifikatsanforderung der ausstellenden CA zur Stamm-CA bringen, damit die Anforderung signiert und ein Zertifikat für die ausstellende CA ausgestellt wird.

So reichen Sie die Zertifikatsanforderung an die Stamm-CA ein

Installieren des Zertifikats für die ausstellende Zertifizierungsstelle

Durch die in diesem Abschnitt beschriebenen Schritte wird sichergestellt, dass die Informationen der Stamm-CA, die zuvor in Active Directory veröffentlicht wurden, zu der ausstellenden CA heruntergeladen werden können. Anschließend kann das Zertifikat für die ausstellende CA auf der CA installiert werden.

Aktualisieren der Zertifikatinformationen auf der ausstellenden Zertifizierungsstelle

Das Zertifikat der Stamm-CA wurde zuvor in die Liste der vertrauenswürdigen Stamm-CAs in Active Directory veröffentlicht. Jetzt sollten Sie überprüfen, ob die ausstellende CA diese Informationen heruntergeladen und das Zertifikat im eigenen Stammspeicher gespeichert hat.

So aktualisieren Sie die vertrauenswürdigen Zertifikate auf der ausstellenden CA

Dieser Befehl zwingt die CA dazu, die neue Liste der vertrauenswürdigen Stamm-CAs aus dem Verzeichnis zu laden und das Stamm-CA-Zertifikat in der eigenen Liste der vertrauenswürdigen Stamm-CAs zu speichern.

Hinweis: Dieses Verfahren ist nicht unbedingt erforderlich. Der letzte Schritt der Installation des Zertifikats auf der CA wird automatisch das Stamm-CA-Zertifikat in die lokale Liste der vertrauenswürdigen Stamm-CAs einfügen. Mit diesem Schritt können Sie jedoch überprüfen, ob die Veröffentlichung in Active Directory erfolgreich beendet wurde. Es ist wichtig, dass diese Veröffentlichung korrekt ausgeführt wird, weil auf diesem Weg alle Domänenclients ihre vertrauenswürdigen Informationen über die Stamm- und ausstellenden CAs erhalten.

So überprüfen Sie den erfolgreichen Download der Stamm-CA-Vertrauensinformationen aus Active Directory

Installieren des Zertifikats

Jetzt kann die signierte Antwort (die PKCS#7-Datei enthält das Zertifikat) der Stamm-CA in der ausstellenden CA installiert werden. Damit das CA-Zertifikat erfolgreich im Active Directory-NTAuth-Speicher veröffentlicht wird (der die CA als eine Unternehmens-CA identifiziert), müssen Sie die CA-Zertifikate unter einem Konto installieren, das sowohl Mitglied der Enterprise PKI Admins als auch der lokalen Administrators der CA ist. Die erste Gruppe verfügt über die Berechtigungen zum Veröffentlichen des Zertifikats im Verzeichnis, die zweite über die Berechtigungen zum Installieren des Zertifikats auf der CA. Wenn Sie das zuvor vorgeschlagene Modell der vereinfachten Administration verwenden, dann ist die Rolle "CA-Administratoren" Mitglied in beiden Gruppen.

So installieren Sie das Zertifikat für die ausstellende CA

Die CA sollte jetzt starten.

Überprüfen der Installation der ausstellenden Zertifizierungsstelle

Sie können die erfolgreiche Installation der Zertifikatsdienste wie folgt überprüfen:

So überprüfen Sie die erfolgreiche Installation der ausstellenden CA

Konfigurieren der Eigenschaften der ausstellenden Zertifizierungsstelle

Die Konfiguration der CA weist einige Parameter zu, die von der Umgebung abhängig sind. Die Werte für diese Parameter finden Sie oben im Abschnitt "Planungstabelle Zertifikatsdienste". Mit diesem Verfahren werden die CA-Eigenschaften konfiguriert, die in der folgenden Tabelle beschrieben werden:

Tabelle 7.23: Zu konfigurierende CA-Eigenschaften

Wichtig: Wenn Sie Clients unterstützen, die keiner Domäne angehören (siehe auch Kapitel 4 "Entwerfen der Infrastruktur öffentlicher Schlüssel"), müssen Sie die Reihenfolge der CDP- und AIA-Einträge so ändern, dass der HTTP-Eintrag Vorrang hat. Die Reihenfolge ändern Sie, indem Sie das CA-Konfigurationsskript (ca_setup.vbs) bearbeiten oder die CDP- und AIA-Einträge mithilfe der CA-MMC manuell ändern. Da LDAP-URLS nur für Domänenclients zuverlässig funktionieren, entschließen Sie sich möglicherweise, ausschließlich HTTP-URLs zu verwenden. Wenn Sie sich dazu entschließen, müssen Sie sicherstellen, dass die Webserver, die als Host für die HTTP-AIA- und CDP-Veröffentlichungspunkte dienen, stabil sind.

So konfigurieren Sie die Eigenschaften der ausstellenden CA

Konfigurieren administrativer Rollen

Um administrative Rollen auf der CA verwenden zu können (z B. Auditor, Certificate Manager), müssen Sie den einzelnen Rollen Sicherheitsgruppen zuordnen.

Hinweis: Diese Anleitung verwendet die zuvor angelegten Gruppen zum Definieren mehrerer separater Rollen. Sie erreichen damit eine maximale Flexibilität beim Delegieren von Verantwortlichkeiten für Ihre CA-Verwaltung. Wenn Sie diese Delegationsebene jedoch nicht benötigen, sollten Sie das vereinfachte Administrationsgruppenmodell verwenden, das weiter oben beschrieben wurde. Mithilfe des vereinfachten Modells können Sie dann die administrativen Funktionen auf den CAs auf weniger Konten verteilen.

So konfigurieren Sie administrative Rollen auf der ausstellenden CA

Veröffentlichen der Informationen der ausstellenden Zertifizierungsstelle

Zertifikate und CRLs werden automatisch von der ausstellenden CA in Active Directory veröffentlicht. Die Veröffentlichung von CA-Zertifikaten und CRLs über HTTP-CDP- und AIA-Pfade erfolgt jedoch nicht automatisch, Sie müssen einen Zeitplan erstellen, um dies zu gewährleisten.

Veröffentlichen der Zertifikate und Zertifikatssperrlisten der ausstellenden Zertifizierungsstelle auf dem Webserver

Die Zertifikat(e) und CRLs der ausstellenden CA müssen in den HTTP-AIA- bzw. CDP-Speicherorten veröffentlicht werden. Es ist technisch möglich, die CA so zu konfigurieren, dass sie direkt in den Webserver-Ordner veröffentlicht. Wenn Sie den Webserver auf der ausstellenden CA installiert haben, ist dies tatsächlich sehr einfach. Dies ist jedoch aus Gründen der Sicherheit und Netwerkkonnektivität nicht immer möglich. Im Folgenden wird ein einfaches Dateikopierverfahren beschrieben, das Sie je nach Bedarf anpassen können.

Hinweis: Die hier vorgestellte Methode eignet sich nicht für die direkte Veröffentlichung auf einem Webserver, da sie eine direkte Netzwerkverbindung erfordert und die Windows-Netzwerk-Dateifreigabedienste verwendet, die in der Regel durch eine Firewall blockiert werden. Um auf einem Internetserver zu veröffentlichen, veröffentlichen Sie zunächst mit der unten beschriebenen Methode auf einem zwischengeschalteten Speicherort, und verwenden dann Ihre Standardmethode zum Veröffentlichen abgesicherter Inhalte auf Ihrem Webserver. Beachten Sie die Verzögerung, die dieser zusätzliche Schritt verursacht und die sich auf die Aktualität der CRLs auswirken kann.

Das CA-Zertifikat wird sehr selten erneuert. Deshalb können Sie es manuell auf der AIA veröffentlichen.

So veröffentlichen Sie Zertifikate der ausstellenden CA

CRLs werden von der ausstellenden CA sehr viel regelmäßiger ausgestellt (täglich oder stündlich bei Delta-CRLs) als das CA-Zertifikat, deshalb muss hier eine automatisierte Methode für die Replikation der CRLs auf den Webserver verwendet werden.

So automatisieren Sie die Veröffentlichung von CRLs

Überprüfen der Veröffentlichung der Informationen der ausstellenden Zertifizierungsstelle

Sie müssen überprüfen, ob die Veröffentlichung der Informationen der ausstellenden CA erfolgreich war. Sie müssen diese Schritte an einem Computer durchführen, der ein Domänenmitglied ist. Der Computer muss mit dem Netzwerk verbunden sein, und Sie müssen ein gültiges Domänenkonto verwenden.

So überprüfen Sie die Veröffentlichung der Informationen der ausstellenden CA

Überprüfen der Zertifikatregistrierung

Überprüfen Sie, ob Sie Zertifikate von der ausstellenden CA registrieren können.

So überprüfen Sie die Zertifikatregistrierung

Falls diese Überprüfung fehlschlägt, sollten Sie alle Schritte in diesem Kapitel noch einmal durchgehen und jedes identifizierte Problem beseitigen. Führt dies nicht zur Lösung des Problems, lesen Sie den Abschnitt "Problembehandlung" in Kapitel 11 "Verwalten der Infrastruktur öffentlicher Schlüssel".

Zum Seitenanfang

Konfigurationsschritte nach Beendigung der Einrichtung

Sie haben die Stamm-CA und die ausstellenden CAs für Ihre Organisation eingerichtet. Einige weitere, wichtige Aufgaben müssen jedoch noch durchgeführt werden. Diese Aufgaben werden in diesem Abschnitt beschrieben.

Konfigurieren von Zertifikatsvorlagen

Die meisten Schritte befassen sich mit der Konfiguration der Zertifikatstypen, die von den CAs veröffentlicht werden können, wer die Veröffentlichung steuert und für wen oder was die Zertifikate veröffentlicht werden.

Entfernen unerwünschter Vorlagen von der ausstellenden Zertifizierungsstelle

Solange bestimmte Zertifikatstypen nicht benötigt werden, sollten Sie die entsprechenden Vorlagen von der CA entfernen, damit sie nicht versehentlich ausgestellt werden. Die Vorlagen sind jedoch jederzeit im Verzeichnis verfügbar und können, falls erforderlich, wieder hinzugefügt werden.

So entfernen Sie überflüssige Vorlagen von der ausstellenden CA

Erstellen und Verwalten von Zertifikatsvorlagen

Unternehmens-Zertifikatsvorlagen können effektiver verwaltet und verwendet werden, indem man Sicherheitsgruppen erstellt. Diese Gruppen steuern, welche Benutzer die Eigenschaften jeder Vorlage ändern und welche Benutzer Zertifikate dieses Typs registrieren dürfen.

Hinweis: Gruppen für die Verwaltung von Vorlagen sind nützlich, wenn die Möglichkeit besteht, die Kontrolle über die Vorlagen an unterschiedliche Administrators zu delegieren. Diese Funktionalität ist jedoch nur für große oder komplexe PKI-Administrationsstrukturen erforderlich. In diesem Fall können nur Organisationsadministratoren (die zur integrierten Gruppe gehören) und Enterprise PKI Admins (die als Teil dieser Lösung erstellt werden) die Zertifikatsvorlagen verwalten.

Weitere Informationen zum Erstellen und Verwalten von Administrationsgruppen für Zertifikatsvorlagen finden Sie in den Betriebsverfahren, die in Kapitel 11 "Verwalten der Infrastruktur öffentlicher Schlüssel" beschrieben werden.

Anweisungen zur Erstellung der notwendigen Zertifikatsvorlagen für diese Lösung finden Sie im Abschnitt "Konfigurieren und Bereitstellen von WLAN-Authentifizierungszertifikaten" in Kapitel 9 "Implementieren der Infrastruktur für die WLAN-Absicherung".

Allgemeine Anweisungen zur Erstellung und Änderung von Zertifikatsvorlagen finden Sie im Abschnitt über die Verwaltung von Zertifikatsvorlagen in der Produktdokumentation und dem technischen Whitepaper Implementing and Administering Certificate Templates in Windows Server 2003. (Weitere Informationen zu diesem Thema finden Sie am Ende dieses Kapitels.)

Verwalten der Zertifikatsregistrierung

Zertifikatsvorlagen-Registrierungsgruppen erleichtern Ihnen die Steuerung, wer eine Vorlage registrieren kann bzw. wer für bestimmte Zertifikatstypen automatisch registriert wird. Benutzer können problemlos einer Sicherheitsgruppe hinzugefügt werden oder aus der Gruppe entfernt werden. Die Kontrolle über die Mitgliedschaft kann auch administrativen Mitarbeitern zugewiesen werden, wenn Sie möchten, dass diese Personen Eigenschaften von Zertifikatsvorlagen nicht direkt ändern.

Weitere Informationen zum Erstellen und Verwalten von Registrierungsgruppen für Zertifikatsvorlagen finden Sie in Kapitel 11 "Verwalten der Infrastruktur öffentlicher Schlüssel".

Festlegen von Berechtigungen für Bereitstellungen in Mehrfachdomänen

Wenn Sie diese Lösung in eine Mehrfachdomänen-Gesamtstruktur bereitstellen, müssen Sie möglicherweise Zertifikate für Benutzer und Computer in anderen Domänen als der CA-Domäne ausstellen. In diesem Fall müssen Sie die Standardberechtigungen so ändern, dass die CAs die Zertifikate in anderen Domänen der Active Directory-Gesamtstruktur korrekt veröffentlichen können.

Wenn Sie die Registrierungsberechtigungen für Benutzer auf CAs und Zertifikatsvorlagen setzen möchten, müssen Sie die Benutzer und Computer in allen Domänen explizit mit einschließen, in denen Sie den Benutzern und Computern Berechtigungen zum Registrieren von Zertifikaten gewähren möchten.

So erlauben Sie die Veröffentlichung von Zertifikaten für Benutzer und Computer in anderen Domänen

Dieses Verfahren gewährleistet, dass die Unternehmens-CAs über die notwendigen Berechtigungen zum Veröffentlichen von Zertifikaten für Benutzer und Computer in anderen Domänen verfügen.

Sichern der Zertifizierungsstellenschlüssel und Zertifizierungsstellenserver

Nachdem Sie die Stamm-CA und die ausstellende CAs eingerichtet haben, sollten Sie diese so bald wie möglich sichern, damit die Schlüssel und die Zertifikatsdatenbanken gegen Serverausfälle und Datenverlust geschützt sind.

Führen Sie die folgenden Schritte so aus, wie in Kapitel 11 "Verwalten der Infrastruktur öffentlicher Schlüssel" beschrieben.

Zum Seitenanfang

Clientkonfiguration

Dieser Abschnitt beschreibt einige wichtige Aufgaben bei der Clientkonfiguration. Es sind verhältnismäßig wenige, da die meisten clientbezogenen Aufgaben überwiegend von der jeweiligen Anwendung oder dem jeweiligen Dienst abhängig sind, die bzw. der Zertifikatsdienste verwendet (zum Beispiel WLAN oder virtuelle private Netzwerke). Nur wenige Aufgaben sind für alle Anwendungen gleich.

Aktivieren der Autoregistrierung für Benutzer- und Computerzertifikate

Mit den zuvor beschriebenen Methoden (siehe Abschnitt "Verwalten der Zertifikatsregistrierung") können Sie Sicherheitsgruppen und Vorlagenberechtigungen verwenden, um die automatische Registrierung sehr genau zu kontrollieren. Die Funktionalität der Autoregistrierung ist bei den Clients jedoch standardmäßig deaktiviert. Sie müssen die entsprechende Einstellung in der Gruppenrichtlinie konfigurieren. Wenn Sie die Autoregistrierung durch Sicherheitsgruppen kontrollieren, können Sie diese Funktionalität für alle Benutzer und Computer in der Domäne aktivieren und Sicherheitsgruppen für die Registrierung verwenden, um festzulegen, wer Zertifikate eines bestimmten Typs erhält.

Vorsicht: Die folgende Methode aktiviert die Autoregistrierung für alle Computer und Benutzer in der Domäne. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die Standardvorlagen auf der ausstellenden CA entfernt haben, um zu verhindern, dass die Standardzertifikate für alle Computer und Benutzer in der Domäne registriert werden. Bei diesem Verfahren wird davon ausgegangen, dass Sie die Autoregistrierung mithilfe von Sicherheitsgruppen kontrollieren, die in Kapitel 11 "Verwalten der Infrastruktur öffentlicher Schlüssel" beschrieben werden.

So aktivieren Sie die Autoregistrierung für alle Benutzer und Computer in der Domäne

Weitere Informationen zur automatischen Registrierung von Zertifikaten finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Nur Clients mit Windows  XP und höher unterstützen automatische Registrierung sowohl von Benutzer- als auch Computerzertifikaten. Windows 2000-Clients unterstützen nur die automatische Registrierung von Computerzertifikaten, obwohl einige Anwendungen, z. B.EFS, über einen eigenen Mechanismus für die automatische Registrierung von Benutzerzertifikaten verfügen.

Wenn Sie diese Lösung in einer Umgebung mit Windows  2000 Active Directory bereitstellen, müssen Sie die GPOs von einem Computer aus bearbeiten, auf dem Windows Server 2003 oder Windows XP Professional mit Windows Server 2003-Verwaltungstools installiert ist.

Konfigurieren der Richtlinien für Stammzertifizierungsstellen-Domänen

Dieser Abschnitt beschreibt, welche Einstellungen Sie treffen müssen, um herauszufinden welche kommerziellen Stamm-CAs für Clients in Ihrer Organisation vertauenswürdig sind. Überdies werden Einstellungen erläutert, mit denen Sie kontrollieren können, ob einzelne Benutzer auswählen können, welchen Stamm-CAs sie vertrauen.

Verwalten von Vertrauensstellungen zu Außenstehenden

Standardmäßig sind Windows-Clients so konfiguriert, dass sie einer großen Anzahl kommerzieller Stamm-CAs (so genannten "baked-in-roots") vertrauen. Wenn Sie verhindern möchten, dass Ihre Benutzer diesen Fremdstamm-CAs automatisch vertrauen, wenden Sie das Verfahren an, das im Artikel "To prevent users from trusting third-party root certification authorities with a Group Policy" der Onlinehilfe beschrieben wird. Einen Link zu diesem Artikel finden Sie auch im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Hinweis: Das Deaktivieren fremder Stamm-CAs kann zu Problemen oder Fehlern in Clientanwendungen führen, sodass Sie die entsprechenden Folgen vorher abschätzen sollten. Zum Beispiel verursachen Clientverbindungen zu den meisten öffentlichen abgesicherten Websites dann entsprechende Fehler.

Sie haben verschiedene Möglichkeiten, einige dieser Fehler zu verhindern:

Listen vertrauenswürdiger Zertifikate oder begrenzte Unterordnung sind der sicherste Weg, um vertrauenswürdige Stamm-CAs anderer Organisationen in Ihrer Organisation bereitzustellen. Dieses Verfahren wird in Kapitel 4 "Entwerfen der Infrastruktur öffentlicher Schlüssel" genauer beschrieben.

Verwalten der Benutzerkontrolle über die vertrauenswürdigen Stammzertifizierungsstellen

Sie können auch mit einer Gruppenrichtlinie verhindern, dass Benutzer neue Stamm-CAs als vertrauenswürdig auswählen. Dies ist besonders wichtig, wenn Sie Ihre eigenen Zertifikatvertrauenslisten oder gekennzeichneten vertauenswürdigen Unterordnungen erstellt haben, um die Verwendung von Fremdzertifikaten in Ihrer Organisation zu kontrollieren. Das Verfahren zur Verwendung von Gruppenrichtlinien zur Benutzerkontrolle bei vertrauenswürdigen Stamm-CAs wird in der Onlinehilfe im TechNet-Artikel "To prevent users from selecting new root certification authorities with a Group Policy" (So verhindern Sie mithilfe einer Gruppenrichtlinie, dass Benutzer Zertifikaten von Fremdstamm-CAs vertrauen) beschrieben. Einen Link zu diesem Artikel finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Zum Seitenanfang

Zusammenfassung

Wenn Sie alle in diesem Kapitel beschriebenen Verfahren durchgearbeitet haben, müssten Sie nun die folgenden Aufgaben erledigt haben:

Nun können Sie Anwendungen konfigurieren, um die PKI zu nutzen. Die Vorgehensweise wird in den nächsten beiden Kapiteln dieses Handbuchs beschrieben: Kapitel 8 "Implementieren der RADIUS-Infrastruktur" und Kapitel 9 "Implementieren der Infrastruktur für die WLAN-Absicherung".

Sie sollten jetzt auch die relevanten Abschnitte in Kapitel 11 "Verwalten der Infrastruktur öffentlicher Schlüssel" lesen und sicherstellen, dass die zuständigen IT-Mitarbeiter mit der Materie vertraut sind. Sie finden dort wesentliche Informationen über den sicheren und zuverlässigen Betrieb Ihrer PKI.

Weitere Informationen

Allgemeine Hintergrundinformationen zu PKI und Windows-Zertifikatsdiensten:

Informationen zu speziellen Themen

Zum Seitenanfang

2 von 4