AD CS, Active Directory Certificate Services, SmartCards

Hallo,

man kann das eigentlich recht einfach umsetzen. Wir nutzen Yubikeys mit unserer AD-CA. Bei Yubico gibt es eine ausführliche Anleitung unter Setting up Windows Server for YubiKey PIV Authentication

Wenn Du bisher keine CA im AD betreibst loht sich ein wenig Vorüberlegung, ggf. auch ein Trockenlauf auf einem Testsystem. Infos dazu findest Du unter z.B. openbook.rheinwerk-verlag.de/windows_server_2012r2/12_001.html#dodtp1554547c-ad02-4636-bbcc-ba16cd9c2b8f

Grüße

lcer

Da muss man dann aber auch Smartcard Reader an jedem PC haben und warten.
Es gibt kein Benutzervolume.
Na ja, über die Domäne lassen sich die Zertifikate gut verteilen, ohne ist das mühsam.
Gerne

Grüße

lcer

Alle CA-Server sollten getrennt vom DC sein. Eine Offline-Root-CA kann auch ein verlässlicher Desktop oder ein Laptop sein, sie läuft ja normalerweise nicht.
Smartcard-Login ist per se 2FA (Smartcard haben und PIN wissen), das ist ohne weitere Hilfsmittel ein Gegensatz zum AD-Passwort und nicht kombinierbar.
Bei dem Umfang und keiner sonstigen Verwendung der CA ist auch ein Single-Tier-Aufbau vertretbar.

Eine Offline-Root-CA wird heruntergefahren und nur für die CRL-Abfrage (z.B. jährlich) hochgefahren (und für Updates natürlich). Eine Issuing-CA bzw. ein Single-Tier-Setup kannst Du nicht runterfahren, weil die CRL-Lebenszeit kurz ist.

Mit dieser Anleitung bekommst Du einen fehlerfreien Normalfall (Two-Tier) hin: https://www.einfaches-netzwerk.at/pki-hierachy-offline-root-ca-konfiguri ...
Wobei ein Webserver auf der Issuing-CA sicher Geschmackssache ist. Der gängigere "Normalfall" wären schon drei Server für ein Two-Tier: Offline-Root-CA, Issuing-CA und Web-Server (dieser ggf. noch HA).
Bei Single-Tier bzw. Online-Root-CA verbietet sich eigentlich die Kombination mit dem Webserver. Du kannst einen Azure Storage Account o.ä. anstelle des Webservers nehmen, oder bei dem geringen Umfang zur Not auch nur mit dem AD-LDAP als Verteilungspunkt arbeiten.

Das lässt sich stark variieren. Wenn du wirklich Server sparen willst und Gefrickel nicht scheust, kannst Du die CA auch ganz ohne Server in xca oder OpenSSL auf deinem Admin-Rechner aufsetzen. Du musst halt die CA in den Domain-Store importieren (certutil.exe -dspublish), für jeden Nutzer ein passendes Zertifikat (SC-Login Verwendungszweck, im Normalfall mit dem UPN als SAN:OtherName) ausstellen und auf die Karte schreiben und die CRL regelmäßig am konfigurierten Punkt veröffentlichen.

Der Unterschied des Servers ist, dass er die CRL selbst verwaltet und Nutzer ggf. ihre Zertifikate selbst anfordern können bzw. Du Auto-Enrollment nutzen kannst. Außerdem gibt er funktionierende Templates vor.

Grunsätzlich können Nutzer die meisten Smartcards selbst konfigurieren bzw. ein Zertifikat dafür (von ADCS) anfordern. Es ist nur häufig (z.B. bei Yubikeys) mit funktionalen Einschränkungen versehen (Hierarche von Admin-PIN, PUK und PIN, entsprechende Lockout-Regeln), sodass ich bei unter 100 Nutzern Smartcards in der Regel administrativ beschreiben und ausgeben würde.

Moin,
es geht darum nicht um die Abfrage der CRL sondern die Aktualisierung der Sperrlisten, bevor diese ihr Ablaufdatum erreicht hat. Die Sperrliste muss natürlich zu jederzeit abfragbar sein.

Gerne werden die Sperrlisten und & Co auf der SubCA plaziert. Denn mit der Installation der Webregistierungstelle wird auch ein Webserver (IIS) dort installiert. Somit können dort auch die Zertifikate der CAs und deren Sperrlisten untergebracht werden.


Gruß,
Dani

Hallo,
Du musst Dir überlegen, wie lange das Zertifizierungsstellenzertifikat laufen soll. Bei 2 CAs wäre die Stamm-CA mit einer längeren Laufzeit versehen, die untergeordneten CAs hätte kürzere Laufzeiten. Hier musst Du einen Kompromiss festlegen.
Heikel ist das eigentlich nicht. Sicherheitstechnisch wäre der CA-Server genau so wichtig wie der DC !! Es nützt nichts, wenn der DC wie Fort Knox abgesichert wird und die CA auf irgendeinem Member-Server rumliegt. Hast Du beide auf dem selben DC, hast Du gleiche Sicherheit für beide. Wenn Du Sorgen um den DC hast, es aber an Windows-Lizenzen und Hardware nicht scheitert, installier lieber einen 2. (oder 3. .... ) DC

Lediglich, wenn Du bei den CA-Rollen einen Webdienst mit installieren willst würde ich das nicht auf dem DC machen, da gehört ein Webserver irgendwie nicht hin.

Grüße

lcer

Grundsätzlich kannst Du die ADCS auf einem DC installieren (sprich: es funktioniert). Würde ich aber nicht machen, einfach weil das ein Dienst ist, den man auch mal wieder aus dem AD entfernen könnte, und ich sowas (bzw. irgendwas) ungern wieder vom DC deinstalliere.

Im Single-Tier-Szenario hast Du normalerweise keine Issuing-CA als Zwischenzertifizierungsstelle. Du könntest einen Two-Tier-Aufbau mit der Root-CA auf einem und der Issuing-CA auf dem anderen DC wählen. Hat aber keinen Vorteil gegenüber Single-Tier auf einem DC.

Ausfallsicher, wie du dir das vorstellst, geht es nicht. Wenn Du ADCS auf einem Server installierst, hast Du damit eine CA mit einem festen Platz in der Hierarchie. Das kann eine Root- oder Zwischenzertifizierungsstelle sein, beides auf einem Server geht nicht. Für zwei verfügbare Issuing-/Intermediate-CAs brauchst Du also schon drei Server.
Theoretisch könnte man in einem Two-Tier Aufbau, bei dem die Root-CA online gelassen wird, auf der Root-CA dieselben Templates anbieten wie auf der Issuing-CA (gleichbedeutend mit einem Single-Tier-Aufbau, dem eine Issuing-CA der Verfügbarkeit wegen hinzugefügt wird). Dann hätten aber funktional gleiche Zertifikate unterschiedliche Zertifizierungspfade, was sehr untypisch ist. Die gewonnene Ausfallsicherheit für das Ausstellen der Zertifikate fällt bei Smartcard-Nutzern außerdem nicht ins Gewicht.

Für die Anmeldung erreichbar muss nur die im Zertifikat konfigurierte Sperrliste sein. Die kann im AD liegen, aber auch per http zur Verfügung gestellt werden. Die CA kann offline sein, die Nutzer können sich totzdem anmelden.

Der Computer, auf dem sich der Nutzer anmeldet prüft die Identität des Benutzers mittels des Zertifikates, das auf der Smartcard gespeichert ist. Vertraut der Computer dem Zertifikat und ist der im Zertifikat eingetragene Benutzer derjenige, der sich anmelden will, wird angemeldet. Die PIN auf der Smartcard stellt sicher, dass nicht jeder das Zertifikat aus der Smartcard auslesen kann.

Grüße

lcer

Hey,

älterer Beitrag aber gleiche Konstellation.

Ich benutze derzeit xca als ROOT CA und habe ein kleines AD plus yubikey.

Ich kann wie ich dich verstanden haben, dort die certificate für den user erstellen und muss diese plus das root ca in den domain controller importieren, damit das ad es als korrekt ansieht. Nur wie meinst du das mit dem crl akutalisieren? Wenn ich dem certificate 2 Jahre laufzeit gebe , muss ich dann zum change die crl verfügbar machen von xca?

Kannst du das kurz etwas erläutern? Danke

Im Prinzip möchte ich nur 3 User per smartcard (yubikey) schützen und dafür nichtd irekt microsoft seine pki installieren, was auch auf dem ad wohl nicht best practise ist.

Danke

Hallo,

nur die Root-CA und eventl. Intermediate-CAs müssen ins AD importiert werden. Die Nutzerzertifikate werden bei Verwendung standardmäßig automatisch in den Nutzerspeicher geladen.

Du musst mit der CRL eine Widerrufsmöglichkeit für die Zertifikate vorsehen. Eine PIN kann abgegriffen werden: Wenn der YubiKey verloren wird, sollen aber weder der Nutzer langfristig deaktiviert werden, noch die Infrastruktur bedroht sein, solange das Zertifikat noch gilt. Die CRL wird ad hoc dann erneuert, wenn ein Zertifikat vor Ende seiner Lebensdauer widerrufen werden soll, und regelmäßig wenn die CRL abläuft.

Die Lebensdauer der CRL gibt unter Beachtung kombinierter Angriffe den Zeitraum vor, in dem auf einen Vorfall reagiert werden kann, denn einem validierenden System kann ggf. eine abgelöste CRL untergeschoben werden, solange sie nicht abgelaufen ist. Die CDP-Protokolle LDAP und HTTP sind ja selbst nicht sicher.

Das Aktualisierungsintervall ist folglich eine Abwägung aus dem Risiko, dem die privaten Schlüssel der ausgestellten Zertifikate ausgesetzt sind, dem praktischen Aufwand und der übrigen Schutzniveau der Infrastruktur (CDP, Netzwerk, Host für potenziell automatisierte Ausstellung). Für einen solchen Fall mit Smartcards finde ich das manuelle Vorgehen mit z.B. 2-3 Monaten vertretbar.

Grüße
Richard

Guten Morgen Richard!

danke für deine ausführliche Erklärung. Da ich ja xca als root ca benutzte, verstehe ich, das dieses Root Ca ins AD muss, damit Domain Controller und alle clients dieses als Sicher / Trust ansehen.

Nur noch mal zur Frage bezüglich der Nutzerzertifikate:

Die Nutzerzertifikate werden bei Verwendung standardmäßig automatisch in den Nutzerspeicher geladen.

Muss ich nicht noch das user certificate, was ich per xca erstelle und in den yubikey dann importiere oder von dieses als request erstellen lasse , noch dem user importieren / hinterlegen im AD?

Liebe Grüße

Felix

Das Betrifft nur Fälle, in denen andere Konten ein Nutzerzertifikat aus dem AD abrufen können sollen. Wenn die Zertifikate auch für E-Mail-Verschlüsselung oder EFS genutzt werden, kann man das machen. Für Smartcard-Login ist es nicht erforderlich.

also wenn ich mich auf der workstation/server per user anmelde , reicht wenn das ad die rootca importiert hat und der yubikey ein certifikat/schlüssel von dieser ca import hat?

dann kann ich es einfach als smartcard login verwenden ohne , den user noch irgendwas zu importieren?

ich ging davon aus, dass es noch in sein useraccount eingefügt werden muss, das er sich mit diesem authentifiziert. Da muss ich etwas nicht verstanden haben und werde das noch einmal nachlesen. Danke

ich werde das jetzt einmal testen.

1.domain
2.xca root ca exportieren und in den domain zertifikats store hinzufügen
3.certificat in den yubikey importieren mit schlüssel und pin
4. smartcard login für den user aktivieren.

Das wären dann die richitgen schritte oder?