Erweiterte Windows-PKI




Ergänzen Sie Ihre Microsoft CA-Funktionen


Eine Microsoft CA (ADCS) kann problemlos bereitgestellt werden. Es fehlen jedoch praktische Optionen zur Zertifikatsverwaltung, Benutzer-Self-Services oder erweiterte Funktionen wie die Verteilung privater Schlüssel oder die automatische Sperrung.

Windows PKI – Realisierung, Überwachung und Erweiterungen

Viele Unternehmen betreiben eine Inhouse PKI auf der Basis von Windows Active Directory Certificate Services (Windows PKI oder Microsoft PKI). Damit können X.509 Zertifikate für Benutzer, Dienste wie Webserver oder Domain Controller oder Geräte wie PCs, Router oder Smartphones ausgestellt und verwaltet werden. Die Basis für eine Windows PKI steht mit Windows Server und den darin enthaltenen Active Directory Certificate Services (AD CS) zur Verfügung. Mit der Windows PKI können Zertifikate kostengünstig und benutzertransparent mit Autoenrollment verteilt oder mit manuellen Registrierungsverfahren und Enrollment Agents zuverlässig ausgestellt werden.


Die Windows PKI skaliert hervorragend und bietet eine Vielzahl von Diensten und Optionen. Eine Windows CA kann mit wenigen Mausklicks aufgesetzt werden. Leider entstehen durch unvorbereitete Installationen durch Administratoren mit begrenzter PKI Erfahrung oft Zustände, die im Nachhinein nur schwer wieder zu korrigieren sind. Hier ist es angeraten, aus Sicht der IT-Sicherheit aber auch aus wirtschaftlicher Sicht, auf die Expertise erfahrener PKI Berater zurückzugreifen.

Herausforderungen für ADCS

Veraltete Benutzeroberflächen

ADCS bietet Windows-Dialoge im alten Stil oder sogar Befehlszeilentools für die Verwaltung der ausgestellten Zertifikate. Dies kann nur von erfahrenen Experten gehandhabt werden. Abgesehen von einer spärlichen Webregistrierung wird kein Self-Service für Benutzer bereitgestellt.

Fehlende Serverautomatisierung

Die Microsoft-CA unterstützt das standardisierte und weit verbreitete ACME-Protokoll für die Automatisierung von SSL/TLS-Serverzertifikaten nicht. Linux-basierte Server wie Apache oder Tomcat werden nicht unterstützt und selbst die Registrierung von IIS-Zertifikaten ist mit nativen Mechanismen schwierig.

Schlechte Unterstützung für private Schlüssel

ADCS ermöglicht die Archivierung privater Schlüssel. Der Wiederherstellungsprozess ist sehr umständlich und es gibt keine Möglichkeit für eine sichere automatisierte Verteilung der wiederhergestellten privaten Schlüssel an die Geräte eines Benutzers wie sein Smartphone.

Keine Option zur automatischen Revokation

Große Unternehmen mit einer fünf- oder sechsstelligen Anzahl an Zertifikaten haben aus Sicherheits- und Organisationsgründen einen starken Bedarf an der automatisierten Sperrung verwaister Zertifikate. Computer werden stillgelegt, Benutzer verlassen das Unternehmen oder ändern ihren Namen, ihre alten Zertifikate sind jedoch weiterhin gültig und können weiterhin verwendet werden.

Die SECARDEO-Lösung

Webbasiertes Management

Eine Microsoft CA (ADCS) kann problemlos bereitgestellt werden. Es fehlen jedoch praktische Optionen zur Zertifikatsverwaltung, Benutzer-Self-Services oder erweiterte Funktionen wie die Verteilung privater Schlüssel oder die automatische Sperrung.

ACME-Unterstützung für SSL/TLS

Fügen Sie der Microsoft-Zertifizierungsstelle einen ACME-Proxydienst für die Registrierung von Serverzertifikaten durch beliebte ACME-Clients basierend auf HTTP- oder DNS-Herausforderungen hinzu. Zusätzliche Sicherheitsfunktionen und optionale Unterstützung von AD-Vorlagen sorgen für einen zuverlässigen Service.

Übertragung privater Benutzerschlüssel auf alle Geräte

Private Schlüssel Ihrer Benutzer können manuell oder automatisch aus der CA-Datenbank wiederhergestellt und über ein sicheres E-Mail-basiertes Verfahren oder über Ihr MDM wie Intune auf die mobilen Geräte des Benutzers übertragen werden.

Automatische Revokation

Ihr Active Directory wird regelmäßig auf Objektentfernungen oder Änderungen in konfigurierten Objektattributen überwacht und Sperranfragen für entsprechende Benutzer- oder Computerzertifikate werden an Ihre Microsoft-Zertifizierungsstelle übermittelt.

Implementierung

Die Secardeo TOPKI-Plattform bietet Komponenten, die eng mit Active Directory und Certificate Services integriert sind. Die Komponenten nutzen AD-Zertifikatvorlagen, Benutzer, Gruppen und Berechtigungen. Alle Zertifikate in der MS CA-Datenbank können automatisch in die TOPKI-Datenbank synchronisiert werden. Dies ermöglicht die webbasierte Verwaltung und Self-Services von Zertifikaten, die von ADCS ausgestellt werden. Der Zugriff auf die Zertifikatsdienste erfolgt über die DCOM-Zertifikatverwaltungsschnittstellen. Die automatische Wiederherstellung privater Schlüssel aus der CA-Datenbank und die Verteilung an Benutzergeräte kann mithilfe von Key Recovery Agent Zertifikaten durchgeführt werden. Die automatische Sperrung erfolgt durch die Überwachung von AD-Objekten und die Übermittlung von Sperranfragen an ADCS. Die automatische Registrierung von SSL/TLS-Zertifikaten auf Webservern kann durch die Integration eines ACME-Proxys über die DCOM- oder HTTP-Webregistrierungsschnittstelle erreicht werden.


Die folgenden TOPKI Komponenten bieten Ihnen zusätzliche PKI-Funktionalität, die Ihre Windows PKI deutlich aufwerten und die Nutzbarkeit erhöhen:

Proxy für die automatische Registrierung von Webserver-Zertifikaten mithilfe des Standard-ACME-Protokolls.

Dienst für Certificate Lifecycle Management, Erkennung, zentrale automatische Registrierung, Self-Services, Benachrichtigungen und REST-API.

Dienst für Key Recovery und Verteilung von Benutzerschlüsseln aus einem zentralen Schlüsselarchiv auf mobile oder MDM-verwaltete Geräten.

Dienst zur automatischen Revokation verwaister Zertifikate aus AD-Objekten via certEP oder eine Microsoft CA.

Zertifikats-Directory-Server zum sicheren Veröffentlichen interner S/MIME-Zertifikate und zum globalen Abrufen externer Zertifikate.

Certificate Enrollment Proxy für das native Windows Certificate Autoenrollment von non-Microsoft CAs on-premises oder in der Cloud.

EAS-Proxy zum Abrufen von Empfänger-Zertifikaten von einem globalen Directory-Server auf mobile Geräte für eine durchgängige S/MIME-Verschlüsselung.

Wir unterstützen Sie für Ihre Windows PKI

  • bei der Planung und Konzeption
  • bei der Realisierung
  • beim Betrieb und der Überwachung
  • bei der Analyse und Auditierung
  • bei Erweiterungen mit unseren TOPKI Komponenten

Ressourcen

Share by: