10
PKI Lösungen für kleine und mittlere Unternehmen
Hallo zusammen,
ich befasse mich zur Zeit etwas intensiver mit dem Thema PKI, Zertifikate und co - da dieses Thema immer wieder auftaucht und zu wichtig ist, als dass man es mit ein bisschen halbwissen behandelt.
Ich behaupte mal ich habe inzwischen die grundsätzliche Funktionsweise einer PKI verstanden und kenne die Zwecke und den Aufbau von Zertifikaten.
Mir fehlt momentan nur ein wenig die Brücke zur Realität - welche Möglichkeiten gibt es für die Umsetzung, gerade z.B. für kleine und mittlere Unternehmen?
Vielen Dank für jede Antwort
Grüße, JD
ich befasse mich zur Zeit etwas intensiver mit dem Thema PKI, Zertifikate und co - da dieses Thema immer wieder auftaucht und zu wichtig ist, als dass man es mit ein bisschen halbwissen behandelt.
Ich behaupte mal ich habe inzwischen die grundsätzliche Funktionsweise einer PKI verstanden und kenne die Zwecke und den Aufbau von Zertifikaten.
Mir fehlt momentan nur ein wenig die Brücke zur Realität - welche Möglichkeiten gibt es für die Umsetzung, gerade z.B. für kleine und mittlere Unternehmen?
- Wie kann ich z.B. für die Bereiche ActiveDirectory, Mobile Device Management, Netzwerk (z.B. WLAN-Absicherung per RADIUS+Zertifikat), E-Mail, Intranet, VPN, etc... eine einheitliche Basis für die Nutzung sicherer Zertifikate schaffen?
- Welche cloudbasierten Lösungen gibt es evtl.? (außer z.B. das obligatorische SSL-Zertifikat für die Webseite zu kaufen)
- Gibt es empfehlenswerte Lektüre, Schulungen, Quellen dafür?
- Wie wird das bei euch gehandhabt?
Vielen Dank für jede Antwort
Grüße, JD
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 364879
Url: https://administrator.de/contentid/364879
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
lg,
Slainte
für die Bereiche ActiveDirectory, Mobile Device Management, Netzwerk (z.B. WLAN-Absicherung per RADIUS+Zertifikat), E-Mail, Intranet,
VPN, etc.
Dafür würde ich "einfach" die Windows-PKI verwenden. Das fängt damit an, das man div. CA-Rollen auf einem Server installiert (nachdem man sich bei MS in die Materie etwas eingelesen hat)VPN, etc.
Welche cloudbasierten Lösungen gibt es evtl.? (
Cloudbasiert PKI? Das ist mE ein Paradox Wie wird das bei euch gehandhabt?
Ad-Basierte Windows PKI, für WLAN, VPN, EFS usw...lg,
Slainte
Hallo,
ich habe mich wie folgt eingearbeitet - im wesentlichen Trial & Error & Learning by doing:
Teil 1 Windows:
Habe einfach losgelegt. (Tip: man kann auch auf einem virtuellen Testsystem loslegen, Windows-Server-iso kann man downloaden und 6 Monate testen) Erst mal eine einstufige Unternehmenszertifierungsstelle und Computerzertifikate per GPO verteilt.
Teil 2 Windows:
Natürlich hatte ich nicht gleich die optimale saubere Konfiguration hinbekommen. Dann standen Servermigrationen an. Also einfach mal auch die Zertifizierungsstelle migriert Geht tatsächlich! Danach war ich immer noch nicht zufrieden, hab die alte abgeschossen und eine neue eingerichtet. Danach hatten alle Clients ein kleines Problem ....
Intermezzo:
Irgendwie war das unbefriedigend. Die ganzen Router verstehen sich nicht immer mit der Windows-PKI. Während das bei Windows so einfach mit ein paar klicks gemacht ist, soll man da plötzlich Zertifikatsanforderungen im korrekten Format exportieren, die Windows dann nicht so richtig haben will ... Ich war etwas frustiert ...
Teil 3 Debian
Habe ein Test-Debian System eingerichtet. Dort habe ich nach Anleitungen eine mehrstufige PKI nur zu Testzwecken entwickelt. Für die Einrichtung der PKI habe ich ein Skript geschrieben, dass alle Konfigurationsschritte (einschließlich Basics wie Verzeichnisse erstellen) enthielt. Immer wenn beim Ausführen des Skripts irgendwas nicht klappte habe ich alles gelöscht, das Skript angepasst und wieder gestartet - bis es passte. Für das beantragen, ausstellen und exportieren der Zertifikate habe ich auch Skripts gebastelt.
Teil 4 Powershell
Habe ein Skript benötigt, um bei meiner Windows-Zertifizierungsstelle etliche Mobiltelefonzertifikate zu beantragen und zu exportieren.
Am meisten verstanden habe ich die PKI-Abläufe und Schritte beim Recherchieren für die Skripte. Nicht groß geholfen hat mir z.B: das Kapitel aus den http://openbook.rheinwerk-verlag.de/windows_server_2012r2/12_002.html Das las sich alles ganz gut aber das Verständnis kam nicht so richtig.
Grüße
lcer
ich habe mich wie folgt eingearbeitet - im wesentlichen Trial & Error & Learning by doing:
Teil 1 Windows:
Habe einfach losgelegt. (Tip: man kann auch auf einem virtuellen Testsystem loslegen, Windows-Server-iso kann man downloaden und 6 Monate testen) Erst mal eine einstufige Unternehmenszertifierungsstelle und Computerzertifikate per GPO verteilt.
Teil 2 Windows:
Natürlich hatte ich nicht gleich die optimale saubere Konfiguration hinbekommen. Dann standen Servermigrationen an. Also einfach mal auch die Zertifizierungsstelle migriert
Geht tatsächlich! Danach war ich immer noch nicht zufrieden, hab die alte abgeschossen und eine neue eingerichtet. Danach hatten alle Clients ein kleines Problem .... Intermezzo:
Irgendwie war das unbefriedigend. Die ganzen Router verstehen sich nicht immer mit der Windows-PKI. Während das bei Windows so einfach mit ein paar klicks gemacht ist, soll man da plötzlich Zertifikatsanforderungen im korrekten Format exportieren, die Windows dann nicht so richtig haben will ... Ich war etwas frustiert ...
Teil 3 Debian
Habe ein Test-Debian System eingerichtet. Dort habe ich nach Anleitungen eine mehrstufige PKI nur zu Testzwecken entwickelt. Für die Einrichtung der PKI habe ich ein Skript geschrieben, dass alle Konfigurationsschritte (einschließlich Basics wie Verzeichnisse erstellen) enthielt. Immer wenn beim Ausführen des Skripts irgendwas nicht klappte habe ich alles gelöscht, das Skript angepasst und wieder gestartet - bis es passte. Für das beantragen, ausstellen und exportieren der Zertifikate habe ich auch Skripts gebastelt.
Teil 4 Powershell
Habe ein Skript benötigt, um bei meiner Windows-Zertifizierungsstelle etliche Mobiltelefonzertifikate zu beantragen und zu exportieren.
Am meisten verstanden habe ich die PKI-Abläufe und Schritte beim Recherchieren für die Skripte. Nicht groß geholfen hat mir z.B: das Kapitel aus den http://openbook.rheinwerk-verlag.de/windows_server_2012r2/12_002.html Das las sich alles ganz gut aber das Verständnis kam nicht so richtig.
Grüße
lcer
Hallo,
@SlainteMhath Vielen Dank für die Antwort, ist auf jeden Fall Hilfreich!
@icer00 Auch ein interessanter Weg, vielen Dank für die Beschreibung!
Grüße, JD
@SlainteMhath Vielen Dank für die Antwort, ist auf jeden Fall Hilfreich!
Cloudbasiert PKI? Das ist mE ein Paradox
Ich dachte da an etwas wie eine Root-CA von einem vertrauenswürdigen Provider (GlobalSign, Comodo CA, GeoTrust Inc. ...) an die dann eine eigene Sub-CA angebunden wird...@icer00 Auch ein interessanter Weg, vielen Dank für die Beschreibung!
Grüße, JD
Moin,
Alternativ gibt es einige gute Anleitungen für ein-/zweistufige PKI unter Windows Server. Einfach ein bisschen suchen und lesen...
Auf jeden Fall in Ruhe in einer Testumgebung durchspielen und testen. Denn hinterher kann jeder Fehler in der Produktivumgebung ungeahnte Folge haben.
Gruß,
Dani
Ich dachte da an etwas wie eine Root-CA von einem vertrauenswürdigen Provider (GlobalSign, Comodo CA, GeoTrust Inc. ...) an die dann eine eigene Sub-CA angebunden wird...
ist es möglich... siehe hier. Benötigst dafür ein wenig Kleingeld und ein paar Leute, die das Ganze pflegen bzw. betreuen.Alternativ gibt es einige gute Anleitungen für ein-/zweistufige PKI unter Windows Server. Einfach ein bisschen suchen und lesen...
Auf jeden Fall in Ruhe in einer Testumgebung durchspielen und testen. Denn hinterher kann jeder Fehler in der Produktivumgebung ungeahnte Folge haben.
Gruß,
Dani
Hallo Dani,
vielen Dank für die Antwort! Ich merke aber schon, alles in dieser Richtung bewegt sich in Dimensionen, die auf große Unternehmen und Konzerne ausgelegt sind.
Für meine 100 Client-Klitsche wäre das Stichwort "Managed PKI" (aus deinem Link) ja deutlich interessanter, oder? Hab allerdings noch nicht ganz kapiert wie das dann konkret aussieht bzw. umgesetzt wird - kannst du oder @colinardo da was dazu sagen?
Grüße, JD
vielen Dank für die Antwort! Ich merke aber schon, alles in dieser Richtung bewegt sich in Dimensionen, die auf große Unternehmen und Konzerne ausgelegt sind.
Für meine 100 Client-Klitsche wäre das Stichwort "Managed PKI" (aus deinem Link) ja deutlich interessanter, oder? Hab allerdings noch nicht ganz kapiert wie das dann konkret aussieht bzw. umgesetzt wird - kannst du oder @colinardo da was dazu sagen?
Grüße, JD
Moin,
Gruß,
Dani
vielen Dank für die Antwort! Ich merke aber schon, alles in dieser Richtung bewegt sich in Dimensionen, die auf große Unternehmen und Konzerne ausgelegt sind.
eigentlich nicht... es ist ein gewisser Aufwand. Die Clientanzahl spielt eigentlich keine Rolle. Wenn du die PKI nur für interne Zwecke nutzen möchtest, geht das problemlos. Der Aufwand schätze ich bei 1-2 Wochen. Hängt primär von deinem Wissenstand ab und deine Lernfähigkeit. Für meine 100 Client-Klitsche wäre das Stichwort "Managed PKI" (aus deinem Link) ja deutlich interessanter, oder? Hab allerdings noch nicht ganz kapiert wie das dann konkret aussieht bzw. umgesetzt wird - kannst du oder @colinardo da was dazu sagen?
Bei GlobalSign ist es eigentlich recht gut erkklärt, wie eine ManagedPKI funktioniert. Englisch und das nötige Kleingeld wird natürlich vorrausgesetzt.Gruß,
Dani
eigentlich nicht... es ist ein gewisser Aufwand. Die Clientanzahl spielt eigentlich keine Rolle. Wenn du die PKI nur für interne Zwecke nutzen möchtest, geht das problemlos. Der Aufwand schätze ich bei 1-2 Wochen. Hängt primär von deinem Wissenstand ab und deine Lernfähigkeit.
Okay, dann schau ich mir das mal genauer an. Lernfähigkeit und -wille dürfte vorhanden sein Bei GlobalSign ist es eigentlich recht gut erkklärt, wie eine ManagedPKI funktioniert. Englisch und das nötige Kleingeld wird natürlich vorrausgesetzt.
Danke dir, auch das schau ich nochmal an. Am Kleingeld wirds eher scheitern als am Englisch, letzteres fließt bei mir nämlich eher als ersteres 
Hallo,
Das ganze PKI Problem ist aus meiner Sicht eigentlich keins. Es ist vor allem ein "Geheimsprachenproblem".
nimm mal folgende Codezeilen aus https://legacy.thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-ze ...
sieht erst mal gruslig aus Ich will ein Zertifikat und muss lauter komplizierte Parameter angeben.
und dann noch die Konfigurationsdatei der CA;
wenn man es der Reihe nach angeht wird es schnell logisch. Folgendes würde man, um die Codezeile zu verstehen, nachschlagen:
- Was ist *.pem für eine Datei?
- Was ist *.csr für eine Datei?
und es stellt sich die Frage:
- ist für diesen Zweck sha512 geeignet?
Eine öffentlich "beglaubigte" PKI brauchst Du eigentlich nur, wenn Du:
- öffentliche Internetseiten mit eigenen Zertifikaten versehen willst ( und Dir für diesen Zweck zu Kaufende Zertifikate nicht reichen)
- Emailsignaturen mit externen Emfängern verwenden möchtest
- irgend einen anderen verschlüsselten Datenaustausch oder Nachweis mit externen machen willst - also wenn Fremde Deinen Zertifikaten trauen sollen.
Sonst reicht eine self-signed PKI, die dann auch gerne mehrstufig sein kann, mit root-CA auf USB im Bankschließfach - wenn Du willst Windows verteilt dann das CA-Zertikat an alle Domänenrechner als vertrauenswürdige Zertifizierungsstelle.
kurz gesagt: mach einfach!
Grüße
lcer
Das ganze PKI Problem ist aus meiner Sicht eigentlich keins. Es ist vor allem ein "Geheimsprachenproblem".
nimm mal folgende Codezeilen aus https://legacy.thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-ze ...
openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512und dann noch die Konfigurationsdatei der CA;
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:BY
Locality Name (eg, city) :Landshut
Organization Name (eg, company) [Internet Widgits Pty Ltd]:trashserver.net
Organizational Unit Name (eg, section) :IT
Common Name (eg, YOUR name) :trashserver.net
Email Address :sslmaster@domain.comwenn man es der Reihe nach angeht wird es schnell logisch. Folgendes würde man, um die Codezeile zu verstehen, nachschlagen:
- Was ist *.pem für eine Datei?
- Was ist *.csr für eine Datei?
und es stellt sich die Frage:
- ist für diesen Zweck sha512 geeignet?
Eine öffentlich "beglaubigte" PKI brauchst Du eigentlich nur, wenn Du:
- öffentliche Internetseiten mit eigenen Zertifikaten versehen willst ( und Dir für diesen Zweck zu Kaufende Zertifikate nicht reichen)
- Emailsignaturen mit externen Emfängern verwenden möchtest
- irgend einen anderen verschlüsselten Datenaustausch oder Nachweis mit externen machen willst - also wenn Fremde Deinen Zertifikaten trauen sollen.
Sonst reicht eine self-signed PKI, die dann auch gerne mehrstufig sein kann, mit root-CA auf USB im Bankschließfach - wenn Du willst
Windows verteilt dann das CA-Zertikat an alle Domänenrechner als vertrauenswürdige Zertifizierungsstelle.kurz gesagt: mach einfach!
Grüße
lcer
@icer00
Die Installation ist wie so oft das kleinste Problem. Es geht eher darum
Gruß,
Dani
Die Installation ist wie so oft das kleinste Problem. Es geht eher darum
- wie sollen Sperrlisten abgerufen werden
- wo sollen Sperrlisten abrufbar sein
- für was sollen die Zertifikate eingesetzt werden
- wie bekommst du mit, dass ein Client ein Zertifikat nicht erneuert hat
- sind die Standardvorlagen ausreichend oder müssen Kopien erstellt und angepasst werden
- wie sieht ein Umzug einer Root/SubCA in 5-10 Jahren aus
- ...
Gruß,
Dani
Hallo,
Hier ist es wichtig, dass du den Sperrlistenverteilpunkt von Anfang an festlegst. Der Verteilpunkt muss auch "Reproduzierbar" sein - bei Serverwechsel etc.
Oder-und OCSP-Responder, musst Du halt mehr installieren.
Du musst aber sicherstellen, dass die Verteilungspunkte auch tatsächlich vorgehalten werden, das ist bei LADP/AD sicher nicht so schwer, wenn der DC aussteigt, hast Du eh Probleme, HTTP läßt sich auch im Problemfall schnell wieder aktivieren - Ich würde es vielleicht aber in eine Subdomäne packen, die kann man im Problemfall schnell mal umleiten und bereitstellen.
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/i ...
https://lerntool.ch/wp-content/uploads/2016/02/Kryptographie-in-der-IT.p ...
eher kein Problem wenn es um eine Windows-PKI geht, da sollte es funktionieren, solange der Client, das AD und die CA laufen. steigt eins davon aus hast Du ein Problem
aber auch so: https://www.paessler.com/manuals/prtg/http_ssl_certificate_expiry_sensor
Du kannst deine CA auf wiederhergestellte Server rücksichern, auf neue Server umziehen, Du kannst auch eine komplett neue CA einrichten (da brauchst Du aber einen guten Plan um deinen Clients das klarzumachen)
grüße
lcer
Zitat von @Dani:
@icer00
Die Installation ist wie so oft das kleinste Problem. Es geht eher darum
LADP im AD bei Windows ist voreingestellt. zusätzlich HTTP@icer00
Die Installation ist wie so oft das kleinste Problem. Es geht eher darum
- wie sollen Sperrlisten abgerufen werden
- wo sollen Sperrlisten abrufbar sein
Hier ist es wichtig, dass du den Sperrlistenverteilpunkt von Anfang an festlegst. Der Verteilpunkt muss auch "Reproduzierbar" sein - bei Serverwechsel etc.
Oder-und OCSP-Responder, musst Du halt mehr installieren.
Du musst aber sicherstellen, dass die Verteilungspunkte auch tatsächlich vorgehalten werden, das ist bei LADP/AD sicher nicht so schwer, wenn der DC aussteigt, hast Du eh Probleme, HTTP läßt sich auch im Problemfall schnell wieder aktivieren - Ich würde es vielleicht aber in eine Subdomäne packen, die kann man im Problemfall schnell mal umleiten und bereitstellen.
* für was sollen die Zertifikate eingesetzt werden
tja?https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/i ...
https://lerntool.ch/wp-content/uploads/2016/02/Kryptographie-in-der-IT.p ...
* wie bekommst du mit, dass ein Client ein Zertifikat nicht erneuert hat
na wenn der Client sich nicht mehr verbinden kann eher kein Problem wenn es um eine Windows-PKI geht, da sollte es funktionieren, solange der Client, das AD und die CA laufen. steigt eins davon aus hast Du ein Problemaber auch so: https://www.paessler.com/manuals/prtg/http_ssl_certificate_expiry_sensor
* sind die Standardvorlagen ausreichend oder müssen Kopien erstellt und angepasst werden
reichen meist nicht, ist aber nicht so problematisch, wenn Du weisst was Du brauchst. Hier nochmal der Hinweis auf openssl - Da ist die Vorlage letztlich eine configurationsdatei. Nach dem Linuxprobebasteln verstehst du Windows-Vorlagen gleich viel besser, insbesondere das mit der erweiterten Schlüsselverwendung und dem alternativen Subjektmamen. * wie sieht ein Umzug einer Root/SubCA in 5-10 Jahren aus
z.B: so: https://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-ser ...Du kannst deine CA auf wiederhergestellte Server rücksichern, auf neue Server umziehen, Du kannst auch eine komplett neue CA einrichten (da brauchst Du aber einen guten Plan um deinen Clients das klarzumachen)
grüße
lcer
