johndorian
Goto Top

PKI Lösungen für kleine und mittlere Unternehmen

Hallo zusammen,

ich befasse mich zur Zeit etwas intensiver mit dem Thema PKI, Zertifikate und co - da dieses Thema immer wieder auftaucht und zu wichtig ist, als dass man es mit ein bisschen halbwissen behandelt.
Ich behaupte mal ich habe inzwischen die grundsätzliche Funktionsweise einer PKI verstanden und kenne die Zwecke und den Aufbau von Zertifikaten.

Mir fehlt momentan nur ein wenig die Brücke zur Realität - welche Möglichkeiten gibt es für die Umsetzung, gerade z.B. für kleine und mittlere Unternehmen?
  • Wie kann ich z.B. für die Bereiche ActiveDirectory, Mobile Device Management, Netzwerk (z.B. WLAN-Absicherung per RADIUS+Zertifikat), E-Mail, Intranet, VPN, etc... eine einheitliche Basis für die Nutzung sicherer Zertifikate schaffen?
  • Welche cloudbasierten Lösungen gibt es evtl.? (außer z.B. das obligatorische SSL-Zertifikat für die Webseite zu kaufen)
  • Gibt es empfehlenswerte Lektüre, Schulungen, Quellen dafür?
  • Wie wird das bei euch gehandhabt?

Vielen Dank für jede Antwort face-wink

Grüße, JD

Content-ID: 364879

Url: https://administrator.de/forum/pki-loesungen-fuer-kleine-und-mittlere-unternehmen-364879.html

Ausgedruckt am: 20.12.2024 um 07:12 Uhr

SlainteMhath
SlainteMhath 15.02.2018 um 15:40:15 Uhr
Goto Top
Moin,

für die Bereiche ActiveDirectory, Mobile Device Management, Netzwerk (z.B. WLAN-Absicherung per RADIUS+Zertifikat), E-Mail, Intranet,
VPN, etc.
Dafür würde ich "einfach" die Windows-PKI verwenden. Das fängt damit an, das man div. CA-Rollen auf einem Server installiert (nachdem man sich bei MS in die Materie etwas eingelesen hat)

Welche cloudbasierten Lösungen gibt es evtl.? (
Cloudbasiert PKI? Das ist mE ein Paradox face-smile

Wie wird das bei euch gehandhabt?
Ad-Basierte Windows PKI, für WLAN, VPN, EFS usw...

lg,
Slainte
lcer00
lcer00 15.02.2018 um 19:22:16 Uhr
Goto Top
Hallo,

ich habe mich wie folgt eingearbeitet - im wesentlichen Trial & Error & Learning by doing:

Teil 1 Windows:

Habe einfach losgelegt. (Tip: man kann auch auf einem virtuellen Testsystem loslegen, Windows-Server-iso kann man downloaden und 6 Monate testen) Erst mal eine einstufige Unternehmenszertifierungsstelle und Computerzertifikate per GPO verteilt.

Teil 2 Windows:

Natürlich hatte ich nicht gleich die optimale saubere Konfiguration hinbekommen. Dann standen Servermigrationen an. Also einfach mal auch die Zertifizierungsstelle migriert face-smile Geht tatsächlich! Danach war ich immer noch nicht zufrieden, hab die alte abgeschossen und eine neue eingerichtet. Danach hatten alle Clients ein kleines Problem .... face-smile

Intermezzo:
Irgendwie war das unbefriedigend. Die ganzen Router verstehen sich nicht immer mit der Windows-PKI. Während das bei Windows so einfach mit ein paar klicks gemacht ist, soll man da plötzlich Zertifikatsanforderungen im korrekten Format exportieren, die Windows dann nicht so richtig haben will ... Ich war etwas frustiert ...

Teil 3 Debian
Habe ein Test-Debian System eingerichtet. Dort habe ich nach Anleitungen eine mehrstufige PKI nur zu Testzwecken entwickelt. Für die Einrichtung der PKI habe ich ein Skript geschrieben, dass alle Konfigurationsschritte (einschließlich Basics wie Verzeichnisse erstellen) enthielt. Immer wenn beim Ausführen des Skripts irgendwas nicht klappte habe ich alles gelöscht, das Skript angepasst und wieder gestartet - bis es passte. Für das beantragen, ausstellen und exportieren der Zertifikate habe ich auch Skripts gebastelt.

Teil 4 Powershell
Habe ein Skript benötigt, um bei meiner Windows-Zertifizierungsstelle etliche Mobiltelefonzertifikate zu beantragen und zu exportieren.

Am meisten verstanden habe ich die PKI-Abläufe und Schritte beim Recherchieren für die Skripte. Nicht groß geholfen hat mir z.B: das Kapitel aus den http://openbook.rheinwerk-verlag.de/windows_server_2012r2/12_002.html Das las sich alles ganz gut aber das Verständnis kam nicht so richtig. face-smile

Grüße

lcer
JohnDorian
JohnDorian 16.02.2018 aktualisiert um 09:22:15 Uhr
Goto Top
Hallo,

@SlainteMhath Vielen Dank für die Antwort, ist auf jeden Fall Hilfreich!
Cloudbasiert PKI? Das ist mE ein Paradox
Ich dachte da an etwas wie eine Root-CA von einem vertrauenswürdigen Provider (GlobalSign, Comodo CA, GeoTrust Inc. ...) an die dann eine eigene Sub-CA angebunden wird...

@icer00 Auch ein interessanter Weg, vielen Dank für die Beschreibung!

Grüße, JD
Dani
Dani 17.02.2018, aktualisiert am 19.02.2018 um 16:37:37 Uhr
Goto Top
Moin,
Ich dachte da an etwas wie eine Root-CA von einem vertrauenswürdigen Provider (GlobalSign, Comodo CA, GeoTrust Inc. ...) an die dann eine eigene Sub-CA angebunden wird...
ist es möglich... siehe hier. Benötigst dafür ein wenig Kleingeld und ein paar Leute, die das Ganze pflegen bzw. betreuen.

Alternativ gibt es einige gute Anleitungen für ein-/zweistufige PKI unter Windows Server. Einfach ein bisschen suchen und lesen...
Auf jeden Fall in Ruhe in einer Testumgebung durchspielen und testen. Denn hinterher kann jeder Fehler in der Produktivumgebung ungeahnte Folge haben.


Gruß,
Dani
JohnDorian
JohnDorian 19.02.2018 um 16:26:56 Uhr
Goto Top
Hallo Dani,

vielen Dank für die Antwort! Ich merke aber schon, alles in dieser Richtung bewegt sich in Dimensionen, die auf große Unternehmen und Konzerne ausgelegt sind.
Für meine 100 Client-Klitsche wäre das Stichwort "Managed PKI" (aus deinem Link) ja deutlich interessanter, oder? Hab allerdings noch nicht ganz kapiert wie das dann konkret aussieht bzw. umgesetzt wird - kannst du oder @colinardo da was dazu sagen?

Grüße, JD
Dani
Dani 19.02.2018 um 16:42:30 Uhr
Goto Top
Moin,
vielen Dank für die Antwort! Ich merke aber schon, alles in dieser Richtung bewegt sich in Dimensionen, die auf große Unternehmen und Konzerne ausgelegt sind.
eigentlich nicht... es ist ein gewisser Aufwand. Die Clientanzahl spielt eigentlich keine Rolle. Wenn du die PKI nur für interne Zwecke nutzen möchtest, geht das problemlos. Der Aufwand schätze ich bei 1-2 Wochen. Hängt primär von deinem Wissenstand ab und deine Lernfähigkeit. face-smile

Für meine 100 Client-Klitsche wäre das Stichwort "Managed PKI" (aus deinem Link) ja deutlich interessanter, oder? Hab allerdings noch nicht ganz kapiert wie das dann konkret aussieht bzw. umgesetzt wird - kannst du oder @colinardo da was dazu sagen?
Bei GlobalSign ist es eigentlich recht gut erkklärt, wie eine ManagedPKI funktioniert. Englisch und das nötige Kleingeld wird natürlich vorrausgesetzt.


Gruß,
Dani
JohnDorian
JohnDorian 20.02.2018 um 08:56:15 Uhr
Goto Top
eigentlich nicht... es ist ein gewisser Aufwand. Die Clientanzahl spielt eigentlich keine Rolle. Wenn du die PKI nur für interne Zwecke nutzen möchtest, geht das problemlos. Der Aufwand schätze ich bei 1-2 Wochen. Hängt primär von deinem Wissenstand ab und deine Lernfähigkeit. face-smile
Okay, dann schau ich mir das mal genauer an. Lernfähigkeit und -wille dürfte vorhanden sein face-wink
Bei GlobalSign ist es eigentlich recht gut erkklärt, wie eine ManagedPKI funktioniert. Englisch und das nötige Kleingeld wird natürlich vorrausgesetzt.
Danke dir, auch das schau ich nochmal an. Am Kleingeld wirds eher scheitern als am Englisch, letzteres fließt bei mir nämlich eher als ersteres face-big-smile
lcer00
lcer00 20.02.2018 um 10:23:54 Uhr
Goto Top
Hallo,

Das ganze PKI Problem ist aus meiner Sicht eigentlich keins. Es ist vor allem ein "Geheimsprachenproblem".

nimm mal folgende Codezeilen aus https://legacy.thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-ze ...

openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512
sieht erst mal gruslig aus Ich will ein Zertifikat und muss lauter komplizierte Parameter angeben.

und dann noch die Konfigurationsdatei der CA;
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:BY
Locality Name (eg, city) :Landshut
Organization Name (eg, company) [Internet Widgits Pty Ltd]:trashserver.net
Organizational Unit Name (eg, section) :IT
Common Name (eg, YOUR name) :trashserver.net
Email Address :sslmaster@domain.com

wenn man es der Reihe nach angeht wird es schnell logisch. Folgendes würde man, um die Codezeile zu verstehen, nachschlagen:
- Was ist *.pem für eine Datei?
- Was ist *.csr für eine Datei?

und es stellt sich die Frage:
- ist für diesen Zweck sha512 geeignet?

Eine öffentlich "beglaubigte" PKI brauchst Du eigentlich nur, wenn Du:
- öffentliche Internetseiten mit eigenen Zertifikaten versehen willst ( und Dir für diesen Zweck zu Kaufende Zertifikate nicht reichen)
- Emailsignaturen mit externen Emfängern verwenden möchtest
- irgend einen anderen verschlüsselten Datenaustausch oder Nachweis mit externen machen willst - also wenn Fremde Deinen Zertifikaten trauen sollen.

Sonst reicht eine self-signed PKI, die dann auch gerne mehrstufig sein kann, mit root-CA auf USB im Bankschließfach - wenn Du willst face-smile Windows verteilt dann das CA-Zertikat an alle Domänenrechner als vertrauenswürdige Zertifizierungsstelle.

kurz gesagt: mach einfach!

Grüße

lcer
Dani
Dani 20.02.2018 aktualisiert um 11:19:14 Uhr
Goto Top
@icer00
Die Installation ist wie so oft das kleinste Problem. Es geht eher darum
  • wie sollen Sperrlisten abgerufen werden
  • wo sollen Sperrlisten abrufbar sein
  • für was sollen die Zertifikate eingesetzt werden
  • wie bekommst du mit, dass ein Client ein Zertifikat nicht erneuert hat
  • sind die Standardvorlagen ausreichend oder müssen Kopien erstellt und angepasst werden
  • wie sieht ein Umzug einer Root/SubCA in 5-10 Jahren aus
  • ...

Gruß,
Dani
lcer00
lcer00 20.02.2018 aktualisiert um 12:13:51 Uhr
Goto Top
Hallo,
Zitat von @Dani:

@icer00
Die Installation ist wie so oft das kleinste Problem. Es geht eher darum
  • wie sollen Sperrlisten abgerufen werden
  • wo sollen Sperrlisten abrufbar sein
LADP im AD bei Windows ist voreingestellt. zusätzlich HTTP
Hier ist es wichtig, dass du den Sperrlistenverteilpunkt von Anfang an festlegst. Der Verteilpunkt muss auch "Reproduzierbar" sein - bei Serverwechsel etc.
Oder-und OCSP-Responder, musst Du halt mehr installieren.
Du musst aber sicherstellen, dass die Verteilungspunkte auch tatsächlich vorgehalten werden, das ist bei LADP/AD sicher nicht so schwer, wenn der DC aussteigt, hast Du eh Probleme, HTTP läßt sich auch im Problemfall schnell wieder aktivieren - Ich würde es vielleicht aber in eine Subdomäne packen, die kann man im Problemfall schnell mal umleiten und bereitstellen.
* für was sollen die Zertifikate eingesetzt werden
tja?
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/i ...
https://lerntool.ch/wp-content/uploads/2016/02/Kryptographie-in-der-IT.p ...
* wie bekommst du mit, dass ein Client ein Zertifikat nicht erneuert hat
na wenn der Client sich nicht mehr verbinden kann face-smile eher kein Problem wenn es um eine Windows-PKI geht, da sollte es funktionieren, solange der Client, das AD und die CA laufen. steigt eins davon aus hast Du ein Problem
aber auch so: https://www.paessler.com/manuals/prtg/http_ssl_certificate_expiry_sensor
* sind die Standardvorlagen ausreichend oder müssen Kopien erstellt und angepasst werden
reichen meist nicht, ist aber nicht so problematisch, wenn Du weisst was Du brauchst. Hier nochmal der Hinweis auf openssl - Da ist die Vorlage letztlich eine configurationsdatei. Nach dem Linuxprobebasteln verstehst du Windows-Vorlagen gleich viel besser, insbesondere das mit der erweiterten Schlüsselverwendung und dem alternativen Subjektmamen. face-smile
* wie sieht ein Umzug einer Root/SubCA in 5-10 Jahren aus
z.B: so: https://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-ser ...
Du kannst deine CA auf wiederhergestellte Server rücksichern, auf neue Server umziehen, Du kannst auch eine komplett neue CA einrichten (da brauchst Du aber einen guten Plan um deinen Clients das klarzumachen)

grüße

lcer