Windows Server 2003 Administration: PKIs betreiben – Zertifikate verteilen
Artikel erschienen in Swiss IT Magazine 2004/08
Die Einrichtung von CAs (Certificate Authority, Zertifizierungsstelle, vgl. InfoWeek 07/2004) ist nur der erste Schritt bei der Einrichtung einer PKI. Die nächste Hürde ist die Konfiguration der Zertifikatvorlagen, der Betrieb und insbesondere die Verteilung von digitalen Zertifikaten. Der Windows Server 2003 bringt dabei signifikante Verbesserungen im Vergleich zur Vorversion. Die wohl wichtigste Neuerung ist, dass auch Benutzerzertifikate automatisch verteilt werden können, wodurch sich der administrative Aufwand für das Management von Zertifikaten wesentlich reduzieren lässt. Der Preis dafür ist allerdings eine potentiell geringere Sicherheit.
Der erste Konfigurationsschritt nach der Installation einer CA ist die Verwaltung von Zertifikatvorlagen. Eine solche beschreibt die Eigenschaften der Zertifikate, die durch die CA ausgestellt werden können. Beim Windows Server 2003 gibt es zwei Typen von Zertifikatvorlagen - nur die neueren, auch als Version 2- oder V2-Vorlagen bezeichnet, sind modifizierbar. Für sie gelten ausserdem einige Nutzungseinschränkungen: Sie können nur in Enterprise CAs und nur auf Systemen mit dem Windows Server 2003 in der Enterprise Edition oder Datacenter Edition genutzt werden.
Da die Zertifikatvorlagen im Active Directory gespeichert werden, muss dessen Schema entsprechend erweitert werden, was zumindest das Service Pack 3 für Windows 2000 oder eben den Windows Server 2003 auf allen Domänencontrollern im Forest voraussetzt. Innerhalb einer CA können zudem einzelne Unter-CAs Zertifikate auf Basis der neuen Vorlagen ausstellen, andere aber noch auf Windows 2000 oder der Standard Edition des Windows Server 2003 basieren.
Um Zertifikatvorlagen zu verwalten, wird zunächst das Verwaltungsprogramm Zertifizierungsstelle aus der Gruppe Verwaltung gestartet. Dort lässt sich im Kontextmenü des Ordners Zertifikatvorlagen der Befehl Verwalten aufrufen, mit dem das Verwaltungsprogramm Zertifikatvorlagen verwalten gestartet wird - in diesem sind alle vordefinierten Vorlagen aufgeführt; die V2-Vorlagen haben ein andersfarbiges Symbol. Bevor man nun mit der Modifikation beginnt, sollte unbedingt mit dem Befehl Doppelte Vorlage aus dem Kontextmenü eine Kopie angelegt werden. Nur in dieser sollten die Eigenschaften angepasst werden.
Falls die Zertifikate später automatisch verteilt werden sollen, muss im Register Allgemein die Option Zertifikat in Active Directory veröffentlichen ausgewählt werden. Die Option Nicht automatisch neu registrieren ... sollte man dann auswählen, wenn Benutzer mit wandernden Benutzerprofilen (Roaming) arbeiten, und zwar, damit die Zertifikate nicht mehrfach bei der Anmeldung von verschiedenen Systemen automatisch erstellt werden. Im Register Anforderungsverarbeitung wird darauf der grundlegende Zweck des Zertifikats festgelegt und mit der Option Antragsteller ohne Benutzereingabe registrieren eine weitere wichtige Voraussetzung für die automatische Registrierung geschaffen. Hier lässt sich mit der Option Privaten Schlüssel für die Verschlüsselung archivieren übrigens auch definieren, dass verlorengegangene Zertifikate von sogenannten KRAs (Key Recovery Agents) wiederhergestellt werden können.
Weitere wichtige Einstellungen für die Nutzung von Zertifikaten finden sich im Register Erweiterungen. Dort lassen sich unter anderem die Anwendungsrichtlinien modifizieren, die im Detail festlegen, für welche Zwecke das Zertifikat eingesetzt werden darf.
Zu den wichtigsten Einstellungen gehören allerdings die Sicherheitsfestlegungen. Diese finden sich bei den einzelnen Zertifikatvorlagen ebenso wie für die CA insgesamt. Bei den Eigenschaften der Zertifikatvorlagen steuern Sie über das Register Sicherheit für jedes einzelne Template, wer dieses verändern und wer sich damit registrieren darf. Bei V2-Vorlagen gibt es darüber hinaus auch die Berechtigung Automatisch registrieren. Damit ein Zertifikat überhaupt ausgestellt werden kann, ist die Kombination der Berechtigung Lesen mit entweder Registrieren oder Automatisch registrieren erforderlich.
Wenn im Fenster Zertifizierungsstelle im Kontextmenü des Eintrags für eine CA der Befehl Eigenschaften und dort das Register Sicherheit aufgerufen wird, lässt sich grundsätzlich konfigurieren, ob und wie die CA genutzt werden darf. Hier finden sich vier vorkonfigurierte Rollen wie Zertifizierungsstelle verwalten und Zertifikate anfordern; die Aufgaben sind diesen Rollen fest zugeordnet. Der Sicherheit dienlich ist dabei vor allem die Trennung von Zertifikate ausstellen und verwalten und Zertifizierungsstelle verwalten, weil letzteres eher eine Aufgabe von Administratoren ist, die aber nicht gleichzeitig die Zertifikate verwalten sollten.
Die Verwaltung der Zertifizierungsstelle ist recht einfach, besteht diese doch bloss aus fünf Ordnern für gesperrte und ausgestellte Zertifikate, ausstehende und fehlgeschlagene Anforderungen sowie eben die Zertifikatvorlagen. Bei einem manuellen Prozess fordern Clients über lokale Anwendungen oder das Web Zertifikate an, welche bestätigt oder abgelehnt werden können. Falls ein Zertifikat nicht mehr gültig sein soll, wird es vom Verwalter schlicht in der Liste der ausgestellten Zertifikate gesperrt; es erscheint dann automatisch bei den gesperrten Zertifikaten. Von dort aus lässt sich wiederum die CRL (Certificate Revocation List) publizieren, in der alle gesperrten Zertifikate aufgeführt sind. Anwendungen, die Zertifikate akzeptieren, können auf diese CRL zugreifen - allerdings machen das viele Anwendungen nicht oder nur, wenn sie explizit dafür konfiguriert wurden. Ein gutes Beispiel dafür ist der Microsoft Internet Explorer, bei dem bei Extras/Internetoptionen im Register Erweitert explizit die Option Auf zurückgezogene Serverzertifikate überprüfen gesetzt sein muss, was nur beim Windows Server 2003 standardmässig bereits der Fall ist.
Einige der Voraussetzungen für die automatische Verteilung von Zertifikaten wurden bereits weiter oben in diesem Artikel angesprochen. Während Zertifikate für Computer auch schon bei einer auf Windows 2000 basierenden PKI automatisch verteilt werden können, setzt die automatische Verteilung von Benutzerzertifikaten die Kombination einer CA mit dem Windows Server 2003 in der Enterprise Edition oder Datacenter Edition und Clients unter Windows XP respektive dem Windows Server 2003 voraus. Nur dort ist der Auto-Enrollment-Prozess implementiert, der Zertifikate aus dem Active Directory anfordert und bei Bedarf auch ältere Zertifikate löscht.
Die Steuerung dieses Prozesses erfolgt über den Bereich Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel und den Parameter Einstellungen für die automatische Registrierung. Dort lässt sich festlegen, dass Zertifikate automatisch registriert werden sollen.
Der Aufwand für die Administration wird durch diese automatische Registrierung natürlich signifikant verringert. Der Nachteil ist allerdings, dass die Verteilung von Zertifikaten weniger sicher ist als bei einer persönlichen Übergabe.
Letztlich hängt die Sicherheit aber vor allem davon ab, ob man der Authentifizierung von Benutzern im Active Directory vertrauen kann. Die Wahrscheinlichkeit, dass Zertifikate in falsche Hände gelangen, ist nämlich genau so gross wie die Wahrscheinlichkeit, dass jemand sich mit dem Benutzernamen und Kennwort eines anderen Benutzers am Active Directory anmeldet und damit die automatische Verteilung der Zertifikate anstösst. Somit ist der Aufbau und Betrieb einer CA immer eine Gratwanderung zwischen Praktikabilität und Sicherheit. Die hohen Anforderungen, die ein PKI-Dienstleister stellen muss, müssen dabei nicht unbedingt Massstab für die interne Nutzung sein. Aber es gilt auch hier, den richtigen Kompromiss zu finden - und dazu gehört auch zu überlegen, ob und wann beispielsweise mit Smartcards, mit Hardware-basierender Verschlüsselung oder mit IPsec gearbeitet werden muss. Die Zertifikatsdienste des Windows Server 2003 sind in jedem Fall ein deutlich gereiftes Release, das eine gute Basis für den Aufbau interner PKIs bietet.