ollembyssan
Goto Top

Zweistufige Architektur der PKI (Step by Step)

Dieses HOWTO beschreibt die Installation einer "Zweistufigen Architektur" der "PKI" (Public Key Infrastructur)

- Es wird eine "Standalone Zertifzierungsstelle" installiert, die nur Zertifikate für "untergeordnete Zertifzierungsstellen" installiert.
- Es wird eine "Untergeordnete Zertifzierungsstelle" installiert, die dann Zertifikate an Benutzer, Computer etc. vergibt.

In mittleren Organisationen sollte man mindestenes eine "zweistufige Architektur" zur Zertifikatsverwaltung installieren,
wegen der enormen Schutzbedürftigkeit des privaten Schlüssels der Stammzertifizierungsstelle!

  • In einer solchen Organisation existieren eine Stammzertifzierungsstelle (ROOT CA) und eine oder mehrere untergeordnete Zertifzierungsstellen (ISSUING CA).
  • Die Ausstellung der Zertifikate erfolgt dann ausschließlich von den "untergeordneten Zertifzierungsstellen.

ROOT CA
  • Die ROOT CA ist kein Domänenmitglied, deswegen wird diese eine Standalone Zertifzierungsstelle, die nicht in das AD integriert ist.
  • Normalerweise verfügt dieser Server auch nicht über einen Netzwerkanschluss und ist physikalisch geschützt.
  • Diese Zertifizierungsstelle stellt nur Zertifikate für die untergeordneten Zertifzierungsstellen aus, die dann z.B. über Diskette transportiert werden
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist sehr lange z.B. 10 Jahre

ISSUING CA
  • Die ISSUING CA stellt Zertifikate an Benutzer, Computer etc. aus
  • Dieser Server ist z.B. ein Domänencontroller
  • Sie ist eine "untergeordnete Stammzertifzierungsstelle" welche ins AD integriert ist
  • Die Gültigkeitsdauer des Zertifikats dieser Zertifzierungsstelle ist nicht so lange z.b. 5 Jahre

  1. Installation der Standalone Zertizierungsstelle (ROOT CA)

8fe5c40d94c3d8d6c2b22342a5abaa3d-1

48624e40b65ea3688231fd0749a323cf-2

4941c714f416de40f2ed2e064acb3fe9-3

Erstellen der Zertifikatsanforderung

2ec7703eb3c90dc409b33dacd7305cfd-4

7b4344e5508bc0045fd3ed1a9ae38aae-5

78a05a1bbdbdd1806b53d12b893383c7-6

09d929a16c448b1b3f5881d25abb6697-7

426cbb00a5125619fdc0982c135ff1c8-8

35fd368a74bea14d8eb2091f4e15b3a5-9

a2269ff5344b7cb6c96eb93408239b6f-10

9b65e6a0a9a31d5429a432846ecd41c0-11

99a892033bf7283561af171240c56aaa-12

b5876c12268bf93e7f749bb78e908a62-13

69a72745425168e7eb13864749a1085b-14

  • (Hier wird die codierte Anforderung der vorhin gespeicherten "certreq.txt" Datei importiert)

331c9e85ecc8b58058e29299149f7045-15

35aaa9c543351292849a3e3cf4a964ff-16

Austellen vom angeforderten Zertifikats

707e6d3d0be60ab234d6870a825430db-17

d41b162bec18000cb1ed9c06c907e267-18

a728cc30ff92b75acfdc1a5f17aab5c9-19

Installation des ausgestellten Zertifikats

6ee46a3d5ff9129a68a6e34ae99d2db0-20

33ec3f61a618dea1f641a9dd31f917c6-21

567f3f91375c96501bdd86e987bd6d39-22

1fb6318db2cbdc1477d7e5cc10a94e17-23


2. Installation der untergeordneten Zertifizierungsstelle (ISSUING-CA)

  • (Diese ISSUING-CA ist im AD integriert und kann Benutzern, Computern etc. Zertifikate ausstellen)

94fc61962fa213b144a0fe3937481703-1

c0f16ff9ecdd711f56c85d0ef017a7f8-2

  • Die Anforderung ist natürlich an die übergeordnete Zertifizierungsstelle gerichtet (ROOT CA)

0e92f53378a022d4bf079a4973080cc6-3


3. Ausstehende Anforderungen der ROOT CA

  • (Hier sieht man nun die Anforderung eines Zertifikats, das gerade von der "ISSUING-CA" angefordert worden ist)

af195fe82235ad929ab9260b6177ccff-4

df1c9b87fb9b168715df77a75bcbba75-5

fa614bc4d3f95b111ff937eda6a6abe1-6

b71cd299fcb1b5b1ec471fb8cb66280f-7


4. ISSUING-CA Konfiguration und Bereitstellung

ce4aeccc8771735cc2fd4f8a93ebe741-1

24d7a1504fdccb484ec4ed3f1548608b-2

a4f04e50d7ef75d3df95cbba2ec38465-3

1ca97deaa1c67ad1a647c3a56f3cb174-4

0fef7b36cea56c7812294bb1f63a8c85-5

40ada9de546ccb1267d3a9354368cb91-6

403986cd2e6de58a230f0b667c10ad93-7

7528af2149a94a90f3ec9471c9276d24-8

1b34d6ed3d0e45f81d0a6e43c6fa8b0f-9

50b70d4745edd322b74cd89171be142d-10

Content-ID: 115058

Url: https://administrator.de/tutorial/zweistufige-architektur-der-pki-step-by-step-115058.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

PapaMo
PapaMo 26.05.2009 um 16:36:03 Uhr
Goto Top
Zum Nachvollziehn bleiben zu viele Fragen offen z.B. wenn die Root CA nicht im Netz ist, wie kann dann die Anfrage über das Netzwerk erfolgen? oder Wenn die Root CA nicht in der Domäne liegt, wieso hat Sie dann den gleichen FQN?
ollembyssan
ollembyssan 27.05.2009 um 08:19:37 Uhr
Goto Top
1. Die ROOT CA hat nicht den gleichen FQN!
2. Die ISSUING CA (Enterprise Zertifzierungsstelle) stellt Cert. zur Verfügung!