PKI und CA in Windows-Netzwerken -  Peter Kloep

PKI und CA in Windows-Netzwerken (eBook)

Das umfassende Handbuch

(Autor)

eBook Download: EPUB
2024 | 3. Auflage
767 Seiten
Rheinwerk Computing (Verlag)
978-3-8362-9643-4 (ISBN)
Systemvoraussetzungen
55,92 inkl. MwSt
  • Download sofort lieferbar
  • Zahlungsarten anzeigen

Wie der Aufbau einer sicheren Public Key Infrastructure mit dem Windows Server gelingt, zeigt Ihnen dieses Handbuch mit umfassenden Anleitungen, Hintergrundinformationen und Tipps aus der Praxis. Es liefert Ihnen alle Schritte von der Planung der CA bis zum Ablauf oder Widerruf der Zertifikate und betrachtet damit die gesamte Lebenszeit der Infrastruktur. Lernen Sie, wie Sie für Sicherheit in Ihrem Netzwerk sorgen, indem Sie WLAN- und VPN-Zugangspunkte schützen, BitLocker, S/MIME sowie IPSec einsetzen und Zertifizierungsstellen für Mail- und Webserver konfigurieren.

Aus dem Inhalt:

  • Grundlagen: Public Key Infrastructure und Certificate Authority
  • Was ist eine PKI, wozu wird sie verwendet, aus welchen Komponenten besteht sie?
  • Verschlüsselung vs. Signatur, Algorithmen, Gültigkeit eines Zertifikats prüfen
  • Aufbau und Planung der Infrastruktur einer Windows-Zertifizierungsstelle: notwendige Parameter und Rahmenbedingungen für eine CA-Installation
  • Installation und Konfiguration einer mehrstufigen Windows CA-Infrastruktur
  • Verwalten von Zertifikatsvorlagen, Konfiguration der Schlüsselarchivierung, Funktionstests
  • Einsatz einer Windows CA-Infrastruktur im Unternehmen
  • Zertifikate für Domaincontroller, WLAN- und VPN-Zugriff, BitLocker, IPSec, Web- und Mailserver, S/MIME, Codesignaturen, Registrierungsagenten
  • SmartCards zur Zweifaktor-Authentifizierung
  • Wartung einer Windows-Zertifizierungsstellen-Infrastruktur: Erneuern eines CA-Zertifikates
  • Backup und Recovery
  • Migration und Monitoring der Zertifizierungsstelle



Peter Kloep ist herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Software Engineer und Microsoft Certified Solutions Master - Windows Server 2012. Seit fünf Jahren ist er bei Microsoft als Premier Field Engineer angestellt und unterstützt Premier-Kunden in den Bereichen Identity Management und Security.

1    Public Key Infrastructure und Certificate Authority


In diesem Kapitel werden die Grundlagen für eine Zertifizierungsstelleninfrastruktur gelegt und die verschiedenen Grundbegriffe wie Signatur und Verschlüsselung erläutert.

In diesem Kapitel schauen wir uns die Grundlagen für den Umgang mit Zertifikaten und Zertifizierungsstellen an. Diese Grundlagen sind essenziell und erleichtern das Verständnis der Vorgänge in einer Zertifizierungsstelle. Sie erfahren, wie Sie einen sicheren Umgang mit Zertifikaten realisieren können, und lernen, wie Sie mit Fehlermeldungen umgehen oder sie idealerweise direkt vermeiden.

Ich behaupte, dass jeder Anwender, der schon an einem Computer oder einem netzwerkfähigen mobilen Gerät gearbeitet hat, Kontakt mit Zertifikaten gehabt hat. Sobald Sie über einen Browser auf eine mit HTTPS gesicherte Webseite zugreifen, kommen digitale Zertifikate ins Spiel. Diese werden als digitaler Identitätsnachweis des Zielservers verwendet.

Ich stelle auch noch eine zweite Behauptung auf: Wenn Sie schon einmal auf eine gesicherte Webseite (zum Beispiel bei einem Online-Store oder auch bei der Arbeit auf eine »interne« Webseite) zugegriffen haben, dann kennen Sie auch gewiss die Fehlermeldung aus Abbildung 1.1 (oder zumindest eine ähnliche).

Häufig tritt die Fehlermeldung bei Netzwerkgeräten auf, die über einen Browser administriert werden. In diesem Kapitel erläutere ich, was genau dahintersteckt und wie Sie diese Meldungen vermeiden können.

Was heißt nun Public Key Infrastructure (PKI) oder – wie es ins Deutsche übersetzt wird – Infrastruktur für öffentliche Schlüssel? Als PKI wird das gesamte Konstrukt rund um die Absicherung der Datenkommunikation und die Identitätskontrolle im Netzwerk mithilfe von Zertifikaten bezeichnet. Bei der Absicherung der Kommunikation können eine Datenverschlüsselung, eine Datensignatur und ein Identitätsnachweis die Sicherheit der Kommunikation erhöhen.

Eine PKI besteht aus:

  • einer oder mehreren Zertifizierungsstellen

  • digitalen Zertifikaten

  • Geräten und Anwendungen, die diese Zertifikate verwenden

  • Verwaltungswerkzeuge für die Infrastruktur

  • Zertifikatssperrlisten bzw. einer Möglichkeit, um die Gültigkeit eines Zertifikats zu überprüfen

  • Unterstützungskomponenten (Speicherorte für Sperrlisten, Diensten für Netzwerkgeräte)

  • Sicherheitshardware (sofern gewünscht bzw. benötigt)

  • Prozessen

Abbildung 1.1     Zertifikatwarnung im Edge-Browser

Eine PKI ist also eine Kombination aus Software, Prozessen, Verschlüsselungstechnologie und Diensten, die eine Organisation benötigt, um die Vertraulichkeit, Integrität, Authentizität und Nachweisbarkeit von Unternehmenstransaktionen und Kommunikation zu gewährleisten.

Eine PKI ist daher deutlich umfangreicher und komplexer als eine Zertifizierungsstelle. Eine Zertifizierungsstelle (CA) stellt »nur« Zertifikate aus und sperrt sie gegebenenfalls wieder.

Eine Zertifizierungsstelleninfrastruktur ist sehr schnell implementiert, wogegen eine PKI deutlich aufwendiger ist, da ein Certificate Practice Statement und eine Certificate Policy erstellt werden müssen (siehe Abschnitt 2.1).

1.1    Was ist ein Zertifikat?


Wir werden uns als Erstes der Frage widmen, was eigentlich ein Zertifikat ist und wozu Zertifikate eingesetzt werden können. Wenn hier von Zertifikaten die Rede ist, meine ich natürlich digitale Zertifikate und nicht diejenigen Zertifikate, die Sie sich nach einer erfolgreichen Prüfung oder Ausbildung im Bilderrahmen an die Wand hängen.

Die Definition eines Zertifikats könnte lauten: »Ein digitales Zertifikat bindet einen öffentlichen Schlüssel an eine Entität (Benutzer, Organisation, Computer) und beinhaltet zusätzliche Informationen, wie Sperrlisteninformationen und vieles mehr

Da in dieser Definition weitere Begriffe auftauchen, die erklärt werden müssen, gehen wir einen Schritt zurück und sehen uns die Theorie der Kryptografie an, also der Wissenschaft, Daten abzusichern bzw. zu verschlüsseln.

1.1.1    Symmetrische und asymmetrische Kryptografie


In der Kryptografie wird zwischen zwei Hauptverfahren unterschieden, mit denen Daten abgesichert werden: Es gibt symmetrische und asymmetrische Kryptografie-Verfahren.

Bei den symmetrischen Verfahren wird ein Schlüssel verwendet, mit dem Daten verschlüsselt werden. Der gleiche Schlüssel wird auch dazu verwendet, die Daten wieder zu entschlüsseln (siehe Abbildung 1.2).

Abbildung 1.2     Symmetrische Verschlüsselung

Ein Schlüssel ist dabei natürlich – und das gilt ebenso bei den asymmetrischen Verfahren – eine Folge von Nullen und Einsen, die in aller Regel durch mathematische Verfahren erzeugt wird.

Symmetrische Verfahren können von ihrer Funktion her mit einem herkömmlichen Türschloss verglichen werden: Haben Sie einen passenden Schlüssel für das Schloss, dann können Sie den Schlüssel zum Auf- und Zuschließen des Schlosses verwenden.

Ein Nachteil bei den symmetrischen Verfahren ist der Schlüsselaustausch, der auf sichere Art und Weise erfolgen muss, denn der Empfänger der Nachricht muss ja den gleichen Schlüssel besitzen wie der Absender, um die Daten erfolgreich entschlüsseln zu können. Ein solcher Schlüsselaustausch ist mithilfe von symmetrischen Verfahren nicht praktikabel.

Der Vorteil der symmetrischen Verfahren ist jedoch ihre Geschwindigkeit: Sie sind im Vergleich zu den asymmetrischen Verfahren deutlich schneller (bis zum Faktor 5000).

Bei der asymmetrischen Kryptografie, die auch als Public Key Cryptography bezeichnet wird, wird ein Schlüsselpaar verwendet (siehe Abbildung 1.3). Die beiden Schlüssel des Paars werden als öffentlicher Schlüssel (Public Key) und privater Schlüssel (Private Key) bezeichnet. Der private Schlüssel ist im Besitz der Entität, für die das Schlüsselpaar ausgestellt wurde. Der private Schlüssel wird niemals versendet und verlässt im besten Fall nicht den gesicherten Speicher, in dem er abgelegt ist.

Abbildung 1.3     Bei asymmetrischen Verfahren werden ein öffentlicher Schlüssel und der dazu passende private Schlüssel verwendet.

Bei asymmetrischen Verfahren werden die Daten mit einem der beiden Schlüssel verschlüsselt und können nur mit dem passenden Gegenschlüssel (dem zweiten Schlüssel des Paars) entschlüsselt werden.

Der Vorteil der asymmetrischen Verfahren ist die einfache Schlüsselverteilung. Geht man davon aus, dass der öffentliche Schlüssel jedem bekannt ist und möchten Sie einem Empfänger eine verschlüsselte Nachricht zukommen lassen, dann können Sie die Daten mit dem öffentlichen Schlüssel des Empfängers so verschlüsseln, dass nur der private Schlüssel des Empfängers (der sich ausschließlich im Besitz des Empfängers befindet) diese Daten wieder entschlüsseln und damit lesbar machen kann.

Tabelle 1.1 listet die Vor- und Nachteile der verschiedenen Verfahren auf.

Eigenschaft

Symmetrisch

Asymmetrisch

Schlüssel

Es wird der gleiche Schlüssel für die Ver- und Entschlüsselung verwendet.

Ein Teilnehmer besitzt den privaten Schlüssel, der oder die anderen besitzen den öffentlichen Schlüssel. Daten, die mit einem der beiden Schlüssel verschlüsselt wurden, können nur mit dem jeweils anderen Schlüssel entschlüsselt werden.

Schlüsselaustausch

Muss auf anderem Weg erfolgen.

Dadurch, dass der öffentliche Schlüssel »jedem« bekannt ist, kann direkt verschlüsselt kommuniziert werden.

...

Erscheint lt. Verlag 6.6.2024
Sprache deutsch
Themenwelt Mathematik / Informatik Informatik Netzwerke
ISBN-10 3-8362-9643-8 / 3836296438
ISBN-13 978-3-8362-9643-4 / 9783836296434
Informationen gemäß Produktsicherheitsverordnung (GPSR)
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 30,2 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Mehr entdecken
aus dem Bereich
Das umfassende Handbuch

von Martin Linten; Axel Schemberg; Kai Surendorf

eBook Download (2023)
Rheinwerk Computing (Verlag)
23,92