Bereitstellen einer PKI für den Remotezugriff
Contoso kann digitale Zertifikate verwenden, um die Identität der einzelnen Beteiligten einer elektronischen Transaktion zu überprüfen und zu authentifizieren. Digitale Zertifikate helfen auch beim Einrichten der Vertrauensstellung zwischen Computern und den entsprechenden Anwendungen, die auf Anwendungsservern gehostet werden. Der Remotezugriff verwendet Zertifikate, um die Identität von Servern zu überprüfen und Verschlüsselung bereitzustellen. Contoso kann auch Zertifikate verwenden, um die Identität von Benutzern oder Computern zu überprüfen, die sich für den Remotezugriff anmelden.
Methoden zum Abrufen von Zertifikaten
In den meisten Fällen erhalten Sie Zertifikate von einer Zertifizierungsstelle (CA). Der wichtigste Gesichtspunkt für eine Zertifizierungsstelle ist Vertrauen. Wenn ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wird, ist dieses Zertifikat vertrauenswürdig und kann für die Authentifizierung verwendet werden. Wenn eine Zertifizierungsstelle nicht vertrauenswürdig ist, können die von dieser Zertifizierungsstelle ausgestellten Zertifikate nicht für die Authentifizierung verwendet werden.
Um Zertifikate zu erhalten, können Sie:
- Erstellen Sie ihre eigene private Zertifizierungsstelle mithilfe von Windows Server. Die von einer privaten Zertifizierungsstelle ausgestellten Zertifikate werden automatisch von mit einer Domäne verbundenen Windows-Clients und -Servern als vertrauenswürdig eingestuft. Die von einer internen Zertifizierungsstelle ausgestellten Zertifikate werden jedoch nicht automatisch von Geräten, die nicht der Domäne angehören, als vertrauenswürdig angesehen.
- Erwerben Sie Zertifikate von einer öffentlichen Zertifizierungsstelle. Die von einer öffentlichen Zertifizierungsstelle ausgestellten Zertifikate werden von fast allen Geräten automatisch als vertrauenswürdig eingestuft, unabhängig davon, ob sie einer Domäne beigetreten sind oder nicht. Windows enthält keine Tools zum automatischen Bereitstellen von Zertifikaten aus einer öffentlichen Zertifizierungsstelle für Benutzer oder Computer.
- Generieren Sie selbstsignierte Zertifikate in einigen Anwendungen. Standardmäßig werden diese Zertifikate nur vom ausstellenden Server und nicht von anderen Computern in der Organisation als vertrauenswürdig eingestuft.
- Generieren Sie selbstsignierte Zertifikate mithilfe von PowerShell. Sie können das
New-SelfSignedCertificateCmdlet verwenden, um ein neues selbstsigniertes Zertifikat zu generieren.
Hinweis
Sie verwenden selbstsignierte Zertifikate in kleinen und mittleren Organisationen, die DirectAccess verwenden, die mit dem Assistenten für erste Schritte konfiguriert sind, was einfache Einrichtung und Konfiguration bietet.
Überlegungen bei der Planung von PKI
Um zu ermitteln, ob Sie eine interne PKI für den Remotezugriff implementieren sollten, müssen Sie planen, wie Zertifikate verwendet werden sollen. Wenn Sie Zertifikate nur auf wenigen Servern verwenden, sind die Kosten für die Nutzung einer öffentlichen Zertifizierungsstelle niedrig. Zertifikate von einer öffentlichen Zertifizierungsstelle sind ebenfalls von Vorteil, wenn Sie erwarten, dass Geräte, die nicht mit der Domäne verbunden sind, auf die Server zugreifen können.
Eine private Zertifizierungsstelle ist in erster Linie für den Remotezugriff nützlich, wenn Sie Zertifikate für Clientgeräte und einzelne Benutzer zur Authentifizierung ausstellen. Es ist z. B. üblich, dass ein gültiges Computerzertifikat erforderlich ist, um vpn-Zugriff als zweite Authentifizierungsebene zuzulassen, die über einen Benutzernamen und ein Kennwort hinausgeht. Wenn Sie Zertifikate für viele Computer ausstellen, ist die automatische Registrierung, die von einer privaten Zertifizierungsstelle bereitgestellt wird, wichtig. Es gibt auch erhebliche Kosteneinsparungen, da Sie nicht für Zertifikate bezahlen müssen, die von einer privaten Zertifizierungsstelle ausgestellt wurden.
In der folgenden Tabelle sind die Vor- und Nachteile von Zertifikaten zusammengefasst, die von privaten und öffentlichen Zertifizierungsstellen ausgestellt wurden.
| Zertifizierungsstellentyp | Vorteile | Benachteiligungen |
|---|---|---|
| Private Zertifizierungsstelle | Eine private Zertifizierungsstelle bietet eine bessere Kontrolle über die Zertifikatverwaltung und hat im Vergleich zu einer öffentlichen Zertifizierungsstelle eine geringere Kosten. Es gibt keine Kosten pro Zertifikat. Sie haben auch die Möglichkeit, angepasste Vorlagen und die automatische Registrierung zu verwenden. | Standardmäßig werden Zertifikate von privaten Zertifizierungsstellen nicht von externen Clients (Webbrowsern und Betriebssystemen) als vertrauenswürdig eingestuft und erfordern eine größere Verwaltung. |
| Öffentliche Zertifizierungsstelle | Ein von einer öffentlichen Zertifizierungsstelle ausgestelltes Zertifikat wird von vielen externen Clients (Webbrowsern und Betriebssystemen) als vertrauenswürdig eingestuft und erfordert eine minimale Verwaltung. | Die Kosten sind im Vergleich zu einer privaten Zertifizierungsstelle höher. Die Kosten basieren pro Zertifikat. Die Zertifikatbeschaffung ist ebenfalls langsamer. |