Ihr Leitfaden zum Verständnis der Active Directory-Zertifikatdienste

Active Directory-Zertifikatdienste (AD CS) ist eine der in Windows Server 2008 eingeführten Serverrollen, die Benutzern anpassbare Dienste zum Erstellen und Verwalten von Public-Key-Infrastruktur (PKI) Zertifikate, die verwendet werden können für verschlüsseln und digitales Signieren elektronischer Dokumente, E-Mails und Nachrichten.

Zu den von AD CS unterstützten Anwendungen gehören sichere drahtlose Netzwerke, virtuelle private Netzwerke (VPN), Internet Protocol Security (IPSec), Network Access Protection (NAP), Encrypting File Systems (EFS), Smartcard-Anmeldung und mehr.

Eigenschaften

AD CS bietet zahlreiche Funktionen, darunter:

• Zertifizierungsstelle (CA):

   Das Zertifizierungsstelle In AD CS geht es hauptsächlich um die Verwaltung und Ausgabe von Public-Key-Zertifikaten. Mehrere CAs können zu einer PKI verknüpft werden. Eine typische PKI ist eine Kombination aus Software, Hardware, Standards, Diensten und Richtlinien zur Verwaltung der in einer PKI verwendeten digitalen Zertifikate. Es gibt zwei Arten von CAs:

  • Unternehmenszertifizierungsstelle
  • Eigenständige Zertifizierungsstelle

  Die Unternehmenszertifizierungsstelle muss Domänenmitglied sein und kann Zertifikate für digitale Signaturen und Authentifizierungen für den Zugriff auf geschützte Webbrowser ausstellen sowie E-Mail-Transaktionen sichern. Eine eigenständige Zertifizierungsstelle benötigt keine Active Directory-Domänendienste und kann offline arbeiten. Sie sollte nicht einmal mit einem Netzwerk verbunden sein.

• Zertifizierungsstellen-Webregistrierung

  Die CA-Webregistrierung in AD CS ermöglicht externen Clients, die nicht Teil des Domänennetzwerks sind, die Verbindung zur Zertifizierungsstelle über einen Internetbrowser. Die CA-Webregistrierung unterstützt nur interaktive Anfragen, die der Anforderer manuell über die Site stellt und hochlädt. Das Zertifikat kann nach der Ausstellung durch die Zertifizierungsstelle im Browser heruntergeladen werden. Darüber hinaus kann die Zertifikatsperrliste (Certificate Revocation List, CRL) angefordert werden, die alle innerhalb der PKI abgelaufenen oder gesperrten Zertifikate enthält.

  Bei Benutzern, die Teil der Domäne sind, ermöglicht die Vertrauensstellung der Zertifizierungsstelle die sichere Ausstellung von Zertifikaten. Die Webregistrierung ermöglicht externen Clients, Zertifikate von der Zertifizierungsstelle anzufordern und zu widerrufen. Die Registrierung kann auch gesamtstrukturübergreifend erfolgen, d. h. Clients einer Gesamtstruktur können Zertifikate von einer Zertifizierungsstelle einer anderen Gesamtstruktur erhalten. Um die gesamtstrukturübergreifende Registrierung nutzen zu können, müssen Sie eine Vertrauensstellung zwischen allen beteiligten Gesamtstrukturen herstellen. Die Gesamtstrukturvertrauensstellung und die Gesamtstrukturebene müssen auf Windows Server 2008 R2 oder eine andere relevante Version eingestellt sein.

• Online-Responder

  Der Online-Responder ist ein Microsoft Windows-Dienst, der auf dem OCSP-Server mit Netzwerkdienstberechtigungen ausgeführt wird. In AD CS empfängt und verarbeitet der Online-Responder Anfragen zum Status der Zertifikate. Die Gültigkeit des Zertifikats und der digitalen Signatur wird überprüft, um die Echtheit des Zertifikats festzustellen. Darüber hinaus wird geprüft, ob das Zertifikat Teil der Zertifikatsperrliste (Certificate Revocation List, CRL) ist.

  Aus verschiedenen Gründen können Zertifikate vor Ablauf des Zertifikats durch die Zertifizierungsstelle vorübergehend oder dauerhaft widerrufen werden. Solche Zertifikate werden in der CRL aufgeführt. Außer über die CRL kann die Widerrufsprüfung auch über die Antwort des Online Certificate Status Protocol (OCSP) erfolgen. Das OCSP prüft den Status der betreffenden Website, indem es die URL an die Zertifizierungsstelle sendet. Die Zertifizierungsstelle gibt eine signierte Antwort mit dem Status des angeforderten Zertifikats aus.

• Netzwerkgeräte-Registrierungsdienst

  Das Netzwerkgeräteregistrierungsdienst (NDES) ist eine Funktion von AD CS, die Zertifikate für Netzwerkgeräte ausstellen kann, die den Datenverkehr verwalten, wie Router, Firewalls und Switches. Diese Geräte sind keine Active Directory-Domänenmitglieder und verfügen daher nicht über exklusive Active Directory-Anmeldeinformationen. NDES ermöglicht einmalige Registrierungskennwörter für diese Netzwerkgeräte. Diese Kennwortanforderungen werden dann zur Verarbeitung an die Zertifizierungsstelle gesendet und die von der Zertifizierungsstelle erhaltenen Zertifikate an das Gerät weitergeleitet. Daher wird NDES von Administratoren zur Authentifizierung solcher Netzwerkgeräte verwendet.

• Zertifikatregistrierungs-Webdienst

  Der Certificate Enrollment Web Service in AD CS ermöglicht Benutzern und Computern die Registrierung und Erneuerung von Zertifikaten über das HTTPS-Protokoll. Auch Nicht-Unternehmensmitglieder/Benutzer außerhalb der Sicherheitsgrenzen der Domäne können diesen Dienst nutzen. Der Certificate Enrollment Web Service konzentriert sich hauptsächlich auf automatisierte Client-Anfragen und verarbeitet Zertifikatsanfragen mithilfe eines nativen Clients.

• Webdienst für Zertifikatregistrierungsrichtlinien

  Der Certificate Enrollment Policy Web Service in AD CS ermöglicht Computern und Benutzern den Abruf von Informationen zu ihrer Zertifikatsregistrierungsrichtlinie. Die Zertifikatsregistrierungsrichtlinie gibt den genauen Standort der Zertifizierungsstellen und die von ihnen angeforderten Zertifikatstypen an. Zusammen mit dem Certificate Enrollment Web Service ermöglicht dieser Dienst die richtlinienbasierte Webregistrierung für Nicht-Unternehmenskunden oder Mitglieder außerhalb der Domäne. Die Registrierungsrichtlinie kann sowohl über Gruppenrichtlinieneinstellungen als auch durch individuelle Anwendung auf Clientcomputern aktiviert werden. AD CS erweist sich somit als effiziente Methode zur Verwaltung der Zertifikatsinfrastruktur für beliebige Einheiten in einem Windows-Domänennetzwerk.

Vorteile der Active Directory-Zertifikatdienste

AD CS kann von Organisationen genutzt werden, um die Sicherheit zu erhöhen, indem die Identität einer Person, eines Geräts oder eines Dienstes an einen entsprechenden privaten Schlüssel gebunden wird. AD CS bietet Unternehmen außerdem eine kostengünstige, effiziente und sichere Möglichkeit, die Verteilung und Nutzung von Zertifikate.

AD CS stellt einer Organisation die PKI zur Verfügung, die für die Verwendung digitaler Zertifikate zum Sichern von Webservern erforderlich ist (SSL / TLS), zertifikatsbasierte Authentifizierung, digitale Signaturen für Dokumente, Verschlüsselung von E-Mails (S/MIME) usw. Ohne AD CS müsste sich ein Unternehmen auf die Bereitstellung dieser Dienste durch Dritte verlassen oder auf die Bereitstellung von Zertifikaten verzichten.

Nachteile der Active Directory-Zertifikatdienste

• Die Bereitstellung und Handhabung einer Microsoft CA ist keine leichte Aufgabe. Für eine reibungslose Implementierung benötigen Sie ein engagiertes Team mit PKI-Erfahrung. Nach der Einrichtung muss Ihr Team über die besten PKI-Praktiken auf dem Laufenden bleiben, um Verfügbarkeit und Zuverlässigkeit zu gewährleisten.
• Aufgrund der Gemeinkosten für Hardware, Bereitstellung und Wartung durch ein Expertenteam kann es teuer werden.
• AD CS hat ein Bindungsproblem mit MAC OS-Geräten.
• XSS- oder Cross-Site-Scripting-Angriffe können in AD CS auftreten, da die Webregistrierung Benutzereingaben nicht ordnungsgemäß bereinigt. Das bedeutet, dass die Benutzereingaben vor der Speicherung in einer Datenbank nicht überprüft werden. Nicht bereinigte Benutzereingaben können auch zu SQL-Injections führen.

Fazit

Active Directory Certificate Services oder AD CS wird verwendet, um eine lokale Public-Key-Infrastruktur (PKI). Es kann Public-Key-Zertifikate erstellen, validieren und widerrufen. Diese Zertifikate haben verschiedene Verwendungsmöglichkeiten, z. B. zum Verschlüsseln von Dateien, E-Mails und Netzwerkverkehr.