Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. PKI

PKI-Betrieb und -Nutzung

Geschrieben vonManimit Haldar 5 Minuten
Microsoft PKI Cryptographic Service
Inhaltsverzeichnis

PKI-Operationen und die damit verbundenen Risiken verstehen

PKI Der Betrieb beschreibt die Fähigkeit einer Organisation, PKI-Dienste bereitzustellen, aufrechtzuerhalten und zu erweitern. Anders ausgedrückt: Es besteht die Möglichkeit einer Organisation, PKI-Dienste in ihrer Umgebung zu nutzen, um deren Betrieb aufrechtzuerhalten. Der Betrieb umfasst alle Prozesse vom Entwurf des PKI-Systems bis hin zu dessen Test.

Wenn keine PKI-Operationen durchgeführt werden, sind einige Risiken damit verbunden:

  • Bei Ausfällen von ADCS-Komponenten, die die Installation neuer Ersatzkomponenten erfordern, kann es vorkommen, dass diese nicht rechtzeitig abgeschlossen werden, was die Dauer der Serviceausfälle während des Wiederherstellungsprozesses verlängert.
  • CA Anwendungsfehler werden möglicherweise nicht rechtzeitig bemerkt und gemeldet, was die Reaktions- und Behebungszeiten verlängert und zu längeren Ausfallzeiten führt.
  • Fehler bei der Service-Level-Vereinbarung im Zusammenhang mit der rechtzeitigen Ausstellung, Erneuerung oder Aufhebung von Zertifikaten.
  • Fehler bei der Benachrichtigung über den Widerruf des Zertifikats führen dazu, dass Dienste auf Fehler bei der Validierung und Akzeptanz von Zertifikaten angewiesen sind.

PKI-Betriebsaufgaben

Die folgenden PKI-Betriebsaufgaben werden in verschiedenen Phasen durchgeführt und die regelmäßige Ausführung der Dienste macht sie robust, skalierbar, sicher und zu einer Infrastruktur mit reduziertem Risiko.

Praktikum Aufgaben Beschreibung
architektonisch
  • Hinzufügen einer neuen Zertifizierungsstelle
  • Hinzufügen einer neuen CA-Vorlage
  • Deinstallieren Sie eine Zertifizierungsstelle.
 Alle Änderungen, die an einem bestehenden PKI-System vorgenommen werden sollen.
Wartung
  • CAs erneuern.
  • CA Backup & Recovery.
  • Veröffentlichen Sie CRLs auf der Stammzertifizierungsstelle und der ausstellenden Zertifizierungsstelle.
 Alle Vorgänge, die durchgeführt werden müssen, um den Dienst zu kontrollieren (z. B. Aktualisierungen) und somit unterbrechungsfreie Dienste von CA zu erhalten.
Tests
  • Überprüfen Sie die PKI-Integrität.
 Überprüfen Sie den Zertifikatsstatus in CDP-Containern, AIA-Containern usw.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Nachfolgend sind die Aufgaben aufgeführt, die im Rahmen der PKI-Betriebsprozesse in verschiedenen Phasen ausgeführt werden:

Aufgabe Beschreibung Zeitplan (Wie oft?Häufigkeit) Geschätzte Dauer der Aufgabenausführung
Sicherung und Wiederherstellung von CAs.
  • Erstellt eine Sicherungskopie von:
  • Datenbank
  • Sicherung des privaten Schlüssels für  HSMs
  • CA-Richtliniendatei
  • Konfigurationsregistrierungsstruktur
  • Zertifikate
  • Vorlagendetails für die ausstellende Zertifizierungsstelle
 Wie benötigt
  • Jedes PKI-System muss über einen effektiven Notfallwiederherstellungsplan verfügen, um sicherzustellen, dass wir im Falle eines Systemausfalls eine Wiederherstellung rechtzeitig und mit minimalen Auswirkungen auf die Organisation durchführen können.
  • Wenn ein Fehler bei der CA-Anwendung auftritt, kann kein Zertifikat ausgestellt werden. Daher muss ein DR-Plan implementiert werden, der die Erstellung einer CA-Sicherung und das Testen der Wiederherstellung auf einem anderen System umfasst.
  • Die Sicherung der CA spielt eine wichtige Rolle, wenn eine CA (im Falle eines Dienstausfalls) auf einen anderen Server migriert werden muss, sowie beim Erstellen oder Hinzufügen einer weiteren ausstellenden CA, um eine hohe Verfügbarkeit zu gewährleisten. Damit bei einer Kompromittierung einer CA nicht das gesamte System ausfällt.
4 Stunden

(Kann je nach Organisation variieren)
CRL- und AIA-Veröffentlichungen der Root- und ausstellenden CA  Als eine der Best Practices für PKI-Operationen müssen die CRLs der Root-CA alle 6 Monate manuell veröffentlicht werden, damit die aktualisierte CRL in die Umgebung übertragen wird. Halbjährlich

(manuell)

 1 Stunden

(Kann je nach Organisation variieren)
Erneuerung der Stammzertifizierungsstelle und der ausstellenden Zertifizierungsstelle. Root-CA: Erneuerung des Root-CA-Schlüsselpaars.

SubCA: Erneuerung des ausstellenden CA-Schlüsselpaars.

 Empfohlen -

Stammzertifizierungsstelle – Einmal alle 9

Jahre und 10 Monate.

Beispielsweise ist ein Root-CA-Zertifikat in der Regel 20 Jahre gültig. Es sollte daher alle 9 Jahre und 10 Monate erneuert werden. Dies liegt daran, dass die Root-CA Zertifikate mit einer Laufzeit von 10 Jahren an die ausstellende CA ausstellt. Wenn das Zertifikat der ausstellenden CA erneuert wird, sollte die Root-CA es um weitere 10 Jahre verlängern können.

SubCA – Alle 2 Jahre und 3 Monate.

Tatsächlich hängt es von der Gültigkeit des CA-Zertifikats ab, die von System zu System unterschiedlich sein kann.

Stammzertifizierungsstelle – 1 Stunde

SubCA – 1 Stunde

(Kann je nach Organisation variieren)
Deinstallieren einer Zertifizierungsstelle Durch die Deinstallation einer CA entfernen wir die ADCS-Rollen und -Funktionen vom CA-Server. Erstellen Sie vor der Deinstallation unbedingt eine Sicherungskopie der CA. So können wir bei der Aufnahme einer neuen CA in unser PKI-System problemlos eine Wiederherstellung aus der Sicherungskopie durchführen. Je nach Anwendbarkeit 1 Stunden

(Kann je nach Organisation variieren)
Hinzufügen einer neuen Zertifizierungsstelle Das Hinzufügen einer neuen CA zu Ihrem vorhandenen PKI-System ist erforderlich, um eine hohe Verfügbarkeit und Lastverteilung auf der CA zu gewährleisten und um dieser bestimmten CA verschiedene Rollen zuzuweisen. Wie benötigt 1 Stunden

(Kann je nach Organisation variieren)
Fügen Sie eine neue Zertifikatvorlage hinzu Wenn wir der Zertifizierungsstelle bestimmte Rollen zum Signieren und Ausstellen des Zertifikats implementieren müssen, weisen wir dem Zertifikat eine Vorlage zu und fügen sie hinzu.

Beispielsweise ist die Workstation-Authentifizierung eine Vorlage, die die Zertifizierungsstelle verwendet, um Zertifikate an neue Benutzer oder Computer auszustellen, die eine Verbindung zum Netzwerk herstellen, um sie zu authentifizieren.

Je nach Anwendbarkeit ½ Stunde

(Kann je nach Organisation variieren)
PKI-Gesundheitscheck Nachdem die PKI-Dienste konfiguriert, erweitert, aktualisiert und gewartet wurden, empfiehlt es sich, die PKI-Integrität zu überprüfen, um sicherzustellen, dass die PKI-Vorgänge auf unserem System ordnungsgemäß ausgeführt werden. Empfohlen – Nach jedem PKI-Vorgang. ½ Stunde.

(Kann je nach Organisation variieren)

Empfehlung– (kann von Organisation zu Organisation variieren)

Architektonische PKI-Operationen – Sie können nach Bedarf oder entsprechend den bestehenden PKI-Anforderungen durchgeführt werden.

Wartung von PKI-Vorgängen – Es empfiehlt sich, die Wartungsaufgabe rechtzeitig durchzuführen, um unterbrechungsfreie CA-Dienste zu gewährleisten.

Testen von PKI-Vorgängen – Dies sollte durchgeführt werden, um unsere PKI-Dienste fundierter und zuverlässiger zu machen.

Wir empfehlen jeder Organisation, einen PKI-Betriebsleitfaden mit detaillierten und schrittweisen PKI-Vorgängen zu erstellen, um einen unterbrechungsfreien PKI-Service zu gewährleisten. Weitere Informationen zum PKI-Betriebsleitfaden finden Sie hier. Kontakt aufnehmen.

Entdecken Sie unsere

Verwandte Blogs

Cloud-PKI – ohne Kontrollverlust

Übernehmen Sie die Kontrolle über Ihre Cloud-PKI, ohne Kompromisse bei der Sicherheit einzugehen.

19. Juni 2026
Zertifikatslebenszyklusmanagement

Einschränkungen des AWS Certificate Manager: Wo ACM für Enterprise-PKI an seine Grenzen stößt.

18. Juni 2026
PKI

Windows Server PKI & ADCS Hotfix-Referenzhandbuch

3. Juni 2026

Entdecken

Weitere Themen