Betriebshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten

Auf dieser Seite

	Einführung
	Notwendige Wartungsaufgaben
	Administrative Rollen für Zertifikatsdienste
	Aufgaben Betrieb
	Aufgaben Support
	Aufgaben Optimierung
	Aufgaben Änderung
	Problembehandlung
	Konfigurationstabellen
	Weitere Informationen

Einführung

Dieses Kapitel beschreibt die Vorgänge, die für die Verwaltung der Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) als Bestandteil dieser Lösung zur WLAN-Absicherung (WLAN = Wireless Local Area Network, lokales Drahtlosnetzwerk) erforderlich sind. Die Struktur basiert auf den Kategorien und Konzepten des Microsoft Operational Framework (MOF), die im ersten Kapitel des Betriebshandbuchs (Kapitel 10) beschrieben wurden.

Ziel dieses Kapitels ist es, Ihnen die Implementierung eines Verwaltungssystems für Ihre Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) zu ermöglichen. Dies beinhaltet sämtliche Setupaufgaben, die vor Beginn der Überwachung und Wartung des Systems zu erledigen sind, sowie die normalen Aufgaben, die während des laufenden Betriebs anfallen. Des Weiteren werden Verfahren zur Verarbeitung von Supportanfragen, zur Verwaltung von Änderungen an der Umgebung und zur Optimierung der Systemleistung erläutert.

Dieses Kapitel ist in zwei Hauptteile untergliedert. Der erste Teil besteht aus zwei kurzen Abschnitten, "Notwendige Wartungsaufgaben" und "Zuweisung von administrativen Rollen", die vollständig gelesen werden sollten. Diese Abschnitte enthalten grundlegende Informationen zur Einrichtung einer ordnungsgemäß verwalteten Umgebung für das System. Der Rest des Kapitels dient in erster Linie als Referenz. Manche Aufgaben in den Referenzabschnitten müssen bei der Bereitstellung des Systems von Ihnen implementiert werden; sie sind jedoch im Abschnitt "Notwendige Wartungsaufgaben" eindeutig gekennzeichnet.

Obwohl Sie nicht sämtliche Einzelheiten des Referenzabschnitts in sich aufnehmen müssen, sollten Sie sich mit seinem Inhalt vertraut machen, so dass Sie bei Bedarf bestimmte Informationen schnell und einfach auffinden können.

Voraussetzungen für das Kapitel

Sie sollten mit den in MOF verwendeten Konzepten vertraut sein, die in Kapitel 10, "Einführung in das Betriebshandbuch", beschrieben sind. Eine fundierte Kenntnis von MOF ist nicht erforderlich.

Darüber hinaus sollten Sie insbesondere mit den Konzepten von PKI und Microsoft® -Zertifikatsdiensten vertraut sein. Zudem ist eine Kenntnis von Microsoft Windows® 2000 Server (oder höher) in den folgenden Bereichen erforderlich:

Bevor Sie mit diesem Kapitel fortfahren, sollten Sie die damit zusammenhängenden Kapitel im Planungshandbuch und im Einrichtungshandbuch (Kapitel 4 und 6) lesen und die Architektur und das Design der Lösung verstehen.

Kapitelüberblick

In der folgenden Liste werden die einzelnen Hauptabschnitte dieses Kapitels beschrieben.

Zum Seitenanfang

Notwendige Wartungsaufgaben

Dieser Abschnitt führt die wichtigsten Aufgaben auf, die Sie für den erfolgreichen Betrieb der PKI durchführen müssen. Einmalige Aufgaben vor und während des Setups sowie fortlaufende Aufgaben im Betrieb werden in zwei Tabellen aufgeführt. Diese Aufgaben werden weiter unten in diesem Dokument im Detail beschrieben. Die Aufgaben werden nach MOF-Quadrant gruppiert, und die MOF-Dienstverwaltungsfunktion, zu der die Aufgabe gehört, wird neben der Aufgabe aufgeführt, damit Sie die erforderliche Aufgabe schneller finden.

Dieser Abschnitt enthält außerdem eine Liste der Tools und Technologien, die in den Verfahren in diesem Kapitel eingesetzt werden.

Erste Setupaufgaben

In dieser Tabelle sind die Aufgaben aufgeführt, die für die Inbetriebnahme der PKI erforderlich sind. Je nach den von Ihnen eingesetzten Standards und Vorgehensweisen müssen Sie möglicherweise nicht alle Aufgaben durchführen. Sie sollten sich die Beschreibungen durchlesen und dann entscheiden. Andere Aufgaben wiederum müssen möglicherweise zu einem späteren Zeitpunkt erneut ausgeführt werden. Wird beispielsweise eine neue CA installiert, müssen Sie die zugehörigen Sicherungs- und Überwachungsaufgaben konfigurieren.

Tabelle 11.1: Erste Setupaufgaben

Auch wenn es keine dokumentierten Aufgaben für den Aufbau eines Konfigurationsverwaltungssystems für die PKI gibt, sollten Sie sich mit den Verfahren im Abschnitt Konfigurationsverwaltung vertraut machen. Diese Verfahren beschreiben die Informationstypen, die in einem Konfigurationsverwaltungssystem gesammelt und gewartet werden sollten.

Wartungsaufgaben

Diese Tabelle führt die Aufgaben auf, die Sie regelmäßig ausführen müssen, um den einwandfreien Betrieb Ihrer PKI zu gewährleisten. Sie können diese Tabelle bei der Ressourcenplanung und der Erstellung des Zeitplans für die Administration heranziehen.

Einige dieser Aufgaben müssen Sie möglicherweise nie ausführen, diese Entscheidung sollten Sie jedoch erst nach Durchsicht der Beschreibungen treffen. Bestimmte Aufgaben wiederum müssen u. U. sowohl bei Bedarf als auch nach einem Zeitplan erledigt werden. Zum Beispiel müssen Sie bei Erneuerung eines Stamm-CA-Zertifikats eine Sicherung der Stamm-CA durchführen, auch wenn dieses Ereignis nicht geplant ist. Wo auch immer dies der Fall sein sollte, ist es in der Spalte "Häufigkeit" vermerkt. Auch werden Abhängigkeiten dieser Art in den Aufgabendetails erörtert.

Tabelle 11.2: Wartungsaufgaben

Erforderliche Technologien

In der folgenden Tabelle finden Sie eine Liste der in diesem Kapitel beschriebenen Technologien und Tools.

Tabelle 3: Erforderliche Technologien

Tabelle 11.4: Empfohlene Technologien

Zum Seitenanfang

Administrative Rollen für Zertifikatsdienste

An der Verwaltung einer PKI sind zahlreiche unterschiedliche Rollen beteiligt. In den folgenden zwei Abschnitten werden diese in Haupt- und Nebenrollen unterteilt.

Hauptrollen für Zertifikatsdienste

Hauptrollen für Zertifikatsdienste sind für die Verwaltung einer Infrastruktur öffentlicher Schlüssel absolut notwendig. Viele dieser Rollen entsprechen den CC-Sicherheitsrollen (Common Criteria oder allgemeine Kriterien), die für Zertifikatsdienste definiert wurden. Wenn dies der Fall sein sollte, ist dies in Klammern hinter dem Rollennamen angegeben.

Tabelle 11.5: Hauptrollen für Zertifikatsdienste

Nebenrollen für Zertifikatsdienste

Die Nebenrollen in der nachstehenden Tabelle sind für die Verwaltung einer Infrastruktur öffentlicher Schlüssel nicht von essenzieller Bedeutung, sondern unterstützen die Hauptrollen in ihren Funktionen.

Tabelle 11.6: Nebenrollen für Zertifikatsdienste

Zuordnen von Rollen für Zertifikatsdienste zu Sicherheitsgruppen

Die folgende Tabelle enthält die für diese Lösung erforderlichen Sicherheitsgruppen und beschreibt die jeweiligen Fähigkeiten bzw. Berechtigungen einer Gruppe.

Für Offline-CAs gibt es nur lokale Sicherheitsgruppen. In diesem Fall müssen Sie individuelle lokale Konten auf der CA selbst erstellen und für das Auffüllen der lokalen Gruppen verwenden. Individuelle Konten können Mitglieder mehrerer oder sogar aller lokalen Rollengruppen sein, wenn diese Konfiguration mit den Sicherheits- und IT-Richtlinien Ihres Unternehmens konform ist.

Für Online-CAs werden die Domänensicherheitsgruppen verwendet, um die für die jeweiligen Rollen geltenden Berechtigungen zuzuweisen. Die Rollengruppen werden mit Domänenkonten aufgefüllt. Auch hier können einzelne Konten Mitglieder mehrerer oder aller Rollengruppen sein, wenn diese Konfiguration die Sicherheits- und IT-Richtlinien Ihres Unternehmens unterstützt.

Tabelle 11.7: Zuordnung von Zertifikatsdienstrollen zu Sicherheitsgruppen

Zum Seitenanfang

Aufgaben Betrieb

Dieser Abschnitt enthält detaillierte Informationen zu den Wartungsaufgaben, die sich auf den MOF-Quadranten "Betrieb" beziehen.

Dieser MOF-Quadrant umfasst alle betriebsbezogenen Standards, Verfahren und Prozesse, die in regelmäßigen Abständen auf Dienstlösungen angewendet werden müssen, um die vordefinierten Servicelevels zu erzielen und aufrechtzuerhalten. Das Ziel dieses Quadranten besteht darin, eine verlässliche Durchführung der manuellen und automatisierten Aufgaben im Alltagsbetrieb zu erreichen.

Der Betriebsquadrant umfasst die folgenden Dienstverwaltungsfunktionen (Service Management Functions, SMFs):

Für die übrigen SMFs gibt es keine Aufgaben:

Verzeichnisdienstadministration

Verzeichnisdienste ermöglichen Benutzern und Anwendungen das Aufspüren von Netzwerkressourcen wie Benutzern, Servern, Anwendungen, Tools, Diensten und anderen Informationen. Die Verzeichnisdienstadministration umfasst Alltagsbetrieb, Wartung und Support des Unternehmensverzeichnisses. Mit der Verzeichnisdienstadministration wird sichergestellt, dass Informationen für jeden autorisierten Antragsteller über das Netzwerk in einem einfachen und organisierten Verfahren erreichbar sind.

Vorbereiten einer Domänenorganisationseinheits-Struktur für die Verwaltung der Zertifikatsdienste

Zweck dieser Aufgabe ist die Bereitstellung einer adäquaten Organisationseinheitsstruktur (Organizational Unit, OU) für die Verwaltung der Sicherheitsgruppen und Benutzerkonten von Zertifikatsdiensten.

Zusammenfassung

Aufgabendetails

Diese Aufgabe ist als Anleitung gedacht und hängt zum großen Teil von der vorhanden Struktur der Organisationseinheiten und den aktuellen Verwaltungsrichtlinien und -verfahren ab. Die folgende Tabelle enthält ein Beispiel für eine einfache Organisationseinheiten-Unterstruktur, das Sie verwenden könnten, um die in diesem Handbuch aufgeführten Sicherheitsgruppen zu organisieren.

Tabelle 11.8: Speicherort von Sicherheitsgruppen innerhalb der OU-Struktur

Erstellen von Gruppen für die Vorlagenverwaltung

Gruppen für die Vorlagenverwaltung sind ein nützliches Hilfsmittel zur Delegation der Steuerung mithilfe von Vorlagen und deren Einstellungen an verschiedene Administratoren. Nur Organisationsadministratoren und Enterprise PKI Admins verfügen über die Berechtigung zur Änderung der Vorlagen. Falls Ihre IT-Abteilung nicht sehr groß ist, ist diese Art von Unterteilung möglicherweise nicht nötig. In diesem Fall können nur Organisationsadministratoren (die zur integrierten Gruppe gehören) und Enterprise PKI Admins (die als Teil dieser Lösung erstellt werden) die Zertifikatsvorlagen verwalten.

Zusammenfassung

Aufgabendetails

Führen Sie die folgenden Schritte für jede Zertifikatsvorlage durch, die Sie erstellen oder in Ihrer Umgebung aktivieren möchten.

So erstellen Sie Zertifikatsvorlagen-Verwaltungsgruppen

Erstellen von Gruppen zur Registrierung von Zertifikatsvorlagen

Anhand von Gruppen zur Registrierung von Zertifikatsvorlagen können Sie leicht steuern, wer eine Vorlage registrieren kann bzw. automatisch registriert wird, indem Sie einfach Benutzer oder Computer zu dieser Gruppe hinzufügen bzw. daraus entfernen. Zudem können Sie Administratoren ohne Schreibberechtigungen für die Zertifikatsvorlagen die Berechtigung zum Steuern der Mitgliedschaft in diesen Gruppen gewähren.

Zusammenfassung

Aufgabendetails

Erstellen Sie für jeden Vorlagentyp eine Gruppe, oder zumindest für alle Vorlagentypen, bei denen die Zertifikatsregistrierung automatisch erfolgt. (Falls Sie für einen bestimmten Zertifikatstyp einen komplexeren oder einen manuellen Registrierungsprozess verwenden, erweist sich der Einsatz von Gruppen zur Registrierung von Zertifikatsvorlagen u. U. als nicht so nützlich.) Wenn für den Zertifikatstyp eine automatische Registrierung angemessen ist, können Sie eine separate Gruppe erstellen, die steuert, welche Benutzer und Geräte das Zertifikat automatisch registrieren.

So erstellen Sie Gruppen zur Registrierung von Zertifikatsvorlagen

Aktivieren der Registrierung (oder Autoregistrierung) eines Zertifikatstyps für einen Benutzer oder Computer

Bei dieser Aufgabe werden Registrierungsgruppen verwendet, um eine manuelle Registrierung zuzulassen oder die automatische Registrierung eines Zertifikatstyps für Benutzer, Computer und Sicherheitsgruppen von Benutzern und/oder Computern zu initiieren.

Zusammenfassung

Aufgabendetails

So aktivieren Sie die Registrierung oder Autoregistrierung für Benutzer oder Computer

Deaktivieren der Registrierung oder Autoregistrierung eines Zertifikatstyps für einen Benutzer oder Computer

Durch Ausstellen eines Zertifikats für einen Benutzer oder Computer wird in der Regel eine bestimmte Funktionalität für den Zertifikatinhaber aktiviert. Es kann sein, dass Sie diese Funktionalität zu einem späteren Zeitpunkt sperren müssen.

Zusammenfassung

Aufgabendetails

So deaktivieren Sie die Registrierung oder Autoregistrierung für Benutzer oder Computer

Sicherheitsadministration

Die Sicherheitsadministration trägt die Verantwortung für die Aufrechterhaltung einer sicheren Umgebung. Die Sicherheit spielt innerhalb der Infrastruktur eines Unternehmens eine wichtige Rolle; einem Informationssystem mit einer schwachen Sicherheitsgrundlage wird früher oder später eine Sicherheitsverletzung widerfahren.

Überprüfen ausstehender Anforderungen

Zertifikatsanforderungen können jederzeit an die ausstellende CA gestellt werden. Die meisten Zertifikate werden automatisch ausgestellt, entweder über Active Directory als Registrierungsautorität (RA) oder durch vordefinierte Signaturensätze aus angegebenen RAs. Sollten Sie Zertifikatstypen verwenden, die manuelle Zustimmung durch einen Certificate Manager erfordern, so werden diese in eine Warteschlange gestellt, bis sie genehmigt oder abgelehnt werden.

Zusammenfassung

Aufgabendetails

Überprüfen Sie den Anforderungsordner täglich auf in der Warteschlange befindliche Anforderungen. Bevor Sie ein Zertifikat ausstellen, überprüfen Sie genau den Antragsteller und den Inhalt der Anforderung. Stellen Sie sicher, dass der Name des Antragstellers und der Name des alternativen Antragstellers sowie Schlüsselverwendung, Richtlinien und Erweiterungen in der Anforderung Ihren Erwartungen entsprechen. Falls die Anforderung unerwartete Parameter enthält, sollten Sie sie nicht genehmigen.

Sie können die CA auch für das Senden von E-Mail-Benachrichtigungen nach bestimmten Ereignissen konfigurieren, z. B. bei Eingang einer ausstehenden Anforderung. Siehe Verfahren "Konfigurieren von SMTP-Benachrichtigungen für ausstehende Zertifikatsanforderungen".

So überprüfen Sie ausstehende Anforderungen

Erneuern des Zertifikats der Stammzertifizierungsstelle

Sie müssen das Zertifikat der CA regelmäßig erneuern, damit untergeordnete CAs und Endeinheiten Zertifikate registrieren können. Kein von dieser CA und untergeordneten Stellen ausgestelltes Zertifikat kann ein späteres Ablaufdatum als dieses Zertifikat haben. Andere Ursachen für die Erneuerung dieses Zertifikats sind:

In der Regel sollten Sie den Zertifikatsschlüssel bei jeder Erneuerung ändern. Falls Sie eine Erneuerung unter Beibehaltung desselben Schlüssels durchführen möchten, lesen Sie den Abschnitt "Erneuern des Zertifikats der Stammzertifizierungsstelle ohne Änderung des Schlüssels".

Zusammenfassung

Aufgabendetails

So erneuern Sie das Zertifikat der Stamm-CA

[Certsrv_Server]
RenewalKeyLength=2048

Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle

Sie müssen das Zertifikat der CA regelmäßig erneuern, damit Endeinheiten (und ggf. vorhandene untergeordnete CAs) weiterhin Zertifikate bei dieser CA registrieren können. Kein ausgestelltes Zertifikat kann ein späteres Ablaufdatum als dieses Zertifikat haben. Andere Ursachen für die Erneuerung dieses Zertifikats sind:

In der Regel sollten Sie den Zertifikatsschlüssel bei jeder Erneuerung ändern. Falls Sie eine Erneuerung unter Beibehaltung desselben Schlüssels durchführen möchten, lesen Sie den Abschnitt "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels".

Zusammenfassung

Aufgabendetails

So erneuern Sie das Zertifikat der ausstellenden CA

[Certsrv_Server]
RenewalKeyLength=2048

Erneuern des Zertifikats der Stammzertifizierungsstelle ohne Änderung des Schlüssels

Normalerweise sollten Sie den Schlüssel der Stamm-CA bei jeder planmäßigen Erneuerung des CA-Zertifikats ändern (siehe Verfahren "Erneuern des Zertifikats der Stammzertifizierungsstelle"). Es kann jedoch vorkommen, das Sie das CA-Zertifikat ohne Änderung des CA-Schlüssels erneuern müssen, zum Beispiel wenn Sie beim Ändern der CA-Richtlinien oder beim Erweitern der Gültigkeitsdauer des Zertifikats dasselbe Schlüsselpaar beibehalten.

Zusammenfassung

Aufgabendetails

So erneuern Sie das Zertifikat der Stamm-CA ohne Änderung des Schlüssels

Abgesehen davon, dass Sie bei der Aufforderung zur Erstellung eines neuen Schlüssels auf Nein klicken, unterscheidet sich dieses Verfahren nicht von den Schritten unter "Erneuern des Zertifikats der Stammzertifizierungsstelle".

Vorsicht: Das Erneuern des Zertifikats der Stamm-CA ist ein sehr bedeutsames Ereignis. Sie müssen alle betroffenen Besitzer von Anwendungen hiervon in Kenntnis setzen, für den Fall, dass diese das neue Zertifikat zu ihren Anwendungen hinzufügen müssen.

Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels

Sie sollten den Schlüssel einer ausstellenden CA normalerweise bei jeder geplanten CA-Zertifikatserneuerung ändern. (Siehe "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".) Es kann jedoch vorkommen, das Sie das CA-Zertifikat ohne Änderung des CA-Schlüssels erneuern müssen, etwa wenn Sie beim Ändern der CA-Richtlinien oder beim Erweitern der Gültigkeitsdauer des Zertifikats das Schlüsselpaar beibehalten.

Zusammenfassung

Aufgabendetails

So erneuern Sie das Zertifikat der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels

Abgesehen davon, dass Sie bei der Aufforderung zur Erstellung eines neuen Schlüssels auf Nein klicken, unterscheidet sich dieses Verfahren nicht von den Schritten unter "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".

Veröffentlichen einer Offlinezertifikatssperrliste und eines Offlinezertifizierungsstellen-Zertifikats

Die Zertifikatssperrliste (Certificate Revocation List, CRL) einer Offline-CA muss online veröffentlicht werden, damit Zertifikatbenutzer den Sperrstatus der gesamten CA-Kette überprüfen können.

Zusammenfassung

Aufgabendetails

So veröffentlichen Sie die Offline-Stamm-CRL in Active Directory und der Web-URL

Erzwingen der Ausstellung einer Onlinezertifikatssperrliste

Die CRLs einer Online-Unternehmens-CA werden automatisch ausgestellt und veröffentlicht; daher ist es in der Regel nicht nötig, die Ausstellung einer Online-CRL zu erzwingen. Das Erzwingen kann jedoch erforderlich werden, wenn eine kritische Sperrung stattfand (etwa aller Zertifikate der CA) und eine neue CRL ohne Verzögerung veröffentlicht werden muss.

Hinweis: Es ist nicht möglich, einem Client eine CRL "aufzuzwingen". Er behält die bestehende Version im Cachespeicher bei, bis diese abläuft. Sobald aber eine neue CRL veröffentlicht wird, erhält jeder Client, der eine CRL anfordert, die aktuelle CRL eventuelle Verzögerungen sind jedoch unvermeidlich.

Zusammenfassung

Aufgabendetails

So stellen Sie die Offline-CA-CRL aus und veröffentlichen sie in Active Directory

Veröffentlichen des Zertifikats der ausstellenden Zertifizierungsstelle auf dem Webserver

Die Zertifikate der ausstellenden CA müssen im HTTP-AIA-Pfad veröffentlicht werden.

Zusammenfassung

Aufgabendetails

Es ist technisch möglich, die CA so zu konfigurieren, dass sie direkt im Webverzeichnis veröffentlicht. Diese Methode ist jedoch aus Gründen der Sicherheit und Netzwerkkonnektivität nicht immer ratsam. Im Folgenden wird ein einfaches Dateikopierverfahren beschrieben, das Sie je nach Bedarf anpassen können.

Hinweis: Diese Methode ist nicht unbedingt zur direkten Veröffentlichung auf einem mit dem Internet verbundenen Webserver geeignet, da sie eine direkte Verbindung mit dem Netzwerk erfordert und SMB-Freigabe (Server Message Block) verwendet, die in der Regel von Firewalls blockiert wird. Um auf einem Internetserver zu veröffentlichen, veröffentlichen Sie zunächst mit der unten beschriebenen Methode auf einem zwischengeschalteten Speicherort und verwenden dann Ihre Standardmethode zum Veröffentlichen abgesicherter Inhalte auf Ihrem Webserver. Berücksichtigen Sie die zusätzliche Latenz dieser Methode.

Das CA-Zertifikat wird selten aktualisiert. Daher können Sie jedes Mal, wenn das CA-Zertifikat erneuert wird, manuell auf dem AIA veröffentlichen.

So veröffentlichen Sie Zertifikate der ausstellenden CA

Veröffentlichen der Zertifikatssperrliste der ausstellenden Zertifizierungsstelle auf dem Webserver

Die CRLs der ausstellenden CA müssen im Pfad des HTTP-CDP (CRL Distribution Point, CDP) veröffentlicht werden.

Zusammenfassung

Aufgabendetails

Es ist technisch möglich, die CA so zu konfigurieren, dass sie direkt im Webverzeichnis veröffentlicht. Diese Methode ist jedoch aus Gründen der Sicherheit und Netzwerkkonnektivität nicht immer ratsam. Im Folgenden wird ein einfaches Dateikopierverfahren beschrieben, das Sie je nach Bedarf anpassen können.

Hinweis: Diese Methode ist nicht unbedingt zur direkten Veröffentlichung auf einem mit dem Internet verbundenen Webserver geeignet, da sie SMB-Freigabe (Server Message Block) verwendet, die in der Regel von Firewalls blockiert wird. Um auf einem Internetserver zu veröffentlichen, veröffentlichen Sie zunächst mit der unten beschriebenen Methode auf einem zwischengeschalteten Speicherort und verwenden dann Ihre Standardmethode zum Veröffentlichen abgesicherter Inhalte auf Ihrem Webserver. Berücksichtigen Sie hierbei die zusätzliche Latenz dieser Methode sowie die Auswirkungen, die sich daraus eventuell für die Aktualität Ihrer CRLs ergeben.

Die ausstellende CA gibt die CRLs regelmäßig (täglich bzw. stündlich bei Delta-CRLs) heraus. Deshalb muss hier eine automatisierte CRL-Replikationsmethode auf die Webserver verwendet werden.

So automatisieren Sie die Veröffentlichung von CRLs

Speicherverwaltung

Die Speicherverwaltung beschäftigt sich mit dem Speichern von Daten vor Ort oder an entfernten Orten zum Zweck der Datenwiederherstellung und verlaufsgerechten Archivierung. Das verantwortliche Team muss dabei die physische Absicherung von Sicherungskopien und Archiven gewährleisten. Ziel der Speicherverwaltung ist die Definition, Nachverfolgung und Wartung von Daten und Datenressourcen in der IT-Umgebung.

Konfigurieren der Datenbanksicherung einer ausstellenden Zertifizierungsstelle

Zweck dieser Aufgabe ist es, eine Sicherungskopie der privaten Schlüssel und Zertifikate der CA, der Zertifikatsdatenbank sowie der Zertifikatsdienstekonfiguration zu erstellen. Die Zertifikatsdienstekonfiguration beinhaltet sämtliche Konfigurationsparameter des Betriebssystems und andere Statusinformationen, von denen die CA abhängig ist.

Zusammenfassung

Aufgabendetails

Im Folgenden wir ein geplanter Auftrag zur nächtlichen Sicherung des Systemstatus des CA-Servers erstellt. Bei diesem Verfahren wird vorausgesetzt, dass Ihr Unternehmen über ein System zur Serversicherung verfügt. Durch den Sicherungsvorgang entsteht eine Sicherungsdatei, die anschließend von der Sicherungslösung Ihres Unternehmens gesichert werden kann. Die Unternehmenssicherung kann über das Netzwerk oder lokal erfolgen. Es wird außerdem davon ausgegangen, dass Sie in Ihrer Lösung eine nächtliche Sicherung der Serverplatten durchführen.

Hinweis: Wenn Sie ein HSM (Hardware Security Module) verwenden, kann dieses Verfahren zwar verschlüsselte Schlüssel sichern (abhängig von der Arbeitsweise des HSM), diese Sicherungskopie ist jedoch normalerweise auf einem wiederhergestellten Computer ohne identisches HSM und die entsprechenden Zugriffsschlüssel unbrauchbar. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern und sonstigen Absichern der (Zugriffs-)Schlüssel.

So konfigurieren Sie eine CA-Sicherung

CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'path used by NTBackup

Konfigurieren der Datenbanksicherung der Stamm-CA

Zweck dieser Aufgabe ist es, eine Sicherungskopie der privaten Schlüssel und Zertifikate, der Zertifikatsdatenbank und Zertifikatsdienstekonfiguration der CA zu erstellen. Die Zertifikatsdienstekonfiguration beinhaltet sämtliche Konfigurationsparameter des Betriebssystems und andere Statusinformationen, von denen die CA abhängig ist.

Zusammenfassung

Aufgabendetails

Die Stamm-CA stellt in der Regel nur wenige Zertifikate aus, so dass keine großen Datenmengen anfallen. Die Daten ändern sich nur selten, möglicherweise nur einmal in mehreren Jahren. Das Verfahren ist das gleiche wie bei allen anderen Offline-CAs, z.  B. bei einer Offline-Zwischen-CA, wenn Sie diese einsetzen.

Da die Stamm-CA offline ist, benötigen Sie ein lokales Sicherungslaufwerk (z.  B. ein Bandlaufwerk oder eine beschreibbare CA), auf dem Sie die Daten speichern können.

Vorsicht: Wenn Sie ein HSM verwenden, kann dieses Verfahren zwar verschlüsselte Schlüssel sichern (abhängig von der Arbeitsweise des HSM), aber die gesicherten Schlüssel sind auf einem wiederhergestellten Computer ohne identisches HSM und die entsprechenden Zugriffsschlüssel unbrauchbar. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern und sonstigen Absichern der (Zugriffs-)Schlüssel.

So konfigurieren Sie eine CA-Sicherung

CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'path used by NTBackup 

Sichern der Datenbank der Stammzertifizierungsstelle

Zweck dieser Aufgabe ist es, Sicherungskopien der privaten Schlüssel und Zertifikate, der Zertifikatsdatenbank und der Zertifikatsdienste-Konfiguration der CA zu erstellen. Die Zertifikatsdienstekonfiguration beinhaltet sämtliche Konfigurationsparameter des Betriebssystems und andere Statusinformationen, von denen die CA abhängig ist.

Zusammenfassung

Aufgabendetails

Die Stamm-CA stellt in der Regel nur wenige Zertifikate aus, so dass keine großen Datenmengen anfallen. Die Daten ändern sich nur selten, möglicherweise nur einmal in mehreren Jahren. Das Verfahren ist das gleiche wie bei allen anderen Offline-CAs, z.  B. bei einer Offline-Zwischen-CA, wenn Sie diese einsetzen.

Die Stamm-CA ist offline, daher benötigen Sie ein lokales Sicherungslaufwerk (z.  B. ein Bandlaufwerk oder eine beschreibbare CA).

Vorsicht: Wenn Sie ein HSM verwenden, kann dieses Verfahren zwar verschlüsselte Schlüssel sichern (abhängig von der Arbeitsweise des HSM), aber die gesicherten Schlüssel sind auf einem wiederhergestellten Computer ohne identisches HSM und die entsprechenden Zugriffsschlüssel unbrauchbar. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern und sonstigen Absichern der (Zugriffs-)Schlüssel.

So sichern Sie die Stamm-CA

Sichern der CA-Schlüssel und -Zertifikate

Die Zertifikate und Schlüssel der CA sollten unabhängig von der Zertifikatsdatenbank gesichert werden. Die privaten Schlüssel und Zertifikate der CA könnten benötigt werden, um eine CRL oder ein Zertifikat zu signieren, falls die CA ausgefallen ist und nicht rechtzeitig wiederhergestellt werden kann.

Zusammenfassung

Aufgabendetails

Die Schlüssel und Zertifikate der CA benötigen nur wenige KB an Speicherplatz und können daher auf Diskette gespeichert werden. Diese Aufgabe bezieht sich sowohl auf die Stamm-CA als auch auf alle anderen Zwischen-CAs und ausstellenden CAs des Unternehmens. Wenn Sie die Schlüssel auf einem dauerhaften Speichermedium wie CD oder DVD sichern, müssen Sie keine jährliche Sicherung vornehmen. Bei Verwendung von magnetischen Datenträgern wie Disketten und Bändern sollten Sie die Schlüssel sowohl jährlich als auch im Anschluss an die Erneuerung eines CA-Zertifikats sichern. Das auf magnetischen Datenträgern aufgezeichnete Signal verschlechtert sich im Laufe der Zeit, insbesondere, wenn es elektromagnetischen Feldern ausgesetzt ist. Obwohl es viele Jahre dauern kann, bis magnetische Datenträger beschädigt werden und nicht mehr lesbar sind, ist es besser, auf Nummer sicher zu gehen.

Vorsicht: Falls Sie ein HSM verwenden, funktioniert dieses Verfahren nicht wie beschrieben. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern und sonstigen Absichern der (Zugriffs-)Schlüssel.

So exportieren Sie Zertifikate und Schlüssel auf Diskette

Testen der Datenbanksicherungen

Überprüfen Sie die Sicherungen der CA, um sicherzustellen, dass Sicherungsprozess und -technologie einwandfrei funktionieren.

Zusammenfassung

Aufgabendetails

Stellen Sie den Systemstatus auf einem System mit identischer Plattenkonfiguration wieder her. Windows muss beispielsweise im gleichen Verzeichnispfad installiert sein wie beim gesicherten System, und die Laufwerkskonfiguration zum Speichern der Windows-Dateien (z.  B. Auslagerungsdateien) sowie die CA-Datenbank und Protokolle müssen die gleichen sein wie auf der originalen CA, bei der die Sicherung vorgenommen wurde.

Wichtig: Der wiederhergestellte Testserver sollte ab dem Zeitpunkt, an dem die Systemstatus-Sicherungsdatei vom Sicherungsmedium wiederhergestellt wurde, und unbedingt vor dem Starten der Systemstatus-Wiederherstellung offline bleiben. Durch diese Trennung vom Netzwerk wird verhindert, dass die wiederhergestellten CA-Schlüssel unnötig offengelegt werden. Gleichzeitig werden Konflikte mit doppelten Namen und IP-Adressen zwischen Test- und ursprünglichem Server vermieden.

Achtung: Sollten Sie ein HSM einsetzen, reicht das beschriebene Verfahren nicht für die vollständige Wiederherstellung der CA aus. Je nach Funktionsweise des HSM ist der wiederhergestellte Rechner ohne identisches HSM und entsprechenden Schlüssel unbrauchbar. Diese Situation kann für normales Testen ausreichend sein, Sie sollten jedoch regelmäßig eine vollständige Wiederherstellung einschließlich HSM-Wiederherstellung durchführen, um sicherzustellen, dass Ihre Verfahren und Sicherungstechnologien einwandfrei funktionieren. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern, Wiederherstellen und sonstigen Absichern der (Zugriffs-)Schlüssel.

So stellen Sie die CA wieder her

Wenn Sie nur die Schlüssel löschen möchten, müssen Sie zunächst die CA-Schlüsselcontainer löschen und anschließend jegliche nicht zugeordneten Teile des Datenträgers sicher löschen. Um diesen Befehl ausführen zu können, müssen Sie Mitglied der Gruppe der lokalen Administratoren sein.

So löschen Sie die wiederhergestellten CA-Schlüssel auf sichere Weise

Testen der CA-Schlüsselsicherung

Sie sollten die CA-Schlüsselsicherungen regelmäßig auf ihre Gültigkeit überprüfen, für den Fall, dass sie einmal benötigt werden.

Zusammenfassung

Aufgabendetails

Sie können die CA-Schlüssel und Zertifikate auf jedem beliebigen System installieren. Da es sich bei diesen Schlüsseln um streng vertrauliche Daten handelt, sollte es sich hierbei unbedingt um ein vertrauenswürdiges, offline geschaltetes System handeln. Dies gilt besonders für Schlüssel von Offline-Stamm-CAs. Um sicherzustellen, dass sämtliche Spuren der Schlüsseldaten aus dem Computer entfernt werden, erstellen Sie auf dem zu diesem Zweck designierten Computer ein separates, temporäres lokales Benutzerkonto (mit einem beliebigen Namen).

Vorsicht: Falls Sie ein HSM verwenden, funktioniert dieses Verfahren nicht wie beschrieben. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern, Wiederherstellen und sonstigen Absichern der (Zugriffs-)Schlüssel.

So stellen Sie die CA-Schlüssel wieder her

So testen Sie die wiederhergestellten Schlüssel

Entfernen Sie nun die Schlüssel aus Ihrem Testsystem.

So entfernen Sie die Schlüssel aus dem System

Archivieren der Sicherheitsprotokolle einer CA

Archivieren und speichern Sie Überwachungsprotokolle, um gesetzliche oder behördliche Bestimmungen einzuhalten oder um internen Sicherheitsrichtlinien gerecht zu werden.

Zusammenfassung

Aufgabendetails

So archivieren Sie das Sicherheitsereignisprotokoll

Exportieren einer Zertifikatsvorlage aus Active Directory

Sie können Zertifikatsvorlagen aus dem Verzeichnis speichern, so dass Sie diese ohne eine Verzeichniswiederherstellung zurück sichern können.

Zusammenfassung

Aufgabendetails

In diesem Verfahren wird eine einfache Methode aufgezeigt, mit der Sie ein Zertifikatsvorlagenobjekt aus Active Directory in eine Datei exportieren können. Dieses Objekt kann anschließend zurück in das Verzeichnis importiert werden, falls dies erforderlich ist. Bei dieser Methode werden nur die LDAP-Informationen der Vorlage gespeichert. Andere Informationen, insbesondere die Sicherheitseinstellungen (Besitzer, Berechtigungen usw.), gehen verloren.

Hinweis: Die einzige empfohlene Methode zum Sichern und Wiederherstellen von Active Directory-Objekten besteht in der Verwendung einer dedizierten Verzeichnissicherungsmethode, zum Beispiel der Sicherung des Windows-Systemstatus. Um jedoch eine ältere Version eines geänderten Objekts wiederherzustellen, müssen Sie eine autorisierende Active Directory-Wiederherstellung durchführen, bei der es sich um ein komplexes Verfahren handelt. Die hier beschriebene Methode ermöglicht Ihnen die einfache Sicherung und Wiederherstellung des Snapshots eines Zertifikatsvorlagenobjekts.

So exportieren Sie ein Zertifikatsvorlagenobjekt

Importieren einer Zertifikatsvorlage in Active Directory

Wenn Sie eine Vorlage aus einer Sicherungskopie wiederherstellen möchten, beispielsweise um eine versehentliche Änderung an einer Vorlage rückgängig zu machen, können Sie eine zuvor gespeicherte Zertifikatsvorlagendefinition zurück in Active Directory importieren.

Zusammenfassung

Aufgabendetails

Dieses Verfahren beschreibt die Wiederherstellung einer Zertifikatsvorlage aus einer Datei. Die Datei muss zuvor nach dem unter "Exportieren einer Zertifikatsvorlage aus Active Directory" beschriebenen Verfahren erstellt worden sein. Nur mit dieser Methode werden die LDAP-Informationen des Vorlagenobjekts wiederhergestellt. Andere Informationen, insbesondere Sicherheitseinstellungen (Besitzer, Berechtigungen etc.), gehen verloren.

Hinweis: Die einzige empfohlene Methode zum Sichern und Wiederherstellen von Active Directory-Objekten besteht in der Verwendung einer dedizierten Verzeichnissicherungsmethode, zum Beispiel der Sicherung des Windows-Systemstatus. Um jedoch eine ältere Version eines geänderten Objekts wiederherzustellen, müssen Sie eine autorisierende Active Directory-Wiederherstellung durchführen, bei der es sich um ein komplexes Verfahren handelt. Die hier beschriebene Methode ermöglicht Ihnen die einfache Sicherung und Wiederherstellung des Snapshots eines Zertifikatsvorlagenobjekts.

Dieser Vorgang ist kein Ersatz für die Sicherung und Wiederherstellung von Active Directory und sollte nur in den oben beschriebenen Situationen verwendet werden.

So importieren Sie eine Zertifikatsvorlage

Dienstüberwachung und -steuerung

Mit der Überwachung von Diensten können Administration die IT-Umgebung in Echtzeit kontrollieren.

Bei Verweisen auf MOM in diesem Abschnitt wird davon ausgegangen, dass Ihre MOM-Installation den Anweisungen im MOM Operations Guide entspricht. MOM ist nicht erforderlich; es wird lediglich zur Veranschaulichung verwendet. Weitere Informationen zum MOM Operations Guide finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Kategorisieren von Überwachungswarnmeldungen

Ihr Überwachungssystem sollte der Administration lediglich wichtige Warnmeldungen übermitteln. Falls alle Fehler eskaliert werden, könnte Ihr Team schnell die Übersicht verlieren.

Zusammenfassung

Aufgabendetails

Die folgenden Kategorien für Warnmeldungen werden in diesem Kapitel verwendet. Nur die ersten drei Kategorien "Dienst nicht verfügbar", "Sicherheitsverletzung" und "Kritischer Fehler" sollten auf der Überwachungskonsole Warnmeldungen erzeugen, denen umgehend Beachtung geschenkt werden muss. Andere Fehler und Warnungen werden nicht als dringend angesehen und sollten zur Behebung an das PKI-Supportteam weitergeleitet werden. Hierbei handelt es sich um die in MOM standardmäßig eingesetzten Ereigniskategorien. In den nachfolgenden Aufgabenbeschreibungen wird darauf Bezug genommen.

Tabelle 11.9: Kategorien für Warnmeldungen

Überwachen von Kapazitätseinschränkungen der Zertifikatsdienste

Das rechtzeitige Erkennen möglicher Kapazitätseinschränkungen ist notwendig, um einen optimalen Betrieb zu gewährleisten. Wenn sich Subsysteme den Grenzen ihrer Betriebskapazität nähern, ist ein deutlicher Abfall der Leistung zu verzeichnen (in der Regel nicht linear). Daher ist es wichtig, Kapazitätstrends zu überwachen und Tendenzen zu identifizieren, die auf eine künftige Kapazitätseinschränkung hindeuten.

Zusammenfassung

Aufgabendetails

Die folgenden Leistungsindikatoren haben sich als die Hilfreichsten erwiesen, wenn es um das Erkennen von Kapazitätsengpässen geht. "Prozessor" und "Physischer Datenträger" sind die von den Zertifikatsdiensten am stärksten verwendeten Ressourcen und weisen daher vermutlich früher auf einen Engpass hin als "Netzwerkschnittstelle" oder "Speicher".

Tabelle 10: Wichtigste Indikatoren zur Kapazitätsüberwachung für Zertifikatsdienste

Weitere allgemeine Informationen zu Kapazitätseinschränkungen und den zugehörigen Leistungsindikatoren finden Sie in den Literaturhinweisen im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Weiterhin ist es sehr wichtig, dass Sie Leistungsindikatoren der unterstützenden Infrastruktur überwachen. Hierzu zählen:

Überwachen des Zustands und der Verfügbarkeit der Zertifikatsdienste

Zertifikatsstellen bieten normalerweise keine Online- oder Echtzeitdienste an (im Gegensatz zu Active Directory oder Microsoft SQL Server , die permanent online sein müssen, um nützlich zu sein). Dennoch gibt es einige kritische Aspekte des CA-Betriebs, die eine Onlinereaktion des Diensts erfordern:

Die Nicht-Verfügbarkeit der ersten beiden Punkte hat in der Regel drastischere Auswirkungen als die des letzteren.

Zusammenfassung

Aufgabendetails

In der folgenden Tabelle werden die wichtigsten Ereignisse im Zusammenhang mit den Zertifikatsdiensten aufgelistet. Die Tabelle beschreibt die Bedeutung der verschiedenen Ereignistypen und gibt an, welchen Schweregrad (für Ihre Überwachungskonsole) Sie dem Ereignis zuweisen sollten. In der zweiten Tabelle werden Methoden aufgeführt, mit denen diese Vorfälle festgestellt werden können in den meisten Fällen mithilfe der im Rahmen dieser Lösung bereitgestellten betriebsbezogenen Skripts.

Die Spalte "Schweregrad" bezieht sich auf die Warnmeldungskategorien, die weiter oben unter "Kategorisieren von Überwachungswarnmeldungen" definiert wurden.

Tabelle 11: Schweregrad der wichtigsten Zertifikatsdienstereignisse

Sie können mithilfe des bereitgestellten Skripts (ca_monitor.wsf in der folgenden Tabelle) nach derartigen Ereignissen suchen. Das Skript umfasst die notwendige Logik, um Ereigniselemente in das Anwendungsprotokoll von Windows zu schreiben, wenn Fehler entdeckt werden. Diese Ereignisse können dann von MOM-Agenten (oder anderen Überwachungslösungen) zur Kenntnis genommen werden. Sie müssen Filterregeln einrichten, um nach der Ereignisquelle und den Ereigniskennungen zu suchen, die von den in der nachstehenden Tabelle aufgeführten Skripts generiert werden.

Die Skripts können außerdem E-Mails senden, wenn ein beschriebener Zustand eintritt. Wenn MOM (oder ein anderes agentenbasiertes Überwachungssystem) verwendet wird, sollten die Skripts vom MOM-Client-Agenten ausgeführt werden. Wenn kein Verwaltungsagent zur Ausführung des Skripts verfügbar ist, verwenden Sie den Windows-Taskplanerdienst, um diese Überprüfungen mindestens stündlich durchzuführen. Warnmeldungen können per E-Mail versendet werden, oder Sie können ein Ereignisprotokoll-Überwachungstool verwenden.

Die Skripts wurden für den Einsatz auf der ausstellenden Online-CA konzipiert, können jedoch auch den Status von veröffentlichten Zertifikaten und CRLs aus übergeordneten Offline-CAs bis hin zur Stamm-CA überprüfen. Wo relevant, werden die vom Überwachungsskript erstellten Ereigniskennungen in der folgenden Tabelle dargestellt. Die Skriptsyntax wird im Anschluss an die Tabelle gezeigt.

Tabelle 11.12: Überwachungsskripts für Zertifikatsdienste

Bevor Sie die Skripts einsetzen, sollten Sie die Datei constants.vbs mit den richtigen Warnmeldungsparametern aktualisieren. Die relevanten Abschnitte der Datei werden im Folgenden gezeigt (Elemente, die Sie ggf. ändern müssen, sind kursiv dargestellt).

'Alerting parameters
CONST ALERT_EMAIL_ENABLED = FALSE'set to true/false to enable/disable email 
CONST ALERT_EVTLOG_ENABLED= TRUE'set to true/false to enable/disable event
'log entries
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,Ops@woodgrovebank.com"
'SMTP host to use
CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com"

'String used as the Source in event log events
CONST EVENT_SOURCE= "MSS Tools"
CONST CA_EVENT_SOURCE= "CA Operations"

'CA Event IDs
CONST CA_EVENT_CS_RPC_OFFLINE=1
CONST CA_EVENT_CS_RPC_ADMIN_OFFLINE=2
CONST CA_EVENT_CA_CERT_EXPIRED=10
CONST CA_EVENT_CA_CERT_NEARLY_EXPIRED=11
CONST CA_EVENT_CA_CERT_RENEWAL_DUE=12
CONST CA_EVENT_CRL_EXPIRED=20
CONST CA_EVENT_CRL_OVERDUE=21
CONST CA_EVENT_CRL_NOT_AVAILABLE_LDAP=22
CONST CA_EVENT_CRL_NOT_AVAILABLE_HTTP=23
CONST CA_EVENT_BACKUP_LOCKED=30
CONST CA_EVENT_CA_OTHER=100

Sie müssen angeben, ob bei Fehlern E-Mails, Einträge im Ereignisprotokoll oder beides erzeugt werden soll. Standardmäßig erfolgt lediglich ein Eintrag im Ereignisprotokoll. Wenn Sie E-Mail-Benachrichtigungen festlegen, müssen Sie eine Liste gültiger Empfänger (durch Komma getrennt) sowie den Hostnamen des SMTP-Servers bzw. seine IP-Adresse angeben. Beide Zeichenfolgen müssen in Anführungszeichen gesetzt werden.

Wenn Sie Warnmeldungen über das Ereignisprotokoll festlegen, müssen Sie eventuell die Parameter CA_EVENT_SOURCE (für alle CA-bezogenen Ereignisse) oder EVENT_SOURCE (für alle anderen Ereignisse) ändern.

Syntax und Verwendung der Überwachungsskripts werden im folgenden Abschnitt erläutert.

So überprüfen Sie die Gültigkeitsdauer von CA-Zertifikaten

Führen Sie den folgenden Befehl aus, um das Zertifikat der ausstellenden CA (auf der das Skript ausgeführt wird) sowie veröffentlichte Zertifikate aller übergeordneten CAs in der Hierarchie bis hin zur Stamm-CA zu überprüfen.

Cscript //job:CheckCACerts C:\MSSScripts\ca_monitor.wsf

Dieser Befehl gibt Warnmeldungen zu den folgenden Ereignissen aus:

So überprüfen Sie die Gültigkeitsdauer von CRLs

Führen Sie den folgenden Befehl aus, um die CRL der ausstellenden CA sowie veröffentlichte CRLs aller übergeordneten CAs in der Hierarchie bis einschließlich der Stamm-CA zu überprüfen.

Cscript //job:CheckCRLs C:\MSSScripts\ca_monitor.wsf

Dieser Befehl gibt Warnmeldungen zu den folgenden Ereignissen aus:

(FTP- und FILE-CDPs werden vom Skript zurzeit nicht überprüft.)

So überprüfen Sie, ob der CA-Dienst ausgeführt wird

Führen Sie den folgenden Befehl aus, um die CA zu überprüfen, auf der das Skript ausgeführt wird.

Cscript //job:IsCAAlive C:\MSSScripts\ca_monitor.wsf

Dieser Befehl gibt Warnmeldungen zu den folgenden Ereignissen aus:

Sicherheitsüberwachung der CA

Die Zertifikatsdienste generieren als Reaktion auf Sicherheitsereignisse eine Vielzahl von Überwachungseinträgen im Sicherheitsprotokoll. Die meisten dieser Einträge entstehen im normalen Betriebsalltag. Einige Einträge weisen jedoch auf größere Konfigurationsänderungen hin und bedürfen weiterer Nachforschungen.

Zusammenfassung

Aufgabendetails

In der unten stehenden Tabelle finden Sie eine Liste der Überwachungsereignisse, die die Zertifikatsdienste erstellen, sowie Empfehlungen zur Kategorisierung. Sie sollten Ihr Überwachungssystem so konfigurieren, dass es auf diese Ereignisse entsprechend reagiert. Falls Sie kein zentrales Überwachungssystem einsetzen, sollten Sie die Sicherheitsprotokolle der CA regelmäßig (am besten täglich) überprüfen.
Die Standardkategorie für Erfolgsereignisse ist Information. Jedes Erfolgsereignis, dem eine mögliche Konfigurationsänderung der CA zugrunde liegt, wird als Warnung kategorisiert. Alle Ereignisse, die unter die Kategorie Warnung fallen, werden als signifikant eingestuft und sollten im Alltagsbetrieb nicht auftreten. Alle derartigen Ereignisse sollten in Bezug zu einer genehmigten Änderungsanforderung stehen. Wenn sich dieser Bezug nicht herstellen lässt, handelt es sich möglicherweise um eine Sicherheitsverletzung, die Sie sofort untersuchen sollten.

Als Fehler kategorisierte Ereignisse sollten im Alltagsbetrieb oder bei normalen Änderungen an der CA normalerweise nicht auftreten. Fehler sind in fast allen Fällen von Bedeutung und erfordern eine Prüfung (auch wenn sie möglicherweise nur auf eine falsche Berechtigungszuweisung hinweisen und nicht auf einen böswilligen Angriff).

Hinweis: Es gibt einige Ausnahmen von dieser Regel, wie zum Beispiel Ereignis 792, Die Zertifikatdienste haben eine Zertifikatanforderung abgelehnt. In dieser Situation wird sowohl eine Erfolgs- als auch eine Fehlermeldung generiert, wenn eine Zertifikatsanforderung berechtigterweise von einem Certificate Manager abgelehnt wird. Verweigert jedoch jemand mit unzureichenden Berechtigungen die Anforderung, wird nur eine Fehlermeldung generiert.

Weitere Ausnahmen von der Liste in der folgenden Tabelle können auf die verschiedenen Methoden zur Konfigurationsänderung an der CA zurückgeführt werden. Die Ereignisse 789 (Änderung des Überwachungsfilters) sowie 795 und 796 (Änderung von CA-Konfiguration oder -Eigenschaft) werden nur dann in das Protokoll aufgenommen, wenn die Änderungen mithilfe des MMC-Snap-Ins für Zertifizierungsstellen vorgenommen wurden. Sie werden nicht aufgezeichnet, wenn jemand versucht, die CA-Registrierung direkt zu bearbeiten (oder den Befehl "certutil -setreg" verwendet), um CA-Konfigurationswerte zu ändern. Stattdessen werden diese Ereignisse mit der Ereigniskennung 560 als einfache Fehler bei der Objektzugriffsüberwachung protokolliert (vgl. den letzten Eintrag in der folgenden Tabelle). Die Überwachung ist für die Veränderung von Unterschlüsseln in der Registrierung der CA aktiviert und protokolliert erfolgreiche Änderungen sowie alle fehlgeschlagenen Zugriffsversuche. Um Änderungen an den CA-Registrierungsschlüsseln zu verfolgen, verwenden Sie den Parameter Objektname des Überwachungsereignisses in Verbindung mit Ereigniskennung und Ereignistyp, um einen Filter zur Generierung der entsprechenden Warnmeldungen zu erstellen.

Neben der Überwachung von Zertifikatsdienstereignissen müssen Sie zudem Warnmeldungen zu normalen Ereignissen der Betriebssystemsicherheit verfolgen und generieren, beispielsweise Anmeldungen, Nutzung von Privilegien und Objektzugriffe. CA-Registrierung und –datenbank sowie die Protokollverzeichnisse sind so konfiguriert, dass sie erfolgreiche Änderungen und fehlgeschlagene Zugriffsversuche protokollieren. Sie sollten ebenfalls in Betracht ziehen, den Container für öffentliche Schlüssel (in Konfiguration\Dienste) und die PKI-Administratorgruppen zu überwachen. Aufgrund der Schwierigkeiten, die beim Überwachen von Ereignissen auf mehreren Domänencontrollern auftreten können, wurde diese Konfiguration in dieser Lösung ausgespart. Wenn Sie jedoch über ein zentrales Überwachungssystem (wie MOM) verfügen, das Ihnen die Möglichkeit zum Filtern und Zusammenführen dieser Protokolle bietet, sollten Sie die Überwachung für die gesamte Active Directory-PKI-Administration sowie alle Konfigurationsobjekte und -Container aktivieren.

Hinweis: Eine Betrachtung der Sicherheitsüberwachung des CA-Betriebssystems würde über den Rahmen dieses Dokuments hinausgehen. Sie kann die Behandlung von Sicherheitsereignissen durch spezialisierte Systeme zum Schutz vor Eindringungsversuchen umfassen. Falls eine dieser Quellen eine Sicherheitsverletzung anzeigt, führen Sie eine gründliche Untersuchung der CA-Überwachungsereignisse in Verbindung mit den Ausgaben aus diesen Quellen durch.

Die Kategorien für Erfolgs- und Fehlermeldungen in der folgenden Tabelle beziehen sich auf die im Verfahren "Kategorisieren von Überwachungswarnmeldungen" definierten Kategorien.

Tabelle 11.13: Überwachungsereignisse für Zertifikatsdienste

Konfigurieren von SMTP-Benachrichtigungen für ausstehende Zertifikatsanforderungen

Sollten Sie bestimmte Zertifikatstypen so konfiguriert haben, dass die Zustimmung eines Certificate Managers erforderlich ist, bleiben diese so lange in der Warteschlange für "Ausstehende Anforderungen" (des MMC-Snap-Ins für Zertifizierungsstellen) gestellt, bis sie genehmigt oder abgelehnt werden. Möglicherweise wünschen Sie für diesen Fall eine E-Mail-Benachrichtigung. Automatisch genehmigte Zertifikate generieren jedoch keine E-Mail-Benachrichtigungen.

Sie können E-Mail-Benachrichtigungen auch für andere CA-Ereignisse konfigurieren. Informationen dazu, wie Sie diese Benachrichtigungen konfigurieren, finden Sie in der Online-Hilfe zu den Zertifikatsdiensten.

Zusammenfassung

Aufgabendetails

Die in der Datei constants.vbs konfigurierten und in diesem Verfahren verwendeten Werte für den SMTP-Server und die SMTP-Empfängerliste werden ebenfalls von den SMTP-Benachrichtigungen verwendet, die unter "Überwachen des Zustands und der Verfügbarkeit der Zertifikatsdienste" beschrieben sind. Falls Sie für diese beiden Verfahren unterschiedliche Einstellungen für SMTP-Server und -Empfänger verwenden müssen, können Sie die Werte in constants.vbs vorübergehend ändern und anschließend das aktuelle Verfahren durchführen. Das in diesem Verfahren eingesetzte Skript speichert diese Einstellungen in der CA-Registrierung. Nach der Ausführung kann constants.vbs wieder auf die Werte zurückgeändert werden, die im Verfahren "Überwachen des Zustands und der Verfügbarkeit der Zertifikatsdienste" verwendet werden sollen. (Die Einstellung zur Aktivierung oder Deaktivierung von E-Mail-Benachrichtigungen ALERT_EMAIL_ENABLED hat keine Auswirkungen auf die Benachrichtigungen in diesem Verfahren.)

So aktivieren Sie E-Mail-Benachrichtigungen für ausstehende Anforderungen

'Alerting parameters
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,
PKIOps@woodgrovebank.com"
CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com" 'SMTP host to use

Planen von Aufträgen

Zur Aufgabenplanung gehört die andauernde Organisation von Aufgaben und Prozessen, mit dem Ziel, die optimale Reihenfolge für den höchsten Durchsatz zu finden, damit die Anforderungen des Service Level Agreement (SLA) erfüllt werden können. Die Aufgabenplanung ist eng mit der Überwachung und Steuerung von Diensten sowie mit der Kapazitätsplanung verzahnt.

Aufgabenplanung auf der ausstellenden Zertifizierungsstelle

Für den reibungslosen Betrieb der CA sind eine Reihe von Aufgaben erforderlich, die immer wieder abgearbeitet werden müssen. Diese sind automatisiert, um den Verwaltungsaufwand auf ein Minimum zu reduzieren.

Zusammenfassung

Aufgabendetails

In der folgenden Tabelle werden die automatisierten Aufgaben aufgelistet, die auf der ausstellenden CA ausgeführt werden. Diese Aufgaben werden jeweils an anderer Stelle in diesem Kapitel definiert (aufgeführt in der Spalte Aufgabe); die nachstehende Tabelle dient lediglich als Referenz.

Automatisierte Aufgaben werden ausschließlich auf einer ausstellenden CA ausgeführt. Die Stamm-CA bleibt möglicherweise für lange Zeiträume ausgeschaltet, so dass ein automatisierter Zeitplan unmöglich einzuhalten ist.

Tabelle 11.14: Liste der geplanten Aufgaben auf der ausstellenden CA

Betrieb: Weitere Aufgaben

Mit der Wartung einer PKI hängen zahlreiche andere betriebsbezogene Aufgaben zusammen. Viele dieser Aufgaben sind nicht unbedingt regelmäßig erforderlich, sondern fallen nur gelegentlich oder im Rahmen von Supportanfragen an.

Die Produktdokumentation der Zertifikatsdienste von Windows Server 2003 beschreibt eine Reihe dieser Aufgaben und gibt Hintergrundinformationen zur Administration. Viele dieser Aufgaben werden weder in diesem Kapitel noch im entsprechenden Kapitel des Einrichtungshandbuchs ("Implementieren der Infrastruktur öffentlicher Schlüssel") erläutert. Auch wenn die jeweilige Aufgabe in diesem Lösungshandbuch behandelt wird, können Sie in der Produktdokumentation nützliche Zusatzinformationen finden.

Im Abschnitt "Weitere Informationen" am Ende dieses Kapitels finden Sie einen Link zu dem Dokument, das Anweisungen zu den folgenden administrativen Aufgaben enthält:

Zum Seitenanfang

Aufgaben Support

Die SMFs im Support-Quadranten umfassen sowohl reaktive als auch proaktive Aufgaben zur Aufrechterhaltung der erforderlichen Servicelevels. Die reaktiven Funktionen hängen von den Fähigkeiten eines Unternehmens ab, auf Probleme schnell und angemessen zu reagieren. Die wünschenswerteren, proaktiven Funktionen dienen der Vermeidung von Dienstunterbrechungen. Durch eine sorgfältige Überwachung der Lösungsdienste auf vordefinierte Schwellenwerte können diese Funktionen Probleme identifizieren, bevor Servicelevels beeinträchtigt werden. So hat das IT-Personal genügend Zeit, zu reagieren und potenzielle Probleme zu beheben.

Dieser Quadrant steht in engem Zusammenhang mit der unter "Aufgaben Betrieb" beschriebenen SMF für Dienstüberwachung und -steuerung. Durch Dienstüberwachung und -steuerung werden wichtige Informationen bereitgestellt, anhand derer Admin- und Supportmitarbeiter Probleme feststellen können. Die in diesem Abschnitt beschriebenen Verfahren beziehen sich auf die gängigsten Probleme und sollen Ihnen bei ihrer Beseitigung helfen.

Dieser Abschnitt enthält Informationen zu der folgenden Dienstverwaltungsfunktion (Service Management Function, SMF):

Für die übrigen SMFs gibt es keine Aufgaben:

Vorfallverwaltung

Bei der Vorfallverwaltung werden Fehler und Unterbrechungen behandelt, die beim Einsatz von IT-Diensten entstehen und von Kunden oder IT-Partnern gemeldet werden. Es geht hierbei in erster Linie um die schnellstmögliche Wiederherstellung der Umgebung und die Minimierung von nachteiligen Auswirkungen auf Geschäftsabläufe sowie die Gewährleistung höchstmöglicher Qualität und Verfügbarkeit von Diensten. Der hier beschriebene Normalzustand entspricht dem im Service Level Agreement (SLA) definierten Normalzustand.

Dieser Abschnitt steht in engem Zusammenhang mit dem Abschnitt "Problembehandlung". Jedoch beschäftigt sich der Abschnitt "Problembehandlung" mit der Erkennung und Diagnose von Problemen, während der vorliegende Abschnitt die Aufgaben behandelt, die am häufigsten zur Lösung dieser Probleme eingesetzt werden.

Im Abschnitt "Problembehandlung" werden die folgenden Vorfälle behandelt:

Die meisten dieser Vorfälle stehen in direkter Beziehung zu Verfahren, die in den folgenden Abschnitten erläutert werden. In anderen Fällen, zum Beispiel bei einem Fehler in der Clientregistrierung, verlangt die Vorfallbehandlung komplexere Maßnahmen, die im Abschnitt "Problembehandlung" erläutert werden.

Neustarten der Zertifikatsdienste

Es gibt eine ganze Reihe von betriebsbezogenen Gründen, die Zertifikatsdienste neu zu starten. (Zum Beispiel müssen Sie nach dem Umkonfigurieren vieler CA-Eigenschaften einen Neustart durchführen, damit die Änderungen wirksam werden.) In machen Fällen könnte ein Neustart erforderlich sein, weil der Dienst nicht mehr reagiert oder sich unerwartet verhält..

Zusammenfassung

Aufgabendetails

Es gibt mehrere Möglichkeiten, einen Dienst neu zu starten.

So starten Sie den CA-Dienst neu

Neustarten des Zertifizierungsstellenservers

Es kann vorkommen, dass Sie den CA-Server aus verschiedenen betriebsbezogenen Gründen neu starten müssen, z. B. bei der Installation eines Betriebssystemupdates. Auch müssen Sie den Server eventuell neu starten, wenn der Dienst nicht mehr reagiert oder sich unerwartet verhält und nicht mehr auf normalem Wege neu gestartet werden kann.

Zusammenfassung

Aufgabendetails

So starten Sie den CA-Dienst neu

Wiederherstellen der Zertifizierungsstelle aus einer Sicherung

Wenn Sie eine CA aufgrund schwerer Software- oder Hardwarefehler nicht mehr starten können, müssen Sie den Server und die Schlüssel aus einer Sicherung wiederherstellen.

Zusammenfassung

Aufgabendetails

Führen Sie die folgenden Schritte zur Wiederherstellung der CA aus.

Vorsicht: Falls Sie ein HSM verwenden, funktioniert dieses Verfahren nicht wie beschrieben. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern, Wiederherstellen und sonstigen Absichern der (Zugriffs-)Schlüssel.

So stellen Sie eine CA aus einer Sicherung wieder her

Wiederherstellen des Zertifizierungsstellen-Zertifikats und des Schlüsselpaars auf einem temporären Computer

Wenn eine fehlerhafte CA nicht wiederhergestellt werden kann, bevor sie eine neue CRL ausstellen (oder ein kritisches Zertifikat erneuern) soll, müssen Sie das CA-Zertifikat und die Schlüssel auf einem temporären Computer installieren, so dass Sie damit vorhandene CRLs oder vorhandene Zertifikate neu signieren und ihre Gültigkeitsdauer verlängern können.

Zusammenfassung

Aufgabendetails

Diese Aufgabe beschreibt die Wiederherstellung des CA-Zertifikats und des privaten Schlüssels auf einem temporären Computer. Wenn die CA erneuert wurde, verfügen Sie über Sicherungen mehrerer Zertifikate und Schlüsselpaare. Für dieses Verfahren sollten Sie die zuletzt gesicherte Version von Schlüssel und Zertifikatdatei wiederherstellen.

Wichtig: Obwohl der CA-Schlüssel auf diesem Computer installiert ist, sollten Sie diesbezüglich dieselben Sicherheitsmaßnahmen ergreifen wie bei der CA. Wenn Sie den Schlüssel einer Offline-CA wiederherstellen, sollte der Computer ebenfalls offline sein. Wenn möglich, sollten Sie die Festplatten auf dem Computer nach der Arbeit mit dem Schlüssel formatieren.

Vorsicht: Falls Sie ein HSM verwenden, funktioniert dieses Verfahren nicht wie beschrieben. Folgen Sie den Anweisungen des HSM-Herstellers zum Sichern, Wiederherstellen und sonstigen Absichern der (Zugriffs-)Schlüssel.

So stellen Sie CA-Schlüssel und Zertifikate auf einem temporären Computer wieder her

Sie können nun alle erforderlichen Neusignierungen ausführen, die mit den wiederhergestellten CA-Schlüsseln zusammenhängen. Weitere Informationen finden Sie im Verfahren unter "Neusignieren einer Zertifikatssperrliste oder eines Zertifikats zur Verlängerung der Gültigkeitsdauer". Entfernen Sie die Schlüssel im Anschluss an diesen Vorgang aus dem Computer.

So entfernen Sie die Schlüssel aus dem System

Neusignieren einer Zertifikatssperrliste oder eines Zertifikats zur Verlängerung der Gültigkeitsdauer

Sollte die CA aufgrund eines Serverausfalls nicht verfügbar sein, können Sie die Gültigkeitsdauer der CRLs oder Zertifikate verlängern, indem Sie die entsprechenden Dateien neu signieren. Dies ist eventuell die einzige Möglichkeit, den Dienst aufrechtzuerhalten.

Zusammenfassung

Aufgabendetails

Sie können die Gültigkeitsdauer eines Zertifikats oder einer CRL verlängern, indem Sie sie neu signieren. Standardmäßig wird die vorhandene Gültigkeitsdauer verwendet und ab dem Zeitpunkt der Signierung neu gestartet. Wenn die ursprüngliche Gültigkeitsdauer der CRL beispielsweise 1 Monat betrug, beträgt die neue Gültigkeitsdauer 1 Monat ab dem Zeitpunkt der erneuten Signierung. Gegebenenfalls kann eine andere Gültigkeitsdauer über die Befehlszeile von "Certutil" angegeben werden.

So signieren Sie eine CRL oder ein Zertifikat neu

Sperren eines Endeinheitszertifikats

Die Sperrung eines Zertifikats kann unter anderem aus folgenden Gründen erforderlich sein:

Zusammenfassung

Aufgabendetails

Dieses Verfahren beschreibt die erforderlichen Schritte für das Sperren eines Endeinheitszertifikats (ein Zertifikat, das nicht für eine CA ausgestellt wurde). Folgen Sie den an anderer Stelle beschriebenen Schritten zum Sperren eines CA-Zertifikats.

So sperren Sie ein Zertifikat

Sperren eines verwaisten Zertifikats

Wenn Sie nach einem Serverausfall eine CA aus einer Sicherung wiederhergestellt haben, sind Zertifikate, die seit der letzten Sicherung bis zum Zeitpunkt des Ausfalls ausgestellt wurden, möglicherweise nicht in der Datenbank vorhanden. Diese Zertifikate werden als "verwaiste" Zertifikate bezeichnet. Diese Situation tritt ein, wenn die CA-Protokolle zerstört wurden und nicht gegen die bei der Wiederherstellung generierte CA-Datenbank ausgeführt werden können. In diesem Fall können Sie diese "verwaisten" Zertifikate nicht auf die normale Art und Weise sperren.

Zusammenfassung

Aufgabendetails

Für die erfolgreiche Sperrung eines verwaisten Zertifikats benötigen Sie eine Kopie des Zertifikats oder dessen Seriennummer.

So sperren Sie ein verwaistes Zertifikat

Sperren und Ersetzen eines Zertifikats einer ausstellenden Zertifizierungsstelle

Wenn der private Schlüssel einer CA in irgend einer Weise kompromittiert wurde (oder nur der Verdacht besteht), müssen Sie das CA-Zertifikat sperren und mit einem neuen Schlüsselpaar ein neues CA-Zertifikat ausstellen.

Zusammenfassung

Aufgabendetails

Da der Veröffentlichungszeitraum einer Zertifikatssperrliste (Certificate Revocation List, CRL) der Stamm-CA sehr lang ist, kann es zu einer inakzeptablen Verzögerung in der Benachrichtigung der Anwender kommen, wenn das CA-Zertifikat einfach nur gesperrt und dann eine neue CRL veröffentlicht wird. Um sicherzustellen, dass alle Zertifikate, die zuvor von der nicht mehr sicheren CA ausgestellt wurden, so schnell wie möglich abgelehnt werden, werden alle von dieser CA ausgegebenen Zertifikate ebenfalls einzeln gesperrt.

Wichtig: Alle Zertifikatbenutzer müssen sich für neue Zertifikate erneut registrieren.

So sperren Sie ein Zertifikat der ausstellenden CA

Zertifikatbenutzer können sich nun bei der neuen CA erneut registrieren. Autoregistrierte Zertifikate werden automatisch registriert.

Sperren und Ersetzen eines Zertifikats der Stammzertifizierungsstelle

Sollte der private Schlüssel einer Stamm-CA kompromittiert sein (ein Verdacht ist ausreichend), müssen Sie das alte Zertifikat entfernen und alle Zertifikate sperren, die von dieser CA und allen untergeordneten CAs ausgestellt wurden. Sie müssen das Zertifikat der Stamm-CA und die Zertifikate der untergeordneten CAs durch einen neuen Schlüssel ersetzen und diese in Active Directory veröffentlichen. Normalerweise ist es nicht möglich, das Zertifikat einer Stamm-CA zu sperren. In den meisten Fällen enthält das CA-Zertifikat keinen CDP, von dem aus der Sperrstatus überprüft werden kann. Auf jeden Fall ist es nicht ganz legal, dass eine CA ihre eigene Sperrung attestiert. (Sie müsste das gefährdete Zertifikat verwenden, um die CRL zu signieren, die ihr eigenes, gesperrtes Zertifikat enthält!)

Zusammenfassung

Aufgabendetails

Hinweis: Alle Zertifikatbenutzer müssen sich im Anschluss an dieses Verfahren neu registrieren, um neue Zertifikate zu erhalten.

So sperren Sie ein Zertifikat der Stammzertifizierungsstelle

Zum Seitenanfang

Aufgaben Optimierung

Der Aufgabenbereich, der in diesem Quadranten abgedeckt wird, beinhaltet die SMFs zur Kostenverwaltung bei gleichzeitiger Aufrechterhaltung oder Verbesserung der Servicelevels. Zu den Aufgaben gehören das Analysieren von Ausfallzeiten/Vorfällen, Prüfung von Kostenstrukturen, Mitarbeiterbewertungen, Verfügbarkeiten und Leistung sowie Kapazitätsvorhersagen.

Dieser Abschnitt enthält Informationen zu folgenden SMFs:

Für die übrigen SMFs gibt es keine Aufgaben:

Kapazitätsverwaltung

Die Kapazitätsverwaltung beinhaltet die notwendigen Prozesse für die Planung, Dimensionierung und Überwachung der Dienstlösungskapazitäten, so dass diese mit den im SLA vereinbarten Parametern konform sind. Dafür benötigen Sie Informationen zu Nutzungsszenarien, Mustern und Spitzenauslastung der Dienstlösung sowie die festgelegten Leistungsanforderungen.

Bestimmen der Höchstlast der ausstellenden Zertifizierungsstelle

In diesem Abschnitt finden Sie Angaben zur wahrscheinlichen maximalen Auslastung der ausstellenden CA.

Obwohl CAs in der Regel nicht sehr stark ausgelastet sind, gibt es Zeiten, in denen die Spitzenauslastung drastisch ansteigt. Normalerweise handelt es sich hierbei um die Hauptzeiten für Anmeldung und Systemstart, während das Rollout eines neuen Zertifikatstyps stattfindet. Gleichermaßen, wenn auch seltener, kann eine Massensperrung von Zertifikaten oder eine Sperrung des CA-Zertifikats zu einer ungewöhnlich hohen Auslastung führen, wenn Benutzer und Computer sich neu registrieren müssen.

Zusammenfassung

Aufgabendetails

In internen Tests hat Microsoft festgestellt, das bei einer typischen Unternehmens-CA der Leistungsengpass unter hoher Auslastung auf die Interaktion mit Active Directory zurückzuführen ist. Das Signieren und Ausstellen von Zertifikaten erzeugt eine relativ geringe Auslastung verglichen mit dem Aufwand, der durch Verzeichnisdienstanfragen bezüglich Informationen zu Zertifikatantragstellern und der anschließenden Wiederveröffentlichung eines Zertifikats in Active Directory entsteht.
Betrachten Sie beispielsweise die Zahlen, die in einem Höchstauslastungsszenario entstehen, wenn ein neuer Zertifikatstyp aktiviert wurde und alle Benutzer und Computer für diesen Typ registriert werden müssen:

Aus diesen Werten ergibt sich eine Mindestdauer für die Registrierung von 3,3 Minuten. Bei einer gleichzeitigen Registrierung von 15.000 Benutzern und derselben Anzahl von Computern erhöht sich die Registrierungsdauer auf 16,6 Minuten.

Sie müssen die voraussichtliche maximale Hauptauslastung durch Registrierung für Ihr Unternehmen bestimmen und dann die insgesamt für die Registrierung erforderliche Zeit berechnen. Wenn dieser Zeitraum zu lang und nicht akzeptabel ist und sie die Registrierung nicht irgendwie staffeln können, sollten Sie den Einsatz mehrerer ausstellender Zertifizierungsstellen erwägen. Diese ausstellenden CAs sollten für unterschiedliche Active Directory-Standorte bereitgestellt werden, so dass sie nicht dieselben Domänencontroller verwenden.

Bestimmen der Speicher- und Sicherungsvoraussetzungen einer ausstellenden Zertifizierungsstelle

In diesem Abschnitt finden Sie Angaben zur Planung der Speicheranforderung von CAs. Diese Details sollen im Rahmen der Kapazitätsplanung bei der Berechnung des künftig erforderlichen Speicherplatzes für Online- und Offline-Sicherungen behilflich sein.

Zusammenfassung

Aufgabendetails

Die folgenden Abschnitte enthalten Annahmen und Ergebnisse der Dimensionierungsberechnungen für die Größe der CA-Datenbank, des CA-Datenbankprotokolls und der CRL sowie für das Sicherungszeitfenster (den Zeitraum zum Sichern der CA-Datenbank).

Folgende Annahmen liegen den Berechnungen zu Grunde:

Größe der Zertifikatsdatenbank

Jeder Zertifikatseintrag beansprucht etwa 20 KB in der Datenbank (für Zertifikatstypen, die den privaten Schlüssel mit dem Zertifikat archivieren, sollten Sie von zusätzlichen 10 KB Speicherplatz pro Zertifikat ausgehen). Aus einer schnellen Berechnung lässt sich Folgendes erkennen:

Bei einem Unternehmen mit 15.000 Benutzern beträgt die Größe der Zertifikatsdatenbank 15 GB.

Durchschnittliche Größe des Protokolls der Zertifikatsdatenbank

Bei einem Unternehmen mit 15.000 Benutzern werden täglich 3.750 Zertifikate ausgestellt, die zu einer maximale Protokollgröße von 25 MB führen.

Größe der CRL

Ein CRL-Eintrag beträgt ungefähr 30 Byte. In der Regel werden etwa zehn Prozent der ausgestellten Zertifikate gesperrt. Gesperrte Zertifikate, die außerhalb der Gültigkeitsdauer liegen, befinden sich nicht in der CRL.

Bei einem Unternehmen mit 15.000 Benutzer befinden sich 15.000 Zertifikate in der CRL, was zu einer CRL-Größe von 440 KB führt.

Zeitfenster für die Sicherung der Zertifikatsdatenbank

Angenommen, eine Netzwerksicherung wird unter idealen Bedingungen mit einem dedizierten Switch zum Sicherungsserver mit einer Bandbreite von 100 Mbit/s (Megabit pro Sekunde) durchgeführt. In diesem Fall kann eine Datenbank mit 3 GB mit weiteren 500 MB Informationen zum Systemstatus innerhalb von etwa 15 bis 20 Minuten gesichert werden. Die Sicherung bei einem Unternehmen mit 15.000 Benutzern mit einer Zertifikatsdatenbank von 15 GB kann in weniger als zwei Stunden durchgeführt werden.

Zum Seitenanfang

Aufgaben Änderung

In diesen Quadranten fallen Prozesse und Verfahren zur Aufnahme, Überprüfung, Genehmigung und Integration von Änderungen in einer verwalteten IT-Umgebung. Änderungen können Hard- und Software sowie bestimmte Prozesse und Vorgänge betreffen.

Ziel des Änderungsprozesses ist die Einführung neuer Technologien, Systeme, Anwendungen, Hardware, Tools und Prozesse sowie Veränderungen an Rollen und Verantwortlichkeiten ohne großen Verzug und mit möglichst geringen Auswirkungen auf den Betrieb.

Dieser Abschnitt enthält Informationen zu folgenden SMFs:

Änderungsverwaltung

Die SMF "Änderungsverwaltung" ist für die Verwaltung von Änderungen in einer IT-Umgebung verantwortlich. Eines der Hauptziele der Änderungsverwaltung besteht darin, dafür Sorge zu tragen, dass alle Beteiligten die Auswirkungen einer anstehenden Änderung kennen und verstehen. Da die meisten Systeme eng miteinander verzahnt sind, wirken sich Änderungen in einem Teil des Systems häufig sehr stark auf andere Bereiche aus. Um nachteilige Auswirkungen abzufangen oder zu eliminieren, versucht die Änderungsverwaltung, sämtliche betroffenen Systeme und Prozesse vor der Änderung zu identifizieren. Meist wird dabei auf die Produktionsumgebung abgezielt; es sollten jedoch auch die wichtigsten Integrations-, Test- und Staging-Umgebungen berücksichtigt werden.

Alle Veränderungen an der PKI sollten dem folgenden MOF-Standardprozess für die Änderungsverwaltung folgen:

Dieser Abschnitt enthält die Verfahren zur Änderungsentwicklung für einige der wichtigsten Änderungen, die vermutlich regelmäßig in Ihrer Umgebung erforderlich sind. Jeder Änderungsentwicklung ist dabei ein korrespondierendes Verfahren zur Veröffentlichung zugeordnet, das beschreibt, wie Sie die Änderung in Ihre Produktionsumgebung überführen.

Verwalten von Betriebssystemupdates

Die Verwaltung von Sicherheitsupdates für die Zertifikatsdienste ist Bestandteil der allgemeinem Patchverwaltung von Windows. Dieses Thema wird in zwei Lösungshandbüchern von Microsoft behandelt, in denen die Bereitstellung von Windows-Systemupdates mithilfe von Microsoft Systems Management Server (SMS) bzw. Microsoft Software Update Services (SUS) beschrieben wird. Im Abschnitt "Weitere Informationen" am Ende dieses Kapitels erhalten Sie Informationen dazu, wie Sie diese Dokumentationen beziehen können.

Die Patchverwaltung umfasst Veröffentlichungs- und Konfigurationsverwaltungskomponenten sowie eine Komponente zur Änderungsverwaltung. Alle drei SMFs werden in den Dokumentationen behandelt, auf die im vorangegangenen Absatz verwiesen wurde.

Zusammenfassung

Hinzufügen einer Zertifikatsvorlage

Eine neue Zertifikatsvorlage wird hinzugefügt, um die Ausstellung eines neuen Zertifikatstyps zu ermöglichen, der erforderlich sein könnte, weil eine neue Anwendung bereitgestellt wird oder eine vorhandene Anwendung neue Funktionalität benötigt. Diese Aufgabe kann auch im Rahmen der Aktualisierung eines vorhandenen Zertifikatstyps anfallen.

Zusammenfassung

Bevor Sie einen neuen Zertifikatstypen anfordern, sollten Sie diesen in einer repräsentativen Testumgebung getestet haben.

Die Anforderung sollte folgende Punkte enthalten:

Die Dokumentation sollte die erforderlichen Aktualisierungen der Zertifikatsrichtlinien und Zertifikatverwendungserklärung (Certificate Practices Statement, CPS) einschließen. Danach muss eine Bewertung der Priorität und Auswirkungen erfolgen. Nach erfolgter Genehmigung kann die Änderung implementiert (jedoch noch nicht veröffentlicht) werden.

Aufgabendetails

Das folgende Verfahren sollte lediglich in einer Testumgebung ausgeführt werden. Der Prozess für die Bereitstellung dieser Änderung in der Produktionsumgebung wird unter "Veröffentlichen einer neuen Zertifikatsvorlage" beschrieben.

So implementieren Sie eine neue Zertifikatsvorlage

Aktualisieren einer Zertifikatsvorlage

Diese Aufgabe beschreibt, wie Sie geringfügige Änderungen an einer Zertifikatsvorlage vornehmen. Für größere Änderungen sollten Sie eine Kopie der Vorlage bearbeiten, die die alte Vorlage ablöst (gemäß den Schritten in der vorangegangenen Aufgabe "Hinzufügen einer Zertifikatsvorlage").

Zusammenfassung

Aufgabendetails

Sie sollten an einer Zertifikatsvorlage nur geringfügige Änderungen vornehmen, die keine wesentlichen Auswirkungen für die Zertifikatbenutzer nach sich ziehen. Die Auswirkungen von Zertifikatsänderungen sind schwieriger zu kontrollieren, und es ist wesentlich komplizierter, diese zurückzunehmen, als eine neue Vorlage zu erstellen.

Beispiele für geringfügige Änderungen:

Implementieren Sie alle Änderungen, die die Funktionalität des Zertifikats beeinflussen (z. B. Ändern der Zertifikatsrichtlinien, Entfernen von CSP-Typen, Ändern der Ausstellungskriterien) durch Erstellen eines neuen Vorlagentyps, der die alte Vorlage ablöst.

Bewerten Sie den Änderungsantrag wie unter "Hinzufügen einer Zertifikatsvorlage" beschrieben.

Anschließend können Sie die vorgeschlagene Vorlagenänderung implementieren und testen, indem Sie eine Änderungsanforderung an die Produktion weitergeben. Weitere Informationen finden Sie unter "Veröffentlichen einer Vorlagenaktualisierung".

So aktualisieren Sie eine Zertifikatsvorlage

Entfernen einer Zertifikatsvorlage

Wenn Sie eine Vorlage nicht mehr benötigen, können Sie sie deaktivieren oder vollständig aus dem Verzeichnis löschen.

Zusammenfassung

Aufgabendetails

Sie sollten eine Vorlage nur dann entfernen, wenn Sie absolut sicher sein können, dass keine Anwendungen auf Zertifikate dieses Typs angewiesen sind. Die Bewertung und Genehmigung dieses Prozesses sollte nach den unter "Hinzufügen einer Zertifikatsvorlage" beschriebenen Schritten erfolgen. Bevor Sie eine Vorlage aus dem Verzeichnis entfernen, sollten Sie sie unbedingt zunächst deaktivieren und prüfen, ob keine Anwendung dadurch in Mitleidenschaft gezogen wird.

Anschließend können Sie die Vorlagenänderung probeweise entfernen, bevor Sie die Änderung endgültig in der Produktionsumgebung veröffentlichen. Weitere Informationen finden Sie unter "Veröffentlichen der Entfernung einer Vorlage".

So entziehen Sie eine Zertifikatsvorlage der aktiven Nutzung

So entfernen Sie eine Zertifikatsvorlage vollständig aus dem Verzeichnis

Konfigurationsverwaltung

Die SMF "Konfigurationsverwaltung" beinhaltet die Identifizierung, Aufzeichnung, Überwachung und Berichterstattung für die wichtigsten IT-Komponenten oder -Ressourcen, die als Konfigurationsobjekte bezeichnet werden. Die gesammelten und überwachten Informationen hängen von den jeweiligen Konfigurationsobjekten ab, enthalten jedoch meist eine Beschreibung des Konfigurationsobjekts, die Version, Aufzählung seiner Komponenten, Beziehungen zu anderen Konfigurationsobjekten, Speicherort/Zuweisung sowie den aktuellen Status.

Die Konfigurationsverwaltung einer PKI kann in verschiedene Hauptbereiche unterteilt werden:

In den folgenden Abschnitten werden diese Punkte genauer beschrieben, einschließlich der Methoden zur automatischen Erfassung dieser Informationen, sofern dies möglich ist.

Zusätzliches Material zur Konfigurationsverwaltung entnehmen Sie bitte dem Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Sammeln von Konfigurationsinformationen der Organisations-PKI

Unternehmensweite Konfigurationsinformationen werden in Active Directory gespeichert, darunter vertrauenswürdige Stamm-CA-Veröffentlichung, Konfiguration der Unternehmens-CA sowie Ankündigungsinformationen. Zertifikatsvorlagen gehören ebenfalls hierzu, werden jedoch getrennt in einem späteren Verfahren behandelt.

Zusammenfassung

Aufgabendetails

Dokumentieren Sie die nachfolgenden Informationen aus Active Directory:

Mit den folgenden Befehlen können Sie diese Informationen erfassen.

Wichtig: In den angeführten Befehlen müssen Sie den DN (Distinguished Name, definierten Namen) der Stammdomäne DC=woodgrovebank,DC=com durch den DN der Stammdomäne Ihrer Gesamtstruktur ersetzen.

Hinweis: Einige der folgenden Befehle werden über mehreren Zeilen hinweg dargestellt, sie sollten jedoch auf einer Zeile eingegeben werden.

So zeigen Sie vertrauenswürdige Stammzertifizierungsstellen an

certutil -store -enterprise Root

So zeigen Sie NTAuth-Speicher an

certutil -store -enterprise NTAuth

So zeigen Sie die Zertifikate der aktuellen Unternehmens-CAs an

certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,
DC=woodgrovebank,DC=com?cACertificate?one?
objectClass=pkiEnrollmentService"

So zeigen Sie Zwischen- und Kreuzzertifikate an

certutil -store -enterprise CA

So zeigen Sie Zwischen-CA-Zertifikate einzeln an

certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, DC=woodgrovebank,DC=com?cACertificate?one?
objectClass=certificationAuthority"

So zeigen Sie Kreuzzertifikate einzeln an

certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, DC=woodgrovebank,DC=com?cRossCertificatePair?one?
objectClass=certificationAuthority"

So zeigen Sie aktuell veröffentlichte CRLs an

Sammeln von Konfigurationsinformationen für Zertifikatsvorlagen

Zertifikatsvorlagen werden in Active Directory gespeichert. Dokumentieren Sie die Konfigurationen der einzelnen Vorlagen sowie die zugehörigen Zertifikatregistrierungsberechtigungen.

Zusammenfassung

Aufgabendetails

Erfassen Sie diese Konfigurationsinformationen mithilfe der folgenden Befehle:

So erstellen Sie eine Liste der in Active Directory konfigurierten Vorlagen

Certutil -template

So erstellen Sie ein Abbild der Konfiguration in diesen Vorlagen

Certutil -dsTemplate

So erstellen Sie ein Abbild der Berechtigungen einer Vorlage

Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,DC=woodgrovebank,DC=com"

Es gibt kein Tool, mit dem die gesamten Vorlagenberechtigungen in leicht zu lesender Form exportiert werden können. Mit Dsacls.exe werden die Berechtigungen für eine Vorlage dargestellt. Allerdings zeigt die aktuelle Version dieses Tools zeigt nicht die Berechtigung "Autoregistrieren" der erweiterten Rechte an (obwohl "Registrieren" und andere erweiterten Rechte angezeigt werden). Das heißt, Sie müssen die Berechtigungen für "Autoregistrieren" manuell dokumentieren. Sie können auch mithilfe der Active Directory Services Interface (ADSI) ein Skript oder Tool erstellen, um alle Berechtigungen richtig zu erfassen und anzuzeigen.

Sammeln von Konfigurationsinformationen der Zertifizierungsstellen

In diesem Abschnitt wird beschrieben, wie Sie Konfigurationsinformationen abrufen, die lokal auf den CAs bzw. im Fall einer Unternehmens-CA zum Teil in Active Directory gespeichert sind.

Zusammenfassung

Aufgabendetails

Dokumentieren Sie die folgenden Informationen:

So zeigen Sie die CA-Registrierungsinformationen an

Certutil -getreg

Certutil -getreg CA

So zeigen Sie das aktuelle CA-Zertifikat an

certutil -f -ca.cert %temp%\CAcert.cer > nul && certutil -dump %temp%\CACert.cer

Hinweis: Einige dieser Befehle erstrecken sich über mehrere Zeilen, sie sollten jedoch in Form einer einzigen Zeile eingegeben werden.

Es gibt kein Tool, mit dem die vollständigen CA-Berechtigungsinformationen in nutzbarer Form exportiert werden können. Sie können jedoch ein ADSI-Skript erstellen, um alle Berechtigungen richtig zu erfassen und anzuzeigen. Anderenfalls müssen Sie diese Informationen manuell dokumentieren.

So zeigen Sie die derzeit der CA zugewiesenen Vorlagen an

Certutil -CATemplates

Die CA-CPS-Datei sollte mithilfe einer geeigneten Versionskontrolle gewartet werden, so dass die Zertifikatverwendungserklärung, die zu einem bestimmten Zeitpunkt in Kraft war, auf einfache Weise identifiziert und abgerufen werden kann.

Sammeln von Informationen über Gruppen der Zertifizierungsstellen- und PKI-Verwaltung

Bei der Mitgliedschaft in den Verwaltungsgruppen der PKI handelt es sich um äußerst wichtige Konfigurationsinformationen, da diese Gruppen die Kontrolle über alle Aspekte der CAs und der PKI des Unternehmens haben.

Zusammenfassung

Aufgabendetails

Listen Sie die aktuellen Mitglieder für alle Administrationsgruppen der PKI und CAs auf, und dokumentieren Sie sie. Wenn Mitglieder selbst eine eigenständige Gruppe darstellen (zu erkennen am Sternchen vor dem Namen), listen Sie ebenfalls die Mitgliedschaften dieser Gruppen auf. Die vollständige Liste muss alle Benutzer aufführen, die Mitglieder der PKI-Gruppen sind.

Die Standardgruppen sind:

Darüber hinaus sollten Sie alle ggf. von Ihnen erstellten Gruppen aufnehmen.

So listen Sie die Mitglieder der einzelnen Gruppen auf

Net groups Gruppenname /Domäne

Sammeln von Konfigurationsinformationen der Zertifikatclients

Diese Aufgabe bezieht sich auf Clientkonfigurationsinformationen, die mithilfe von Gruppenrichtlinien bereitgestellt werden. Wenn Sie PKI-bezogene Clienteinstellungen auf andere Weise bereitstellen, zum Beispiel mithilfe von SMS oder Anmeldeskripts, müssen Sie diese Methoden ebenfalls dokumentieren.

Zusammenfassung

Aufgabendetails

Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), um die PKI-Clientkonfigurationsinformationen zu sammeln und aufzulisten. Informationen zu Erhältlichkeit und Verwendung der GPMC finden Sie in den Literaturhinweisen unter "Weitere Informationen".

Veröffentlichungsverwaltung

Die Hauptaufgabe der Veröffentlichungsverwaltung besteht in der Einfügung der Software- und Hardwareveröffentlichungen in die verwalteten IT-Umgebungen. Meist schließt dies die Produktionsumgebung und die verwalteten Vorproduktionsumgebungen ein. In der Veröffentlichungsverwaltung werden die Arbeit des für die Veröffentlichungsentwicklung/-Projektierung verantwortlichen Teams und des für die Bereitstellung der Veröffentlichung in die Produktion verantwortlichen Teams koordiniert.

Dieser Abschnitt befasst sich mit den häufigsten Änderungen Hinzufügen, Ändern und Entfernen von Zertifikatstypen (mithilfe von Zertifikatsvorlagen). Andere Änderungen sollten Sie ebenfalls anhand der hier vorgestellten Systematik veröffentlichen, beispielsweise:

Alle Veröffentlichungsverfahren folgen dem nachstehend aufgezeigten Prozess:

Veröffentlichen einer neuen Zertifikatsvorlage

Die Einführung eines neuen Zertifikatstyps stellt eine signifikante Veränderung der IT-Umgebung dar, daher muss die Veröffentlichung auf kontrollierte und reversible Weise durchgeführt werden.

Zusammenfassung

Aufgabendetails

Im Folgenden wird das Verfahren für die Veröffentlichung einer neuen Zertifikatsvorlage in die Produktionsumgebung beschrieben:

So veröffentlichen Sie eine neue Zertifikatsvorlage

Zu einer älteren Version einer Vorlage zurückzukehren ist relativ einfach, solange Sie diese noch nicht gelöscht haben. Sollten Sie die abgelöste Vorlage gelöscht haben, müssen Sie sie anhand einer Sicherungskopie wiederherstellen, indem Sie entweder eine autorisierende Wiederherstellung von Active Directory durchführen oder das unter "Speicherverwaltung" beschriebene Verfahren zum Ex- und Import verwenden ("Exportieren einer Zertifikatsvorlage aus Active Directory" und "Importieren einer Zertifikatsvorlage in Active Directory").

So nehmen Sie das Hinzufügen einer neuen Vorlage zurück

Veröffentlichen einer neuen Zertifikatverwendungserklärung

Wenn Sie eine CPS veröffentlichen, müssen Sie diese aktualisieren, damit sie den jeweils aktuellen Zertifikatsrichtlinien und -Verwendungen in Ihrem Unternehmen entspricht.

Zusammenfassung

Aufgabendetails

Die CPS wird normalerweise in Form einer Text- oder HTML-Datei auf einem Web- oder Dateiserver gespeichert. Wenn mehrere CAs dieselbe CPS verwenden, verweisen standardmäßig alle CAs auf dieselbe Datei.

So veröffentlichen Sie eine neue CPS

Veröffentlichen einer Vorlagenaktualisierung

Hier wird beschrieben, wie Sie eine veröffentlichte Zertifikatsvorlage kontrolliert und umkehrbar aktualisieren.

Zusammenfassung

Aufgabendetails

Ändern Sie eine Vorlage nur dann, wenn es sich um geringfügige Änderungen handelt, die keine bedeutenden Konsequenzen für die Zertifikatbenutzer haben. Die Auswirkungen von Zertifikatsänderungen sind schwieriger zu kontrollieren, und es ist wesentlich komplizierter, diese zurückzunehmen, als eine neue Vorlage zu erstellen.

So veröffentlichen Sie eine Zertifikatsvorlagenaktualisierung

So nehmen Sie die Zertifikatsvorlagenaktualisierung zurück

Veröffentlich der Entfernung einer Vorlage

Wenn eine Zertifikatsvorlage nicht mehr benötigt wird, können Sie sie der aktiven Nutzung entziehen oder aus dem Verzeichnis löschen.

Zusammenfassung

Aufgabendetails

Das Verfahren zum Entzug einer Zertifikatsvorlage aus der aktiven Nutzung ist relativ einfach, weil es leicht rückgängig zu machen ist. Das Entfernen der Vorlage aus dem Verzeichnis ist ein wenig problematischer, da die Vorlage zurückimportiert werden muss, um die Änderung rückgängig zu machen.

So entziehen Sie eine Zertifikatsvorlage der aktiven Nutzung

-So nehmen Sie das Entziehen einer Vorlage aus der aktiven Nutzung zurück

So entfernen Sie eine Zertifikatsvorlage vollständig aus dem Verzeichnis

So nehmen Sie das Entfernen einer Vorlage aus dem Verzeichnis zurück

Zum Seitenanfang

Problembehandlung

Die Problembehandlung findet in den SMFs "Vorfall- und Problemverwaltung" Anwendung. Die Vorfallverwaltung befasst sich mit dem schnellstmöglichen Wiederherstellen eines Dienstes. Bei der Problemverwaltung wird eher versucht, die eigentlichen Ursachen für Vorfälle zu identifizieren und ein erneutes Auftreten dieser Probleme zu verhindern.

Dieser Abschnitt ist eng mit den unter "Aufgaben Support" beschriebenen Aufgaben verzahnt. Viele der hier beschriebenen Lösungsansätze beziehen sich direkt auf die dort vorgestellten Verfahren.

Dieser Abschnitt enthält die am häufigsten auftretenden Supportvorfälle sowie Verfahren zur Behandlung der zugrunde liegenden Probleme. Der Schwerpunkt liegt jedoch zunächst auf der schnellstmöglichen Wiederherstellung der betroffenen Dienste. In manchen Fällen handelt es bei dem Problembehandlungsverfahren lediglich um einen Verweis auf ein Supportverfahren. In anderen Fällen hingegen sind komplexere Diagnoseverfahren erforderlich.

Die folgende Tabelle führt einige der wichtigsten Supportvorfälle sowie Verfahren zu ihrer Behandlung auf. Die Spalte Supportverfahren enthält die erforderlichen Schritte. Diese Schritte sind im Abschnitt "Aufgaben Support" genauer beschrieben. Sollte kein Verfahren aufgeführt sein, lesen Sie das entsprechende Diagnoseverfahren zu dem jeweiligen Problem (im nächsten Abschnitt).

Tabelle 11.15: Wichtigste Supportvorfälle

Erweiterte Verfahren zur Problembehandlung

In diesem Abschnitt werden Verfahren zur Problembehandlung beschrieben, die Ihnen möglicherweise bei der Diagnose und Lösung einiger der in der obigen Tabelle aufgeführten Probleme helfen. Die Verfahren beziehen sich auf folgende häufige Probleme:

Probleme bei der Veröffentlichung von Zertifikatssperrlisten

Probleme beim Veröffentlichen einer CRL werden durch eine Warnung angezeigt, die vom Skript CheckCRLs generiert wird; eine Beschreibung finden Sie im Abschnitt "Dienstüberwachung und -steuerung". Diese Warnmeldung wird ausgelöst, wenn eine CRL nicht rechtzeitig an Active Directory und/oder Webserver veröffentlicht wird. Anwendungen, die Sperrüberprüfungen erfordern, arbeiten fehlerhaft, wenn dieser Fehler nicht behoben wird.

Untersuchen Sie den von CheckCRLs generierten Ereignisprotokolleintrag. Dieser Eintrag sollte genauer aussagen, worin das Problem besteht und zu welcher CA der problematische CDP bzw. die CRL gehört. Folgende Ursachen sind möglich:

So beheben Sie Probleme beim Veröffentlichen einer CRL

CRL nicht ausgestellt

Diese Situation tritt im normalen Betrieb höchstwahrscheinlich nicht auf. Eine CA kann eine CRL normalerweise immer lokal (im Systemordner %windir%\system32\certsrv\certenroll) veröffentlichen, sofern Sie diese Funktion nicht deaktiviert haben. Sofern Sie den lokalen Veröffentlichungspfad nicht umkonfiguriert haben, besteht möglicherweise ein ernstes Problem mit der CA. Führen Sie das folgende Problembehandlungsverfahren durch, um die Ursache des Problems zu bestimmen. Dieses Verfahren ist zwar auf Probleme mit CRLs abgestimmt, die meisten Schritte können jedoch auch für die Problembehandlung allgemeiner Probleme mit den Zertifikatsdiensten verwendet werden.

So behandeln Sie Probleme mit der CRL-Ausstellung

Clients können nicht registrieren

Führen Sie dieses Verfahren durch, um Probleme mit der Zertifikatsregistrierung zu diagnostizieren.

So diagnostizieren Sie Probleme mit der Zertifikatsregistrierung

Clients können ein Zertifikat nicht automatisch registrieren

Eine vollständige Anleitung zu den Grundlagen und der Problembehandlung im Zusammenhang mit der Autoregistrierung finden Sie in dem Artikel "Certificate Autoenrollment in Windows XP" (in englischer Sprache), auf den am Ende dieses Kapitels verwiesen wird.

Überprüfen Sie, dass ein Client das Zertifikat, dass automatisch registriert werden soll, auch manuell registrieren kann. Laden Sie das MMC-Snap-In für Zertifikate, und fordern Sie ein neues Zertifikat an. Wenn der Zertifikatstyp nicht angezeigt wird oder wenn bei der Registrierung ein Fehler angezeigt wird, folgen Sie den Schritten im Abschnitt "Clients können nicht registrieren".

Sollte eine manuelle Registrierung möglich sein, fahren Sie mit den folgenden Schritten fort:

Tools und Techniken zur Problembehandlung

In diesem Abschnitt werden einige Tools behandelt, die Ihnen bei der Diagnose und Lösung von PKI-Problemen helfen. Hier werden außerdem die Protokolle der Zertifikatsdienste beschrieben und erläutert, wie Sie detailliertere Protokollierung für Zertifikatsdienste und Clientautoregistrierung aktivieren können.

PKI-Zustand

Hierbei handelt es sich um ein Tool zur Diagnose von Problemen im Zusammenhang mit AIA oder CDP, das eine Ansicht aller CAs im Unternehmen erstellt. Es ist sehr hilfreich für die Diagnose von Konnektivitäts- sowie CDP- und AIA-Veröffentlichungsproblemen. Darüber hinaus ermöglicht es Ihnen, die vom CDP oder von AIA referenzierten Zertifikate zu downloaden und anzuzeigen. Das Tool ist im Rahmen des Windows Resource Kit verfügbar.

Certutil

Certutil ist das wichtigste Tool zur Verwaltung und Problembehandlung von Windows-CAs. Eine Beschreibung der Hauptverwendungszwecke dieses Tools finden Sie im Whitepaper "Using Certutil.exe to Manage and Troubleshoot Certificate Services" (in englischer Sprache), auf das am Ende dieses Kapitels verwiesen wird.

Es stehen jedoch eine Reihe weiterer Optionen für zahlreiche Verwaltungs- und Diagnosezwecke zur Verfügung, die in diesem Whitepaper nicht behandelt werden. Die vollständige Liste der verfügbaren Certutil-Aktionen (und Verben) können Sie aufrufen, indem Sie den Befehl mit dem Parameter "-?" eingeben. Wenn Sie dabei das Verb angeben, zu dem Sie mehr Informationen benötigen, wird eine detaillierte Syntax für diese Aktion dargestellt. Beispiel:

Certutil -dsPublish -?

Weitere Diagnosetools

Weitere nützliche Diagnose- und Verwaltungstools:

Protokollierung der Zertifikatsdienste

Die Zertifikatsdienste und zugehörigen Tools generieren eine Reihe verschiedener Protokolle, die für die Problembehandlung von unschätzbarem Wert sein können.

So aktivieren Sie die Debug-Protokollierung von Zertifikatsdiensten

Die Protokolleinträge werden in %windir%\certsrv.log gespeichert.

So deaktivieren Sie die Debug-Protokollierung

Protokollieren der Autoregistrierung

Sie müssen einen Registrierungseintrag hinzufügen, um die zusätzliche Protokollierung von Autoregistrierungsereignissen zu aktivieren. Die erweiterte Protokollierung wird für die Autoregistrierung von Benutzer- und Computerzertifikaten separat aktiviert.

So aktivieren Sie die Autoregistrierungsprotokollierung für Benutzer

So aktivieren Sie die Autoregistrierungsprotokollierung für Computer

Zum Seitenanfang

Konfigurationstabellen

Die folgenden Tabellen enthalten standort- und lösungsspezifische Konfigurationswerte, die von den Verfahren in diesem Kapitel verwendet werden. Diese Tabellen sind Teil der Planungskonfigurationstabellen in Kapitel 7, "Implementieren der Infrastruktur öffentlicher Schlüssel", und werden hier lediglich zu Referenzzwecken aufgeführt.

Tabelle 11.16: Benutzerdefinierte Konfigurationsobjekte

Tabelle 11.17: Durch die Lösung vorgegebene Konfigurationsobjekte

Zum Seitenanfang

Weitere Informationen

Zum Seitenanfang

3 von 4