Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst AD CS, Active Directory Certificate Services, SmartCards

Mitglied: baddeit

baddeit (Level 1) - Jetzt verbinden

16.07.2020 um 14:07 Uhr, 417 Aufrufe, 16 Kommentare, 3 Danke

Hi zusammen,

was brauche ich, um SmartCards in einer AD Umgebung zu verwenden? Bin ich mit AD CS da auf dem richtigen Weg?

Und ist es besser, einen dedizierten Server dafür zu haben? Gibt es bei AD CS auch die Möglichkeit, einen zweiten bis xten Server zur Ausfallsicherheit zu verwenden?

Oder geht auch: Haupt CS auf AD1, Backup CS auf AD2?

Habe de Ehre,

Badde
Mitglied: C.R.S.
LÖSUNG 16.07.2020, aktualisiert um 14:24 Uhr
Hallo,

Du kannst die CA und Zertifikate mit jeder beliebigen Lösung erstellen und verwalten (OpenSSL, xca etc.), aber ADCS ist natürlich der typische Weg in Windows-Umgebungen.

Ein hierarchischer Aufbau mit Offline-Root-CA und Issuing-CAs ist grundsätzlich anzuraten. In manchen Fällen (insbesondere wenn nur SC-Login umgesetzt werden soll) kommt es nicht darauf an, dann reicht auch eine kombinierte Root/Issuing-CA. Wenn Du aber mehrere (Issuing-)CAs betreiben willst, sollte schon deshalb die Root-CA von diesen unabhängig aufgesetzt sein.

Du kannst eine beliebige Zahl von Issuing-CAs aufsetzen. Ihre Verwendung richtet sich nach den auf ihnen freigegebenen Templates. Wenn das Aufkommen an Zertifikatanforderungen nicht zu hoch ist, muss eine CA in der Regel allerdings nicht hochverfügbar sein. Näherliegende Gründe für mehrere Issuing-CAs sind der organisatorische Aufbau und Sicherheitsaspekte, wenn Nutzer selbst Zertifikate anfordern dürfen.

Was hochverfügbar sein sollte, sind CRL-Verteilungspunkte.

Grüße
Richard
Bitte warten ..
Mitglied: baddeit
16.07.2020 um 14:41 Uhr
Danke, Richard. Dann werde ich mich hierzu tiefer einarbeiten. Da ich bisher noch keine Berührung mit SmartCards hatte, hätte ich noch ein paar Fragen.

Macht es Sinn, den root CA auf dem ersten AD Server mitzuinstallieren, den issuing CA auf dem zweiten AD Server? Oder sollten die CA Server getrennt sein?

Und ganz doof: Kann ich dann eine 2FA Authentifizierung machen? Also, erst, wenn die SmartCard im Reader ist, die Anmeldung mit AD Passwort ermöglichen?

Es handelt sich um max. 15 Clients, die so angemeldet werden.

Badde
Bitte warten ..
Mitglied: lcer00
LÖSUNG 16.07.2020 um 14:47 Uhr
Hallo,

man kann das eigentlich recht einfach umsetzen. Wir nutzen Yubikeys mit unserer AD-CA. Bei Yubico gibt es eine ausführliche Anleitung unter Setting up Windows Server for YubiKey PIV Authentication

Wenn Du bisher keine CA im AD betreibst loht sich ein wenig Vorüberlegung, ggf. auch ein Trockenlauf auf einem Testsystem. Infos dazu findest Du unter z.B. http://openbook.rheinwerk-verlag.de/windows_server_2012r2">hier:http://openbook.rheinwerk-verlag.de/windows_server_2012r2

Grüße

lcer
Bitte warten ..
Mitglied: baddeit
16.07.2020 um 15:09 Uhr
Yubikey hab ich auch schon in den Raum geworfen. Wurde allerdings abgeschmettert, da die vorhandenen SmartCards verwendet werden sollen. Auf dem key ist aber keine Möglichkeit, zusätzlich Datenspeicher zu haben? Denn USB-Sticks sind evil und dürfen nicht verwendet werden.

Das wäre evtl. dann eine Lösung für den Rechner ohne AD Anbindung und Internetanschluß, wie ich an anderer Stelle gefragt habe.

Das Testsystem installiere ich die nächsten Wochen. Danke für die links.
Bitte warten ..
Mitglied: lcer00
16.07.2020 um 15:13 Uhr
Zitat von baddeit:

Yubikey hab ich auch schon in den Raum geworfen. Wurde allerdings abgeschmettert, da die vorhandenen SmartCards verwendet werden sollen.
Da muss man dann aber auch Smartcard Reader an jedem PC haben und warten.
Auf dem key ist aber keine Möglichkeit, zusätzlich Datenspeicher zu haben? Denn USB-Sticks sind evil und dürfen nicht verwendet werden.
Es gibt kein Benutzervolume.
Das wäre evtl. dann eine Lösung für den Rechner ohne AD Anbindung
Na ja, über die Domäne lassen sich die Zertifikate gut verteilen, ohne ist das mühsam.
Das Testsystem installiere ich die nächsten Wochen. Danke für die links.
Gerne

Grüße

lcer
Bitte warten ..
Mitglied: C.R.S.
16.07.2020 um 15:28 Uhr
Alle CA-Server sollten getrennt vom DC sein. Eine Offline-Root-CA kann auch ein verlässlicher Desktop oder ein Laptop sein, sie läuft ja normalerweise nicht.
Smartcard-Login ist per se 2FA (Smartcard haben und PIN wissen), das ist ohne weitere Hilfsmittel ein Gegensatz zum AD-Passwort und nicht kombinierbar.
Bei dem Umfang und keiner sonstigen Verwendung der CA ist auch ein Single-Tier-Aufbau vertretbar.
Bitte warten ..
Mitglied: baddeit
16.07.2020 um 15:41 Uhr
Verstehe ich das richtig? Ich installiere einen CA (wird, denke ich, eine VM) und konfiguriere meine Zertifikate/SmartCards. Diese Daten werden ins AD geschrieben und ich kann den CA anschließend runterfahren und brauch diesen eigentlich nur, wenn ein neuer Nutzer hinzugefügt werden muß bzw. eine neue SmartCard bespielt?

Da komme ich auf folgende Frage:
Wie kommt das Zertifikat/PIN auf die SmartCard? Geht das auch via CS oder AD?
Bitte warten ..
Mitglied: baddeit
16.07.2020 um 15:58 Uhr
Zitat von lcer00:

Zitat von baddeit:
Auf dem key ist aber keine Möglichkeit, zusätzlich Datenspeicher zu haben? Denn USB-Sticks sind evil und dürfen nicht verwendet werden.
Es gibt kein Benutzervolume.
Dann wirds schon wieder interessanter. Ach, ich bestell jetzt einen für mich selber.

Das wäre evtl. dann eine Lösung für den Rechner ohne AD Anbindung
Na ja, über die Domäne lassen sich die Zertifikate gut verteilen, ohne ist das mühsam.
Es gibt eben noch eine Workstation/Laptop (weiß ich noch nicht genau), an dem ebenfalls eine 2FA gewünscht ist. Und dieser ist ein standalone WIN10 ohne Internet weit und breit. Dafür wäre der yubikey ideal, da eine SmartCard Anbindung nur via AD funktioniert, oder?
Bitte warten ..
Mitglied: C.R.S.
16.07.2020 um 16:22 Uhr
Eine Offline-Root-CA wird heruntergefahren und nur für die CRL-Abfrage (z.B. jährlich) hochgefahren (und für Updates natürlich). Eine Issuing-CA bzw. ein Single-Tier-Setup kannst Du nicht runterfahren, weil die CRL-Lebenszeit kurz ist.

Mit dieser Anleitung bekommst Du einen fehlerfreien Normalfall (Two-Tier) hin: https://www.einfaches-netzwerk.at/pki-hierachy-offline-root-ca-konfiguri ...
Wobei ein Webserver auf der Issuing-CA sicher Geschmackssache ist. Der gängigere "Normalfall" wären schon drei Server für ein Two-Tier: Offline-Root-CA, Issuing-CA und Web-Server (dieser ggf. noch HA).
Bei Single-Tier bzw. Online-Root-CA verbietet sich eigentlich die Kombination mit dem Webserver. Du kannst einen Azure Storage Account o.ä. anstelle des Webservers nehmen, oder bei dem geringen Umfang zur Not auch nur mit dem AD-LDAP als Verteilungspunkt arbeiten.

Das lässt sich stark variieren. Wenn du wirklich Server sparen willst und Gefrickel nicht scheust, kannst Du die CA auch ganz ohne Server in xca oder OpenSSL auf deinem Admin-Rechner aufsetzen. Du musst halt die CA in den Domain-Store importieren (certutil.exe -dspublish), für jeden Nutzer ein passendes Zertifikat (SC-Login Verwendungszweck, im Normalfall mit dem UPN als SAN:OtherName) ausstellen und auf die Karte schreiben und die CRL regelmäßig am konfigurierten Punkt veröffentlichen.

Der Unterschied des Servers ist, dass er die CRL selbst verwaltet und Nutzer ggf. ihre Zertifikate selbst anfordern können bzw. Du Auto-Enrollment nutzen kannst. Außerdem gibt er funktionierende Templates vor.

Grunsätzlich können Nutzer die meisten Smartcards selbst konfigurieren bzw. ein Zertifikat dafür (von ADCS) anfordern. Es ist nur häufig (z.B. bei Yubikeys) mit funktionalen Einschränkungen versehen (Hierarche von Admin-PIN, PUK und PIN, entsprechende Lockout-Regeln), sodass ich bei unter 100 Nutzern Smartcards in der Regel administrativ beschreiben und ausgeben würde.
Bitte warten ..
Mitglied: Dani
18.07.2020 um 20:27 Uhr
Moin,
Eine Offline-Root-CA wird heruntergefahren und nur für die CRL-Abfrage (z.B. jährlich) hochgefahren (und für Updates natürlich).
es geht darum nicht um die Abfrage der CRL sondern die Aktualisierung der Sperrlisten, bevor diese ihr Ablaufdatum erreicht hat. Die Sperrliste muss natürlich zu jederzeit abfragbar sein.

Gerne werden die Sperrlisten und & Co auf der SubCA plaziert. Denn mit der Installation der Webregistierungstelle wird auch ein Webserver (IIS) dort installiert. Somit können dort auch die Zertifikate der CAs und deren Sperrlisten untergebracht werden.


Gruß,
Dani
Bitte warten ..
Mitglied: baddeit
20.07.2020 um 13:01 Uhr
Zitat von C.R.S.:
Bei dem Umfang und keiner sonstigen Verwendung der CA ist auch ein Single-Tier-Aufbau vertretbar.
Ich denke, auf das wird es rauslaufen (müssen). Das heißt, die von Dir vorgeschlagene Two-Tier Anleitung findet dann auf einem Server statt? Oder gibt es dabei etwas anderes zu beachten?

Mit dem Backup im Hinterkopf denke ich, werde ich die Installation auf einem separaten Server vornehmen. Auf dem AD Server wäre mir das dann zu heikel.
Bitte warten ..
Mitglied: lcer00
20.07.2020 um 13:21 Uhr
Hallo,
Zitat von baddeit:

Zitat von C.R.S.:
Bei dem Umfang und keiner sonstigen Verwendung der CA ist auch ein Single-Tier-Aufbau vertretbar.
Ich denke, auf das wird es rauslaufen (müssen). Das heißt, die von Dir vorgeschlagene Two-Tier Anleitung findet dann auf einem Server statt? Oder gibt es dabei etwas anderes zu beachten?
Du musst Dir überlegen, wie lange das Zertifizierungsstellenzertifikat laufen soll. Bei 2 CAs wäre die Stamm-CA mit einer längeren Laufzeit versehen, die untergeordneten CAs hätte kürzere Laufzeiten. Hier musst Du einen Kompromiss festlegen.
Mit dem Backup im Hinterkopf denke ich, werde ich die Installation auf einem separaten Server vornehmen. Auf dem AD Server wäre mir das dann zu heikel.
Heikel ist das eigentlich nicht. Sicherheitstechnisch wäre der CA-Server genau so wichtig wie der DC !! Es nützt nichts, wenn der DC wie Fort Knox abgesichert wird und die CA auf irgendeinem Member-Server rumliegt. Hast Du beide auf dem selben DC, hast Du gleiche Sicherheit für beide. Wenn Du Sorgen um den DC hast, es aber an Windows-Lizenzen und Hardware nicht scheitert, installier lieber einen 2. (oder 3. .... ) DC

Lediglich, wenn Du bei den CA-Rollen einen Webdienst mit installieren willst würde ich das nicht auf dem DC machen, da gehört ein Webserver irgendwie nicht hin.

Grüße

lcer
Bitte warten ..
Mitglied: baddeit
20.07.2020 um 13:34 Uhr
Ein zweiter DC wird vorhanden sein. Somit könnte ich den root-CA auf DC1 installieren, den issue-CA auf DC2? Macht das Sinn? Ist das dann eine Art Ausfallsicherheit, wenn DC1 (oder DC2) hops geht?

Wenn der Webdienst nicht benötigt wird für die grundsätzliche Ausstellung und Zuweisung von Zertifikaten, würde ich gerne darauf verzichten. Je einfacher, desto besser, da nach dem Ausrollen des Systems ich nicht mehr dafür verantwortlich bin, sondern jemand vor Ort, dessen Wissen ich nicht einschätzen kann.
Bitte warten ..
Mitglied: C.R.S.
20.07.2020 um 14:31 Uhr
Grundsätzlich kannst Du die ADCS auf einem DC installieren (sprich: es funktioniert). Würde ich aber nicht machen, einfach weil das ein Dienst ist, den man auch mal wieder aus dem AD entfernen könnte, und ich sowas (bzw. irgendwas) ungern wieder vom DC deinstalliere.

Im Single-Tier-Szenario hast Du normalerweise keine Issuing-CA als Zwischenzertifizierungsstelle. Du könntest einen Two-Tier-Aufbau mit der Root-CA auf einem und der Issuing-CA auf dem anderen DC wählen. Hat aber keinen Vorteil gegenüber Single-Tier auf einem DC.

Ausfallsicher, wie du dir das vorstellst, geht es nicht. Wenn Du ADCS auf einem Server installierst, hast Du damit eine CA mit einem festen Platz in der Hierarchie. Das kann eine Root- oder Zwischenzertifizierungsstelle sein, beides auf einem Server geht nicht. Für zwei verfügbare Issuing-/Intermediate-CAs brauchst Du also schon drei Server.
Theoretisch könnte man in einem Two-Tier Aufbau, bei dem die Root-CA online gelassen wird, auf der Root-CA dieselben Templates anbieten wie auf der Issuing-CA (gleichbedeutend mit einem Single-Tier-Aufbau, dem eine Issuing-CA der Verfügbarkeit wegen hinzugefügt wird). Dann hätten aber funktional gleiche Zertifikate unterschiedliche Zertifizierungspfade, was sehr untypisch ist. Die gewonnene Ausfallsicherheit für das Ausstellen der Zertifikate fällt bei Smartcard-Nutzern außerdem nicht ins Gewicht.
Bitte warten ..
Mitglied: baddeit
22.07.2020 um 13:11 Uhr
Zum Verständnis: Wenn sich die Nutzer dann mittels SmartCards anmelden: Wo werden diese Daten gespeichert? Im AD? In der CA? Falls im AD: Heißt das, ich habe dann schon eine Art Ausfallsicherheit, wenn die CA nicht mehr erreichbar sein sollte?

Ich gebe Dir recht, mir wäre eine separate Maschine auch lieber. Und dann sollte die Gaudi via Single-Tier stattfinden, einen zusätzlichen Server werde ich wohl nicht verargumentieren können. Oder halt Two-Tier auf den beiden DCs...menno...

Zwischenfrage: Wie kommt eigentlich die Verbindung zwischen User/SmartCard zustande und wie werden die Karten bespielt?

Da ich wahrscheinlich erst nächste Woche mit der Installation beginnen kann, sind jetzt noch viele Fragezeichen hier. Aber wenn die Installation dann endlich beginnt, wirds hoffentlich viele "Aha, so geht das also." geben.

Beste Güße,

Badde
Bitte warten ..
Mitglied: lcer00
22.07.2020 um 13:21 Uhr
Zitat von baddeit:

Zum Verständnis: Wenn sich die Nutzer dann mittels SmartCards anmelden: Wo werden diese Daten gespeichert? Im AD? In der CA? Falls im AD: Heißt das, ich habe dann schon eine Art Ausfallsicherheit, wenn die CA nicht mehr erreichbar sein sollte?
Für die Anmeldung erreichbar muss nur die im Zertifikat konfigurierte Sperrliste sein. Die kann im AD liegen, aber auch per http zur Verfügung gestellt werden. Die CA kann offline sein, die Nutzer können sich totzdem anmelden.

Der Computer, auf dem sich der Nutzer anmeldet prüft die Identität des Benutzers mittels des Zertifikates, das auf der Smartcard gespeichert ist. Vertraut der Computer dem Zertifikat und ist der im Zertifikat eingetragene Benutzer derjenige, der sich anmelden will, wird angemeldet. Die PIN auf der Smartcard stellt sicher, dass nicht jeder das Zertifikat aus der Smartcard auslesen kann.

Grüße

lcer
Bitte warten ..
Ähnliche Inhalte
Windows Server

Microsoft AD CS - Zertifikatsvorlage zur automatischen Verteilung um Alternativnamen aus AD erweitern

Frage von DanLeiWindows Server1 Kommentar

Hallo, ich benötige hin und wieder Zertifikate die neben dem DNS-Namen zusätzlich noch nur den Computernamen enthalten und vielleicht ...

Windows Server

AD-CS und Certbot Zertikate, selber Domainname - Probleme möglich?

Frage von NomadDWindows Server2 Kommentare

Guten Tag, ich habe eine wirklich komische und vielleicht auch dumme Frage. Momentan habe ich zwei Dienste (Mail und ...

Windows Server

RDP: Authentifizierungsfehler Smartcard

gelöst Frage von BadgerWindows Server5 Kommentare

Hallo Leute, folgendes Problem: Wenn sich ein User per Terminalclient auf einem Terminalserver mittels Smartcard anmelden will, bekomme ich ...

Windows Server

AD-Zertifizierungsstelle in Active-Directory vertrauenswürdig machen

gelöst Frage von mfeichtWindows Server7 Kommentare

Hallo zusammen, ich bin noch ein Anfänger im Bereich Active-Directroy, deshalb meine Frage hier: Wie die AD-Zertifizierungsstelle in der ...

Neue Wissensbeiträge
Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 19 StundenViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 5 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 5 TagenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit16 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Netzwerkprotokolle
Cisco IOS IPv6 Tunnel MTU Problem dauerhafte TLS-Handshakes
Frage von Windows10GegnerNetzwerkprotokolle13 Kommentare

Hallo, ich hatte habe das Problem ja schon lange, ich will das aber jetzt richtig angehen (MTU nicht manuell ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs12 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...