Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Informationen zum Rollendienst der Zertifizierungsstelle für Active Directory-Zertifikatdienste, wenn er auf dem Windows Server-Betriebssystem bereitgestellt wird.
Eine Zertifizierungsstelle (CA) ist für die Bestätigung der Identität von Benutzern, Computern und Organisationen verantwortlich. Die Zertifizierungsstelle authentifiziert eine Entität und beutelt für diese Identität, indem ein digital signiertes Zertifikat ausgestellt wird. Die Zertifizierungsstelle kann Zertifikate auch verwalten, widerrufen und erneuern.
Eine Zertifizierungsstelle kann folgendes sein:
- Eine Organisation, die für die Identität eines Endnutzers bürgt.
- Ein Server, der von der Organisation zum Ausgeben und Verwalten von Zertifikaten verwendet wird.
Durch die Installation des Rollendiensts der Zertifizierungsstelle von Active Directory-Zertifikatdiensten (AD CS) können Sie Ihren Windows-Server so konfigurieren, dass er als Zertifizierungsstelle fungiert.
Grundlegendes zu Zertifizierungsstellentypen
Windows Server unterstützt vier verschiedene Arten von Zertifizierungsstellen:
- Unternehmens-Stammzertifizierungsstelle.
- Untergeordnete Unternehmenszertifizierungsstelle.
- Eigenständige Stammzertifizierungsstelle.
- Eigenständige untergeordnete Zertifizierungsstelle.
Zertifizierungsstellen für Unternehmen und eigenständige Zertifizierungsstellen
Unternehmens-CAs sind in Active Directory Domain Services (AD DS) integriert. Sie veröffentlichen Zertifikate und Zertifikatsperrlisten (CRLs) in AD DS. Die Unternehmenszertifizierungsstelle verwendet Informationen, die in AD DS gespeichert sind, einschließlich Benutzerkonten und Sicherheitsgruppen, um Zertifikatanforderungen zu genehmigen oder zu verweigern. Enterprise-Zertifizierungsstellen verwenden Zertifikatvorlagen. Wenn ein Zertifikat ausgestellt wird, verwendet die Unternehmenszertifizierungsstelle Informationen in der Zertifikatvorlage, um ein Zertifikat mit den entsprechenden Attributen für diesen Zertifikattyp zu generieren.
Wenn Sie die automatische Zertifikatgenehmigung und die automatische Benutzerzertifikatregistrierung aktivieren möchten, verwenden Sie Enterprise-Zertifizierungsstellen, um Zertifikate auszustellen. Diese Features sind nur verfügbar, wenn die Zertifizierungsstelle-Infrastruktur in Active Directory integriert ist. Darüber hinaus können nur Unternehmens-Zertifizierungsstellen Zertifikate ausgeben, die die Smartcardanmeldung aktivieren, da für diesen Prozess Smartcardzertifikate automatisch den Benutzerkonten in Active Directory zugeordnet werden.
Eigenständige Zertifizierungsstellen erfordern keine AD DS, und sie verwenden keine Zertifikatvorlagen. Wenn Sie eigenständige Zertifizierungsstellen verwenden, müssen alle Informationen zum angeforderten Zertifikattyp in die Zertifikatanforderung aufgenommen werden. Standardmäßig werden alle Zertifikatanforderungen, die an eigenständige Zertifizierungsstellen übermittelt werden, in einer ausstehenden Warteschlange gespeichert, bis ein Zertifizierungsstellenadministrator sie genehmigt. Sie können eigenständige Zertifizierungsstellen konfigurieren, um Zertifikate automatisch auf Anforderung auszustellen, es ist jedoch weniger sicher und wird nicht empfohlen, da Anforderungen nicht authentifiziert werden.
Sie müssen eigenständige Zertifizierungsstellen verwenden, um Zertifikate auszustellen, wenn Sie einen Nicht-Microsoft-Verzeichnisdienst verwenden oder AD DS nicht verfügbar ist. Sie können sowohl Unternehmenszertifizierungsstellen als auch eigenständige Zertifizierungsstellen in Ihrer Organisation verwenden.
Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen
Unternehmens- und eigenständige CAs können als Stamm-CAs oder als untergeordnete CAs konfiguriert werden. Untergeordnete Zertifizierungsstellen können weiter als zwischengeordnete Zertifizierungsstellen (auch als Richtlinienzertifizierungsstelle bezeichnet) oder als ausstellende Zertifizierungsstellen konfiguriert werden.
Eine Stammzertifizierungsstelle ist die Zertifizierungsstelle, die sich oben in einer Zertifizierungshierarchie befindet, in der alle Zertifikatketten beendet werden. Wenn das Stammzertifikat der Zertifizierungsstelle auf dem Client vorhanden ist, wird der Stammzertifizierungsstelle bedingungslos vertraut. Unabhängig davon, ob Sie Unternehmens- oder eigenständige Zertifizierungsstellen verwenden, müssen Sie eine Stammzertifizierungsstelle festlegen.
Da die Stammzertifizierungsstelle die oberste Zertifizierungsstelle in der Zertifizierungshierarchie ist, hat das Feld "Betreff" des Zertifikats denselben Wert wie das Feld "Aussteller". Ebenso, da die Zertifikatkette beendet wird, wenn sie eine selbstsignierte Zertifizierungsstelle erreicht, sind alle selbstsignierten CAs Stamm-CAs. Die Entscheidung, eine Zertifizierungsstelle als vertrauenswürdige Stammzertifizierungsstelle festzulegen, kann auf Unternehmensebene oder lokal vom einzelnen IT-Administrator getroffen werden.
Eine Stammzertifizierungsstelle dient als Grundlage, auf der Sie das Vertrauensmodell Ihrer Zertifizierungsstelle aufbauen. Sie garantiert, dass der öffentliche Schlüssel des Subjekts den Identitätsdaten entspricht, die im Subjektfeld der ausgestellten Zertifikate angezeigt werden. Verschiedene CAs können diese Beziehung auch mit unterschiedlichen Standards überprüfen; Daher ist es wichtig, die Richtlinien und Verfahren der Stammzertifizierungsstelle zu verstehen, bevor Sie dieser Autorität vertrauen, um öffentliche Schlüssel zu überprüfen.
Die Stammzertifizierungsstelle ist die wichtigste ZS in Ihrer Hierarchie. Wenn Ihre Stammzertifizierungsstelle kompromittiert ist, werden alle CAs in der Hierarchie und alle von ihr ausgestellten Zertifikate als kompromittiert betrachtet. Sie können die Sicherheit der Stammzertifizierungsstelle maximieren, indem Sie sie vom Netzwerk getrennt halten und untergeordnete Zertifizierungsstellen verwenden, um Zertifikate für andere untergeordnete Zertifizierungsstellen oder Endbenutzer auszustellen. Eine getrennte Stammzertifizierungsstelle wird auch als Offline-Stammzertifizierungsstelle bezeichnet.
CAs, die keine Stamm-CAs sind, werden als untergeordnet betrachtet. Die erste untergeordnete Zertifizierungsstelle in einer Hierarchie erhält ihr Zertifikat von der Stammzertifizierungsstelle. Diese erste untergeordnete Zertifizierungsstelle kann diesen Schlüssel verwenden, um Zertifikate auszustellen, die die Integrität einer anderen untergeordneten Zertifizierungsstelle überprüfen. Diese höheren untergeordneten CAs werden als Zwischen-CAs bezeichnet. Eine Zwischenzertifizierungsstelle ist einer Stammzertifizierungsstelle untergeordnet, dient jedoch als höhere Zertifizierungsstelle für mindestens eine untergeordnete Zertifizierungsstelle.
Eine Zwischenzertifizierungsstelle wird häufig als Richtlinienzertifizierungsstelle bezeichnet, da sie in der Regel zum Trennen von Zertifikatklassen verwendet wird, die durch Richtlinien unterschieden werden. Beispielsweise umfasst die Richtlinientrennung die Zuverlässigkeitsebene, die eine Zertifizierungsstelle bereitstellt, oder den geografischen Standort der Zertifizierungsstelle, um unterschiedliche Endentitätspopulationen zu unterscheiden. Eine Richtlinien-ZS kann online oder offline funktionieren.
Private Schlüssel der Zertifizierungsstelle
Der private Schlüssel ist Teil der Zertifizierungsstelle-Identität und muss vor Kompromittierung geschützt werden. Viele Organisationen schützen private Schlüssel der Zertifizierungsstelle mithilfe eines Hardwaresicherheitsmoduls (HARDWARE Security Module, HSM). Wenn kein HSM verwendet wird, wird der private Schlüssel auf dem Computer der Zertifizierungsstelle gespeichert.
Offline-ZS sollten an sich an einem sicheren Standort befinden und nicht mit dem Netzwerk verbunden sein. Zertifizierungsstellen verwenden ihre privaten Schlüssel beim Ausstellen von Zertifikaten, sodass der private Schlüssel (online) zugänglich sein muss, während die Zertifizierungsstelle in Betrieb ist. ZS und deren privater Schlüssel müssen in jedem Fall physisch geschützt sein.
Hardwaresicherheitsmodule
Die Verwendung eines Hardwaresicherheitsmoduls (Hardware Security Module, HSM) kann die Sicherheit Ihrer Ca und Private Key Infrastructure (PKI) verbessern.
Ein HSM ist ein dediziertes Hardwaregerät, das separat vom Betriebssystem verwaltet wird. HSMs stellen zusätzlich zu einem dedizierten kryptografischen Prozessor einen sicheren Hardwarespeicher für Zertifizierungsstellenschlüssel bereit, um die Signierung und Verschlüsselung von Vorgängen zu beschleunigen. Das Betriebssystem nutzt das HSM über die CryptoAPI-Schnittstellen und das HSM fungiert als kryptografisches Dienstanbietergerät (CSP).
HSMs sind in der Regel PCI-Adapter, aber sie sind auch als netzwerkbasierte Appliances, serielle Geräte und USB-Geräte verfügbar. Wenn eine Organisation plant, zwei oder mehr CAs zu implementieren, können Sie ein einzelnes netzwerkbasiertes HSM installieren und für mehrere CAs freigeben.
HSMs müssen installiert und konfiguriert werden, bevor Sie CAs mit Schlüsseln einrichten, die auf dem HSM gespeichert werden müssen.