Was ist der Rollendienst der Zertifizierungsstelle?
Dieser Artikel enthält Informationen zum Rollendienst der Zertifizierungsstelle für Active Directory-Zertifikatdienste, wenn er auf dem Windows Server-Betriebssystem bereitgestellt wird.
Eine Zertifizierungsstelle (ZS) beglaubigt die Identität von Benutzern, Computern und Unternehmen. Die ZS authentifiziert eine Entität und bürgt durch die Ausstellung eines digital signierten Zertifikats für diese Entität. ZS können Zertifikate außerdem verwalten, widerrufen und erneuern.
Eine Zertifizierungsstelle kann Folgendes sein:
- Ein Unternehmen, das für die Identität eines Endbenutzers bürgt.
- Ein Server, der vom Unternehmen für die Ausstellung und Verwaltung von Zertifikaten verwendet wird.
Wenn Sie den Zertifizierungsstellen-Rollendienst aus den Active Directory-Zertifikatdiensten (AD CS) installieren, können Sie Ihren Windows Server so konfigurieren, dass sich dieser als ZS verhält.
Grundlegendes zu verschiedenen Zertifizierungsstellen
Windows Server unterstützt vier verschiedene Arten von ZS:
- Unternehmens-Stammzertifizierungsstelle.
- Untergeordnete Unternehmenszertifizierungsstelle.
- Eigenständige Stammzertifizierungsstelle.
- Eigenständige untergeordnete Zertifizierungsstelle.
Zertifizierungsstellen für Unternehmen und eigenständige Zertifizierungsstellen
Unternehmenszertifizierungsstellen sind mit Active Directory-Domänendiensten (AD DS) integriert. Diese ZS veröffentlichen Zertifikate und Zertifikatsperrlisten (CRLs) an AD DS. Unternehmenszertifizierungsstellen verwenden in AD DS gespeicherte Informationen inklusive Benutzerkonten und Sicherheitsgruppen, um Zertifikatanforderungen zu genehmigen oder abzulehnen. Unternehmenszertifizierungsstellen verwenden Zertifikatvorlagen. Beim Ausstellen eines Zertifikats verwendet die Unternehmenszertifizierungsstelle Informationen aus der Zertifikatvorlage, um ein Zertifikat mit den entsprechenden Attributen für diesen Zertifikatstyp zu generieren.
Falls Sie automatische Zertifikatgenehmigung und automatische Registrierung für Benutzerzertifikate aktivieren möchten, müssen Sie die Zertifikate mit Unternehmenszertifizierungsstellen ausstellen. Diese Features sind nur verfügbar, wenn die ZS-Infrastruktur mit Active Directory integriert ist. Außerdem können nur Unternehmenszertifizierungsstellen Zertifikate für die Smartcardanmeldung ausstellen, da die Smartcard-Zertifikate bei diesem Prozess automatisch zu den Benutzerkonten in Active Directory zugeordnet werden müssen.
Eigenständige ZS benötigen kein AD DS, da diese ZS keine Zertifikatvorlagen verwenden. Falls Sie eigenständige ZS verwenden, müssen alle Informationen über den angeforderten Zertifikatstyp in der Zertifikatanforderung enthalten sein. Standardmäßig werden alle an eigenständige ZS übermittelte Zertifikatanforderungen in einer Warteschlange vorgehalten, bis diese von einem ZS-Administrator genehmigt werden. Sie können eigenständige ZS so konfigurieren, dass diese auf Anfrage automatisch Zertifikate ausstellen. Dies ist jedoch weniger sicher und nicht empfehlenswert, da Anfragen nicht authentifiziert sind.
Sie müssen eigenständige ZS zum Ausstellen von Zertifikaten verwenden, wenn Sie einen nicht von Microsoft stammenden Verzeichnisdienst verwenden oder wenn AD DS nicht verfügbar ist. Sie können in Ihrem Unternehmen sowohl Unternehmens- als auch eigenständige Zertifizierungsstellen verwenden.
Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen
Unternehmens- und eigenständige ZS können als Stamm- oder als untergeordnete ZS konfiguriert werden. Untergeordnete ZS können darüber hinaus als Zwischenzertifizierungsstelle (auch als Richtlinien-ZS bezeichnet) oder als ausstellende ZS konfiguriert werden
Stamm-ZS sind ZS, die sich an der Spitze einer Zertifizierungshierarchie befinden, in der alle Zertifikatketten beendet werden. Wenn das Zertifikat der Stammzertifizierungsstelle auf dem Client vorhanden ist, wird die Stamm-ZS bedingungslos vertrauenswürdig. Sie müssen eine Stamm-ZS bestimmen, egal ob Sie Unternehmens- oder eigenständige ZS verwenden.
Da die Stamm-ZS an der Spitze der Zertifizierungshierarchie liegt, hat das Feld „Antragsteller“ des Zertifikats denselben Wert wie das Feld „Aussteller“. Und da die Zertifikatkette beim Erreichen einer selbstsignierten ZS endet, sind alle selbstsignierten ZS auch Stamm-ZS. Die Entscheidung, eine ZS als vertrauenswürdige Stamm-ZS zu bestimmen, kann auf Unternehmensebene oder lokal durch einzelne IT-Administratoren getroffen werden.
Eine Stamm-ZS dient als Fundament für Ihr Zertifizierungsstellen-Vertrauensmodell. Diese ZS garantiert, dass der öffentliche Schlüssel des Antragstellers mit der Identität im Feld Antragsteller der ausgestellten Zertifikate übereinstimmt. Unterschiedliche ZS können diese Beziehung auf unterschiedliche Arten prüfen. Daher ist es wichtig, dass Sie die Richtlinien und Prozeduren der Stammzertifizierungsstelle verstehen, bevor Sie dieser ZS die Prüfung öffentlicher Schlüssel anvertrauen.
Die Stamm-ZS ist die wichtigste TS in Ihrer Hierarchie. Wenn Ihre Stamm-ZS gefährdet ist, gelten auch alle ZS in der Hierarchie sowie alle von ihnen ausgestellten Zertifikate als gefährdet. Sie können die Sicherheit der Stamm-ZS maximieren, indem Sie diese vom Netz getrennt halten und indem Sie untergeordnete ZS zum Ausstellen von Zertifikaten für andere untergeordnete ZS oder für Endbenutzer verwenden. Eine getrennte Stammzertifizierungsstelle wird auch als Offline-Stammzertifizierungsstelle bezeichnet.
ZS, die keine Stamm-ZS sind, werden als untergeordnete ZS bezeichnet. Die erste untergeordnete ZS in einer Hierarchie erhält ihr ZS-Zertifikat von der Stamm-ZS. Diese erste untergeordnete ZS kann diesen Schlüssel zum Ausstellen von Zertifikaten verwenden, die die Integrität anderer untergeordneter ZS prüfen. Diese höheren untergeordneten ZS werden auch als Zwischen-ZS bezeichnet. Jede Zwischen-ZS ist einer Stamm-ZS untergeordnet, dient jedoch als höhere Zertifizierungsstelle für eine oder mehrere untergeordnete ZS.
Zwischen-ZS werden oft als Richtlinien-ZS bezeichnet, da diese üblicherweise zum Trennen von Zertifikatklassen verwendet werden, die sich durch Richtlinien unterscheiden. Richtlinientrennung umfasst z. B. den Sicherheitsgrad, den eine ZS bietet, oder den geografischen Standort der ZS zur Unterscheidung unterschiedlicher Personengruppen in Endentitäten. Richtlinien-ZS können online oder offline funktionieren.
Private Schlüssel der Zertifizierungsstelle
Der private Schlüssel ist Teil der ZS-Identität und muss entsprechend geschützt werden. Viele Unternehmen schützen ihre privaten ZS-Schlüssel mit einem Hardwaresicherheitsmodul (HSM). Falls kein HSM verwendet wird, befindet sich der private Schlüssel auf dem ZS-Computer.
Offline-ZS sollten an sich an einem sicheren Standort befinden und nicht mit dem Netzwerk verbunden sein. Ausstellende ZS verwenden ihre privaten Schlüssel beim Ausstellen von Zertifikaten. Daher muss der private Schlüssel (online) verfügbar sein, während die ZS in Betrieb ist. ZS und deren privater Schlüssel müssen in jedem Fall physisch geschützt sein.
Hardwaresicherheitsmodule
Die Verwendung eines Hardwaresicherheitsmoduls (Hardware Security Module, HSM) kann die Sicherheit Ihrer ZS und Private Key Infrastructure (PKI) verbessern.
Ein HSM ist ein dediziertes Hardwaregerät, das getrennt vom Betriebssystem verwaltet wird. HSMs stellen einen sicheren Hardwarespeicher für Zertifizierungsstellenschlüssel sowie einen dedizierten kryptografischen Prozessor zur Beschleunigung von Signier- und Verschlüsselungsvorgängen zur Verfügung. Das Betriebssystem verwendet das HSM über die CryptoAPI-Schnittstellen, und das HSM fungiert als kryptografisches Dienstanbieter (CSP)-Gerät.
HSMs sind normalerweise PCI-Adapter, sind jedoch auch als netzwerkbasierte Geräte, serielle Geräte und USB-Geräte erhältlich. Wenn eine Organisation die Implementierung von zwei oder mehr Zertifizierungsstellen plant, können Sie ein einzelnes netzwerkbasiertes HSM installieren und für mehrere Zertifizierungsstellen verwenden.
HSMs müssen installiert und konfiguriert werden, bevor Sie ZAs mit Schlüsseln einrichten, die auf dem HSM gespeichert werden müssen.