nemesis
Goto Top

Handlungsempfehlung PKI

Hallo zusammen,

Ich suche u.a. beim BSI, NISI oder Cert usw. eine Empfehlung, wie eine PKI mehrstufig auszusehen hat.
Wie ich das technisch unter Windows aufbaue , kann ich googeln und es gibt genug Tutorials dazu.

Ich suche ein offizielles Dokument, wie man mit der Root CA zu verfahren hat und diese absichert.

Vielen Dank
Mit freundlichen Grüßen
Nemesis

Content-ID: 5897957036

Url: https://administrator.de/forum/handlungsempfehlung-pki-5897957036.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

Dani
Dani 07.02.2023 um 18:30:42 Uhr
Goto Top
Moin Nemesis,
sehr allgemein formulierte Frage auf Grund dessen könnte ich dir jetzt 20-30 Links zu Dokumenten zu kommen lassen. Dann könntest du die nächsten 4-6 Wochen lesen, lesen, lesen.

RootCA ist nicht gleich RootCA. Es hängt doch schlussendlich davon ab, welche Aufgaben, Zwecke und Ziele ihr mit der CA verfolgt. Soll es eine
  • interne CA sein die ausschließlich für interne Zwecke genutzt wird?
  • hybrid CA sein, die sowohl interne als auch externe Zwecke genutzt wird?
  • öffentliche CA sein, die Zertifikate ausstellt, die auf der ganzen Welt anerkannt werden (Cross-Signing)?

Dazu kommen Themen wie ISO Zertifizierungen, Anforderungen durch geltende Gesetze (z.B. KRITIS), mögliche Auftraggeber und Partner und/oder interne IT Policy.


Gruß,
Dani
nEmEsIs
nEmEsIs 07.02.2023 um 19:11:46 Uhr
Goto Top
Hallo Dani,

Vielen Dank für deine Antwort.
Momentan handelt es sich um eine interne CA.

Mir geht es um so Punkte wie:
- Root-CA nur für den renew Prozess der Sub-CAs anschalten.
- Gültigkeitsdauer des Root-CA Zerts
- Root-CA Domain Member oder nicht

Etc.

Hintergrund ist der, dass mein Vorgesetzter gerne eine offizielle Empfehlung hätte um diese Maßnahmen dann zu genehmigen.
Gerne auch Kritis aktuell noch nicht betroffen aber ggf. Bald.


Mit freundlichen Grüßen Nemesis
Dani
Dani 07.02.2023 um 21:24:44 Uhr
Goto Top
Moin,
seitens BSI wird du keine offizielle Empfehlung finden und vor allem erhalten. Außer ihr seit eine Bundesbehörde. Dann gibt's dafür seitens BSI weitere Dokumente und vor allem Vorgaben.

Vom BSI gibt es diesbezüglich technische Richtlinien, wenn es um Sicherheitsthemen geht:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
https://datatracker.ietf.org/doc/html/rfc5280
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Techni ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Techni ...

Das Ganze zu formen und in ein Konzept zu packen obliegt euch. Weil wenn man eine PKI wirklich gewissenhaft und ordentlich betreiben möchte, muss im Vorfeld sehr viel Hirnschmalz investiert werden.

Vielmehr gelten hier die internationalen Standards aus den verschiedenen Konzernen, die sich im CA Browser Forum organisiert haben. Dazu gibt es auch weitere Dokumente von den Beteiltigen:
https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.8.6.pdf
https://wiki.mozilla.org/CA/Required_or_Recommended_Practices

Die Frage die sich mir stellt ist, ob sich der ganze Aufwand für eure vermeidlich überschaubare Umgebung lohnt. Weil ich kann mir gerade nicht vorstellen, dass ihr die Personalressourcen und Wissen dafür habt?!


Gruß,
Dani
2423392070
2423392070 08.02.2023 um 01:43:36 Uhr
Goto Top
Gibt es nicht.
Es gibt Whitepapers zur Orientierung.

Gucke dir Mal an wie das Root des Internets signiert wird. Ein fast zeremoniellen Prozess mit ganz vielen Nerds die anreisen und nichts online machen.

Unsere eigentliche Root PKI ist fast immer offline. Wenn sie hochgefahren wird ist die nur isoliert am Netz, heißt man muss vor Ort sein. Nur wenige Systeme genießen bei uns so hohen Schutz.
Eine Komprimierung würde unsere Hard- und Software betreffen.