10
Neue Windows PKI wieviel Stufen und wie?
Hallo zusammen,
wir sind dabei, unsere 2012R2 Serverdienste auf 2019 zu migrieren. Hierbei stellt sich die Frage nach der CA. Aufgrund früherer suboptimaler Konfigurationen würde ich Schritt für Schritt eine neue PKI aufbauen (auch wenn das nicht zwingend nötig ist, die Anzahl der betroffenen Rechner (30-40) ist überschaubar).
Dabei stellt sich die Frage nach der Anzahl der Stufen. Bisher ist unsere PKI einstufig. Allgemein wird ja eine Offline-Root-CA empfohlen. Hier stellt sich für mich die Frage nach der Offlineaufrechterhaltung der Root-CA. Geht die dann auch, wenn man sie braucht? Ein einzelner physicher Server kommt für mich nicht in Frage, virtualisiert sehe ich aber kaum einen Sicherheitsgewinn, da ich auch einziger Admin und Chef des Ladens bin.
Es bleib eigentlich das Argument des fehlenden Sperrliste für die Sperrung der CA, das für Mehrstufigkeit spricht.
Angenommen mehrstufig - wo und wie packt man die Root-CA hin, dass die auch in 8 Jahren noch lauffähig ist?
Angenommen einstufig - da ich ja gleichzeitig alle Domänen-Adminrollen innehabe würde ich die auf einem DC installieren. Spricht da was dagegen?
Grüße
lcer
wir sind dabei, unsere 2012R2 Serverdienste auf 2019 zu migrieren. Hierbei stellt sich die Frage nach der CA. Aufgrund früherer suboptimaler Konfigurationen würde ich Schritt für Schritt eine neue PKI aufbauen (auch wenn das nicht zwingend nötig ist, die Anzahl der betroffenen Rechner (30-40) ist überschaubar).
Dabei stellt sich die Frage nach der Anzahl der Stufen. Bisher ist unsere PKI einstufig. Allgemein wird ja eine Offline-Root-CA empfohlen. Hier stellt sich für mich die Frage nach der Offlineaufrechterhaltung der Root-CA. Geht die dann auch, wenn man sie braucht? Ein einzelner physicher Server kommt für mich nicht in Frage, virtualisiert sehe ich aber kaum einen Sicherheitsgewinn, da ich auch einziger Admin und Chef des Ladens bin.
Es bleib eigentlich das Argument des fehlenden Sperrliste für die Sperrung der CA, das für Mehrstufigkeit spricht.
Angenommen mehrstufig - wo und wie packt man die Root-CA hin, dass die auch in 8 Jahren noch lauffähig ist?
Angenommen einstufig - da ich ja gleichzeitig alle Domänen-Adminrollen innehabe würde ich die auf einem DC installieren. Spricht da was dagegen?
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 660614
Url: https://administrator.de/contentid/660614
Printed on: May 4, 2024 at 08:05 o'clock
10 Comments
Latest comment
Zitat von @lcer00:
Angenommen mehrstufig - wo und wie packt man die Root-CA hin, dass die auch in 8 Jahren noch lauffähig ist?
Angenommen mehrstufig - wo und wie packt man die Root-CA hin, dass die auch in 8 Jahren noch lauffähig ist?
Früher habe ich dafür einen ausrangierten Laptop oder miniPC genommen, den man dann in den Safe gepackt hat.
Heutzutage würde ich damit zwei oder drei USB-HDDs mit der VHD oder VMDX der virtuellen CA bespielen. Di VM läßt man natürlich nur auf einem frisch aufgesetzten Hypervisor abseits den Netzes laufen.
lks
Hallo,
Und die holt man dann z.B. 1x im Jahr raus und upgraded das Betriebssystem?
Grüße
lcer
Zitat von @Lochkartenstanzer:
Früher habe ich dafür einen ausrangierten Laptop oder miniPC genommen, den man dann in den Safe gepackt hat.
Und - hast Du ein "Recovery" ausprobiert? Nach wielange?Früher habe ich dafür einen ausrangierten Laptop oder miniPC genommen, den man dann in den Safe gepackt hat.
Heutzutage würde ich damit zwei oder drei USB-HDDs mit der VHD oder VMDX der virtuellen CA bespielen.
Also 2-3 identische Datenträger, in der Hoffnung einer geht dann noch ...Und die holt man dann z.B. 1x im Jahr raus und upgraded das Betriebssystem?
Grüße
lcer
Zitat von @lcer00:
Hallo,
Hallo,
Zitat von @Lochkartenstanzer:
Früher habe ich dafür einen ausrangierten Laptop oder miniPC genommen, den man dann in den Safe gepackt hat.
Und - hast Du ein "Recovery" ausprobiert? Nach wielange?Früher habe ich dafür einen ausrangierten Laptop oder miniPC genommen, den man dann in den Safe gepackt hat.
Das Ding hat mindestens 10 Jahre gehalten.
Heutzutage würde ich damit zwei oder drei USB-HDDs mit der VHD oder VMDX der virtuellen CA bespielen.
Also 2-3 identische Datenträger, in der Hoffnung einer geht dann noch ...Und die holt man dann z.B. 1x im Jahr raus und upgraded das Betriebssystem?
Wieso upgraden? eine offline CA sollte nur für Zertifikate zuständig sein und daher auch ohne Netz und doppelten Boden laufen.
lks
Zitat von @Lochkartenstanzer:
Wieso upgraden? eine offline CA sollte nur für Zertifikate zuständig sein und daher auch ohne Netz und doppelten Boden laufen.
Wieso upgraden? eine offline CA sollte nur für Zertifikate zuständig sein und daher auch ohne Netz und doppelten Boden laufen.
Schon richtig, trotzdem würde ich sie einmal im Jahr ...... wenn eine davon nicht "anspringt", dann kann man sie erneuern, wenn man in ein paar Jahren draufkommt, daß keine mehr geht
Hi,
für welche Zwecke soll diese CA denn Zertifikate bereitstellen?
E.
für welche Zwecke soll diese CA denn Zertifikate bereitstellen?
E.
Hallo,
Der Auwand einer Offline-Root-CA lohnt sich (im Sinne der effektiven Sicherheit) nur, wenn sie tatsächlich offline auf eigener Hardware ist. Virtualisiert habe ich sie auch schon, wo ein mehrstufiger Ansatz schlicht für die Checkbox-Security erforderlich war.
Solange eine lauffähige Kopie und kompatible Hardware existiert, macht eine Offline-CA keine Schwierigkeiten. Beides ist unter Windows Server 2019 leicht zu gewährleisten. Andererseits besteht kein zwingender Grund, für die Offline-CA ADCS zu verwenden. Das funktioniert genauso mit XCA auf einem Client oder mit OpenSSL auf einem Raspberry Pi, einem persistenen oder Live-Linux. Da gibt es diverse Projekte oder kommerzielle Angebote (als sie noch ein Foto hatten, sah das sehr nach Raspi aus): https://www.cryptoshop.com/products/software/one-chip-ca.html
Es sind auch Mischlösungen denkbar: ADCS für dynamische Domain-Zwecke wie RDP, DCs, 802.1x etc., und eine weitere, z.B. mit OpenSSL verwaltete Offline-CA für Webserver u.ä.
Ein Problem von ADCS-Installationen ist häufig, dass die Verzweigung in Zwischenzertifizierungsstellen gescheut wird, wo das sinnvoll wäre.
Auf einen DC würde ich sie nie installieren, weil der mögliche Austausch der CA dann auf einem anderen funktional wesentlichen System vorgenommen werden müsste.
Grüße
Richard
Der Auwand einer Offline-Root-CA lohnt sich (im Sinne der effektiven Sicherheit) nur, wenn sie tatsächlich offline auf eigener Hardware ist. Virtualisiert habe ich sie auch schon, wo ein mehrstufiger Ansatz schlicht für die Checkbox-Security erforderlich war.
Solange eine lauffähige Kopie und kompatible Hardware existiert, macht eine Offline-CA keine Schwierigkeiten. Beides ist unter Windows Server 2019 leicht zu gewährleisten. Andererseits besteht kein zwingender Grund, für die Offline-CA ADCS zu verwenden. Das funktioniert genauso mit XCA auf einem Client oder mit OpenSSL auf einem Raspberry Pi, einem persistenen oder Live-Linux. Da gibt es diverse Projekte oder kommerzielle Angebote (als sie noch ein Foto hatten, sah das sehr nach Raspi aus): https://www.cryptoshop.com/products/software/one-chip-ca.html
Es sind auch Mischlösungen denkbar: ADCS für dynamische Domain-Zwecke wie RDP, DCs, 802.1x etc., und eine weitere, z.B. mit OpenSSL verwaltete Offline-CA für Webserver u.ä.
Ein Problem von ADCS-Installationen ist häufig, dass die Verzweigung in Zwischenzertifizierungsstellen gescheut wird, wo das sinnvoll wäre.
Auf einen DC würde ich sie nie installieren, weil der mögliche Austausch der CA dann auf einem anderen funktional wesentlichen System vorgenommen werden müsste.
Grüße
Richard
Hallo,
Grüße
lcer
- Computerzertifikate, Domaincontrollerzertifikate
- Webserverzertifikate für interne Webserver und Geräte-GUIs
- eventuell VPN-Zertifikate
- Zertifikate für Mobile Geräte über SCEP-Intune-Zertifikatskonnektor
- Benutzerzertifikate für Smartcardanmeldung
- keine extern sichtbaren Zertifikate
- Insgesamt 30-40 Geräte bei 10-12 Personen
Grüße
lcer
Die Root-CA entweder als Linux oder als nicht-Domänen Windows auf eine VM installieren. Damit dann die Online-CA ausstellen und mit der alles machen. Die Sperrliste der Offline-CA per HTTP im Intranet auf einem neutralen Namen publishen. Also sowas wie rootCAcrl.domain.com.
Dann die rootCA runterfahren und sichern.
Wir haben die VM verschlüsselt und auf einen NFS Store gepackt der dann offline genommen wird und entsprechend aus VMWare ausgehängt.
Damit kommt man schnell und unkompliziert an die VM ran und hat keine Gefahr das sie einfach so geklaut werden kann, da verschlüsselt.
Und wenn der Storage mal explodiert, hat man noch eine Sicherung.
1x alle 6 Monate wird die OfflineCA gestartet, eine aktuelle CRL gepublished, gesichert und weggesperrt. Das theoretische Risiko das jemand an den Storage kommt, die VM klaut und dann irgendwie entschlüsselt ... nehmen wir in Kauf. So wichtig ist das dann doch nicht.
Wichtiger ist das man den HTTP CRL Pfad konfiguriert und die max-depth setzt. Muss man sich halt gut überlegen wie viele SubCAs man maximal haben will.
Irgendwann wird ein weiterer DC kommen. Und irgendwann wird der hostname der CA Name nicht mehr passen. Irgendwann wird man mal sein Netzwerk so umbauen, dass das alles nicht mehr passt. Und dann muss man alle Zertifikate tauschen, alle Netzwerkkomponenten, Clients usw anfassen und wünscht sich spätestens dann, das man damals, als die Firma ja nur ein Bruchteil so groß war und alles viel weniger komplex, sich die 2 Stunden genommen hätte, die einen jetzt Tage kosten.
Dann die rootCA runterfahren und sichern.
Wir haben die VM verschlüsselt und auf einen NFS Store gepackt der dann offline genommen wird und entsprechend aus VMWare ausgehängt.
Damit kommt man schnell und unkompliziert an die VM ran und hat keine Gefahr das sie einfach so geklaut werden kann, da verschlüsselt.
Und wenn der Storage mal explodiert, hat man noch eine Sicherung.
1x alle 6 Monate wird die OfflineCA gestartet, eine aktuelle CRL gepublished, gesichert und weggesperrt. Das theoretische Risiko das jemand an den Storage kommt, die VM klaut und dann irgendwie entschlüsselt ... nehmen wir in Kauf. So wichtig ist das dann doch nicht.
Wichtiger ist das man den HTTP CRL Pfad konfiguriert und die max-depth setzt. Muss man sich halt gut überlegen wie viele SubCAs man maximal haben will.
Angenommen einstufig - da ich ja gleichzeitig alle Domänen-Adminrollen innehabe würde ich die auf einem DC installieren. Spricht da was dagegen?
Zweistufig ist grundsätzlich erst mal kein Mehraufwand. Einmal installieren, die SubCA erstellen und runterfahren. Alles andere, wie tatsächlich offline haben und unerreichbar machen etc ist ja nur das Sahnehäubchen. Da man sich aber auf lange Sicht viel Ärger erspart, würde ich niemals einstufig und noch viel weniger auf einem DC installieren.Irgendwann wird ein weiterer DC kommen. Und irgendwann wird der hostname der CA Name nicht mehr passen. Irgendwann wird man mal sein Netzwerk so umbauen, dass das alles nicht mehr passt. Und dann muss man alle Zertifikate tauschen, alle Netzwerkkomponenten, Clients usw anfassen und wünscht sich spätestens dann, das man damals, als die Firma ja nur ein Bruchteil so groß war und alles viel weniger komplex, sich die 2 Stunden genommen hätte, die einen jetzt Tage kosten.
Zitat von @Franz-Josef-II:
Schon richtig, trotzdem würde ich sie einmal im Jahr ...... wenn eine davon nicht "anspringt", dann kann man sie erneuern, wenn man in ein paar Jahren draufkommt, daß keine mehr geht
Zitat von @Lochkartenstanzer:
Wieso upgraden? eine offline CA sollte nur für Zertifikate zuständig sein und daher auch ohne Netz und doppelten Boden laufen.
Wieso upgraden? eine offline CA sollte nur für Zertifikate zuständig sein und daher auch ohne Netz und doppelten Boden laufen.
Schon richtig, trotzdem würde ich sie einmal im Jahr ...... wenn eine davon nicht "anspringt", dann kann man sie erneuern, wenn man in ein paar Jahren draufkommt, daß keine mehr geht
Das kommt bei Linux-Kisten/VMs eigentlich nur vor, solange der Datenträger unbeschädigt ist.
Ich baue meine CAs eigentlich nur auf Linux-Basis.
lks
Hallo,
kurze Rückmeldung zum Ergebnis:
Ich habe eine 2-stufige PKI gewählt.
Die Root-CA hat kein Netzwerk und ist normalerweise ausgeschaltet. Updates habe ich bislang keine gemacht. Die Daten (Zertifikate, Sperrkisten) übertrage ich manuell über ein Laufwerk (vhdx), dass ich bei Bedarf in die VM einhänge, befülle und dann wie einen virtuellen USB-Stick in eine andere VM einhänge. Die Sperrlisten und Stelleninformationen der Root-CA sind über http abrufbar.
Die Sperrlisten und Stelleninformationen der Unternehmens-CA sind sowohl über http als auch im AD über LDAP erreichbar. Diese werden per Skript automatisch auf den Webserver kopiert.
Grüße
lcer
kurze Rückmeldung zum Ergebnis:
Ich habe eine 2-stufige PKI gewählt.
- Root-CA als Windows 2016 (VM)
- untergeordnete Unternehmens-CA auf Windows 2019 (nicht-DC Server)
Die Root-CA hat kein Netzwerk und ist normalerweise ausgeschaltet. Updates habe ich bislang keine gemacht. Die Daten (Zertifikate, Sperrkisten) übertrage ich manuell über ein Laufwerk (vhdx), dass ich bei Bedarf in die VM einhänge, befülle und dann wie einen virtuellen USB-Stick in eine andere VM einhänge. Die Sperrlisten und Stelleninformationen der Root-CA sind über http abrufbar.
Die Sperrlisten und Stelleninformationen der Unternehmens-CA sind sowohl über http als auch im AD über LDAP erreichbar. Diese werden per Skript automatisch auf den Webserver kopiert.
Grüße
lcer
