PKI-Wartung und vierteljährliche Bereinigung für Microsoft CA

Einführung

Microsoft Zertifizierungsstelle (CA) Die Zertifizierungsstelle (CA) ist eine der wichtigsten Komponenten in einer PKI-Umgebung (Public-Key-Infrastruktur) eines Unternehmens. Sie ist verantwortlich für die Ausstellung, Registrierung, den Widerruf und die Erneuerung digitaler Zertifikate, die verschiedene Anwendungsfälle unterstützen, darunter Benutzer- und Geräteauthentifizierung, Datenverschlüsselung, Identitätsmanagement und sichere Kommunikation (SS/TLS). Die Installation und Administration einer CA ist keine einmalige Aufgabe. Eine CA ist keine wartungsfreie Lösung, sondern erfordert kontinuierliche Überwachung, regelmäßige Validierung und kontrollierte Bereinigung mit regelmäßigen Integritätsprüfungen, um den dauerhaften Betrieb ohne Unterbrechung der Zertifikatsdienste zu gewährleisten.  Microsofts Active Directory-Zertifikatdienst (ADCS) Die Tools unterstützen dies durch Backup-, Wiederherstellungs-, Datenbankverwaltungs-, CRL-Veröffentlichungs-, Vorlagenprüfungs- und Datenbankbereinigungsvorgänge.

Die Zertifizierungsstelle (CA) stellt Zertifikate über einen längeren Zeitraum aus, der Tage, Monate oder Jahre dauern kann, ohne dass dabei Probleme sichtbar sind. Im Hintergrund wächst die CA-Datenbank jedoch stetig an, da sie Einträge zu fehlgeschlagenen und abgelehnten Anfragen, widerrufenen und abgelaufenen Zertifikaten sowie veralteten CRL-Einträgen speichert. Da diese Einträge nicht automatisch bereinigt werden, sammeln sie sich über Monate und Jahre an und vergrößern so die Datenbank. Dadurch erhöht sich auch die Menge an veralteten Daten, die Administratoren bei der Fehlersuche oder bei Audits bearbeiten müssen.

In Eins Microsoft-FallstudieDie CA-Datenbank eines Kunden war über Monate hinweg unerwartet stark angewachsen, ohne dass die Administratoren dies bemerkten. Das Problem wurde erst entdeckt, als die Datenbank fast die gesamte 55 GB große Partition belegt hatte, auf der sie gehostet wurde. In diesem Fall hatte die CA-Datenbank eines Windows Server Enterprise bereits eine Größe von über 50 GB erreicht und wuchs weiter. Dies verdeutlicht, wie schnell unkontrollierte Datenansammlungen zu einem ernsthaften Betriebsproblem führen können.

Bei Encryption Consulting verstehen wir die PKI-Wartung als mehr als nur eine einfache Aufräumarbeit. Bevor Sie fehlgeschlagene Anfragen aus der Datenbank löschen, stellen Sie sicher, dass ein aktuelles und gültiges Backup der CA-Datenbank vorhanden ist, um das System bei Bedarf wiederherstellen zu können. Überprüfen Sie anschließend, ob die Datenbankpfade und der Speicherort korrekt konfiguriert sind und ausreichend Speicherplatz bieten. Die Bereinigung sollte dann kontrolliert erfolgen, wobei nur veraltete oder unnötige Datensätze wie abgelaufene oder fehlgeschlagene Anfragen entfernt werden.

Nach Abschluss der Bereinigung sollte die Datenbank komprimiert werden, um Speicherplatz freizugeben und die Leistung zu verbessern. Abschließend ist es unerlässlich zu überprüfen, ob die Kernfunktionen der Zertifizierungsstelle, einschließlich der CRL-Veröffentlichung und des Zertifikatswiderrufs, nach den Wartungsarbeiten weiterhin ordnungsgemäß funktionieren und verfügbar sind.

PKI-Wartung

Der erste und wichtigste Schritt bei der PKI-Wartung ist die Sicherstellung eines ordnungsgemäßen Backups. Sie sollten niemals mit der Bereinigung der CA-Datenbank beginnen, ohne einen Rollback-Punkt zu haben, damit Sie das System im Fehlerfall wiederherstellen können.

Mit Microsoft ADCS können Sie nun verschiedene Teile der Zertifizierungsstelle separat sichern, und genau hier liegt oft die Ursache für Verwirrung:

• A reine Datenbanksicherung Beinhaltet die CA-Datenbank und die Protokolle. Dies ist in der Regel ausreichend für Routineaufgaben wie die vierteljährliche Bereinigung, da lediglich Datenbankeinträge geändert werden.
• A vollständige CA-Sicherung ist wesentlich umfassender. Es beinhaltet die CA-Datenbank und -Protokolle, das CA-Zertifikat und den privaten Schlüssel sowie zugehörige CA-Konfigurationsdaten wie Registrierungseinstellungen.

Diese Unterscheidung ist wichtig, da eine Datenbanksicherung allein die Zertifizierungsstelle im Falle eines Ausfalls nicht vollständig wiederherstellen kann; sie hilft lediglich dabei, Datenbankänderungen rückgängig zu machen.

Es gibt noch einen weiteren kritischen Punkt, wenn Hardware-Sicherheitsmodule (HSMs) Wenn Ihr CA-Privatschlüssel in einem HSM gespeichert ist, können Sie ihn nicht wie einen normalen Softwareschlüssel sichern. Stattdessen müssen Sie das vom HSM-Anbieter (z. B. Luna oder nShield) vorgegebene Sicherungsverfahren befolgen. Andernfalls kann die CA möglicherweise nicht wiederhergestellt werden.

Eine „gesunde“ Zertifizierungsstelle zeichnet sich nicht nur durch die Ausstellung von Zertifikaten aus, sondern auch dadurch, dass Kunden diesen Zertifikaten vertrauen und sie überprüfen können. Vereinfacht gesagt: Wenn ein Zertifikat ausgestellt wird, akzeptieren Kunden es nicht einfach blind. Sie prüfen:

• Ob das Zertifikat widerrufen wurde (über CRL/OCSP → CDP-Standorte)
• Wer hat das Zertifikat ausgestellt und wie kann die Kette aufgebaut werden (über AIA-Standorte)?

Selbst wenn Ihre Zertifizierungsstelle also Zertifikate einwandfrei ausstellt, ist das nicht wirklich funktionsfähig Wenn diese unterstützenden Dienste ausfallen oder nicht erreichbar sind. Deshalb sollte die Wartung auch die Überprüfung folgender Punkte umfassen: CRL-Verteilungspunkte (CDP) sind zugänglich, um sicherzustellen, dass Zugriff auf Behördeninformationen (AIA) Die URLs sind korrekt und erreichbar, und es wird überprüft, ob die Widerrufsdaten ordnungsgemäß veröffentlicht und aktualisiert werden.

Eine einfache und effektive Methode hierfür in Microsoft-Umgebungen ist die Verwendung von pkiview.mscDie Funktion zur Überprüfung der ausstellenden Zertifizierungsstelle (CA) bietet einen schnellen Überblick über den Zustand Ihrer PKI. Sie zeigt an, ob CDP/AIA-URLs erreichbar sind, kennzeichnet abgelaufene oder fehlende CRLs und hebt etwaige Probleme mit der Kette oder der Veröffentlichung hervor.

In Microsoft ADCS-Umgebungen certutil -deleterow Der Befehl bietet gezielte Bereinigungsoptionen, abhängig vom Typ der zu entfernenden Daten. Beispielsweise konzentriert sich die Anforderungsbereinigung auf fehlgeschlagene oder ausstehende Anfragen und basiert in der Regel auf dem Zeitpunkt der Anfrageübermittlung, während die Zertifikatsbereinigung abgelaufene oder widerrufene Zertifikate betrifft und sich nach deren Ablaufdatum richtet. Diese Unterscheidung ist wichtig, da die Bereinigung gezielt und gemäß definierten Aufbewahrungsrichtlinien erfolgen sollte, um sicherzustellen, dass nur unnötige Datensätze entfernt werden, ohne wichtige Prüfungs- oder Betriebsdaten zu beeinträchtigen.

Abschließend muss nach Abschluss der Bereinigung möglicherweise die Zertifikatsdatenbank komprimiert werden, um ungenutzten Speicherplatz freizugeben. Zu diesem Zweck wird die esentutl /d Dieser Befehl dient der Offline-Defragmentierung und -Komprimierung der ESE-Datenbank (Extensible Storage Engine). Dieser Schritt ist besonders wichtig nach dem Entfernen veralteter Datensätze, da er die Datenbank reorganisiert und ihre physische Größe reduziert. Dadurch werden die Leistung verbessert, die Speichernutzung optimiert und die CA-Datenbank in einen saubereren und effizienteren Zustand versetzt.

Bedeutung der vierteljährlichen Reinigung

Die vierteljährliche Bereinigung bietet einen praktischen und ausgewogenen Ansatz für die Administration von CA-Systemen. Sie erfolgt häufig genug, um ein langfristiges Anwachsen der Datenbank zu verhindern, und gleichzeitig kontrolliert genug, um sich in einen strukturierten Wartungsprozess einzufügen, der Überprüfung, Datensicherung, Ausführung und Validierung nach Änderungen umfasst. Anstatt zu warten, bis die CA-Datenbank zu groß oder schwer zu verwalten wird, können Administratoren regelmäßig nicht mehr benötigte Daten entfernen und gleichzeitig einen Wiederherstellungspunkt für das Wartungsfenster sichern.

Die vierteljährliche Wartung hilft Ihnen auch dabei, diszipliniert Backups und Wiederherstellung durchzuführen. Bevor Sie mit der Bereinigung beginnen, sollten Sie ein aktuelles Backup der Zertifizierungsstelle erstellen, damit dieses den aktuellen Zustand der Datenbank genau widerspiegelt. Wenn Sie sich auf ein älteres Backup verlassen, entspricht dieses möglicherweise nicht mehr den neuesten Änderungen und ist daher für die Wiederherstellung weniger geeignet. In der Praxis ist es daher am sichersten, unmittelbar vor Beginn der Bereinigung ein Backup zu erstellen. Dies bietet Ihnen einen zuverlässigen Wiederherstellungspunkt, falls während der Wartungsarbeiten etwas schiefgeht.

Ein praktischer vierteljährlicher Bereinigungsprozess für Microsoft CA

Ein praktischer vierteljährlicher Bereinigungsprozess für Microsoft CA sollte einer definierten und wiederholbaren Abfolge folgen, um sicherzustellen, dass die Datenbankwartung sicher durchgeführt wird, wobei vor jeder Änderung ein klarer Rollback-Punkt festgelegt und nach Abschluss der Aktivität eine ordnungsgemäße Validierung durchgeführt wird.

Schritt 1: Vorreinigungsprüfungen durchführen

Vor Beginn der Aktivität sollten Administratoren den Zustand der ausstellenden Zertifizierungsstelle (CA) überprüfen und sicherstellen, dass auf dem Server ausreichend Speicherplatz vorhanden ist. Dies ist wichtig, da sowohl die Datensicherung als auch die Offline-Datenbankkomprimierung Speicherplatz benötigen. Befindet sich die CA in einer virtuellen Umgebung, kann die Erstellung eines VM-Snapshots – vorbehaltlich der betrieblichen Standards des Unternehmens – eine zusätzliche Rollback-Sicherheitsmaßnahme bieten.

Schritt 2: Erstellen Sie vor der Wartung eine Sicherung der CA-Datenbank.

Nachdem die Umgebung vorbereitet wurde, muss die CA-Datenbank gesichert werden, bevor Datensätze gelöscht werden. Dies erfolgt über die Zertifizierungsstellenkonsole. Klicken Sie dazu mit der rechten Maustaste auf die CA, wählen Sie die Sicherungsoption und anschließend nur die Zertifikatsdatenbank und das Zertifikatsdatenbankprotokoll für diese Wartungsaufgabe aus. Diese Sicherung dient der Datenbanksicherung für den Wartungs-Rollback und ist keine vollständige CA-Sicherung. Falls eine vollständige CA-Sicherung erforderlich ist, müssen das CA-Zertifikat und der private Schlüssel separat gesichert werden.

Dieser Schritt ist von entscheidender Bedeutung, da er den Ausgangspunkt für die Bereinigungsmaßnahmen festlegt.

Schritt 3: Führen Sie das Bereinigungsskript oder den certutil-basierten Bereinigungsprozess aus.

Nachdem die Datensicherung durchgeführt wurde, kann der Bereinigungsprozess auf der ausstellenden Zertifizierungsstelle ausgeführt werden. In diesem Schritt sollte der Administrator das genehmigte PowerShell-Skript oder den Befehlssatz der Bereinigungsrichtlinie ausführen und das Stichtagsdatum angeben, bis zu dem Datensätze gelöscht werden sollen.

So löschen Sie abgelaufene Zertifikate:

certutil -deleterow Zertifikat

So löschen Sie fehlerhafte Zertifikate:

certutil -deleterow Anfrage

So löschen Sie widerrufene Zertifikate:

certutil -deleterow "ExpiredRevokedCerts"

Der Prozess sollte so gestaltet sein, dass zunächst übereinstimmende Datensätze identifiziert, die Gesamtzahl angezeigt und anschließend eine explizite Bestätigung vor dem Löschvorgang angefordert wird. Dies ist wichtig, da die Bereinigung von Microsoft-Zertifizierungsstellen datensatzspezifisch ist. Die Bereinigung von Anfragen zielt auf fehlgeschlagene und ausstehende Anfragen ab, während die Bereinigung von Zertifikaten abgelaufene und widerrufene Zertifikate betrifft. Daher sollte der Administrator vor dem Fortfahren genau bestätigen, welche Datensätze gelöscht werden sollen.

Schritt 4: Überprüfen Sie den Abschluss der Bereinigung und bereiten Sie die Datenbankwartung vor.

Nach erfolgreichem Abschluss des Löschvorgangs muss die Datenbankwartung vorbereitet werden. Die Bereinigung veralteter Zeilen hat zwar den logischen Inhalt der CA-Datenbank reduziert, die physische Datenbankdatei kann jedoch immer noch größer als nötig sein. Um ungenutzten Speicherplatz freizugeben, sollte eine Offline-Datenbankkomprimierung durchgeführt werden.

Bevor dies geschieht, sollte der Administrator sicherstellen, dass der Bereinigungsprozess vollständig abgeschlossen ist und keine anderen Wartungsarbeiten auf der CA durchgeführt werden.

Schritt 5: AD CS stoppen

Der Active Directory-Zertifikatdienste-Dienst muss vor jeder Offline-Datenbankoperation beendet werden. Dies ist ein notwendiger Bestandteil des Wartungsprozesses, da die Datenbankkomprimierung nicht durchgeführt werden darf, während die CA-Datenbank aktiv genutzt wird.

Durch das Anhalten von AD CS wird sichergestellt, dass die Datenbank während der Wartungsarbeiten in einem stabilen Zustand bleibt.

Schritt 6: Bestätigen Sie den Pfad zur CA-Datenbank

Nachdem der Dienst beendet wurde, sollte der Administrator den genauen Speicherort der Zertifikatsdatenbankdatei in den Eigenschaften der Zertifizierungsstelle überprüfen, anstatt sich auf einen angenommenen Standardpfad zu verlassen. Dies kann erfolgen, indem die Konsole der Zertifizierungsstelle geöffnet, mit der rechten Maustaste auf die Zertifizierungsstelle geklickt, „Eigenschaften“ ausgewählt und anschließend zum Tab „Speicher“ navigiert wird.

In vielen Umgebungen wird die Zertifikatsdatenbank unter folgendem Pfad gespeichert:

C:\Windows\System32\CertLog

Der tatsächliche Name der EDB-Datei hängt jedoch vom Namen der Zertifizierungsstelle ab. In der Beispielumgebung lautet die Datenbankdatei:

Encon Issuing CA.edb

Die Überprüfung des Pfads zur Live-Datenbank in dieser Phase hilft, zu vermeiden, dass Wartungsarbeiten an der falschen Datei durchgeführt werden.

Schritt 7: Offline-Datenbankkomprimierung durchführen

Nachdem der Administrator den korrekten Pfad zur EDB-Datei bestätigt hat, sollte er zum Verzeichnis der Zertifikatsdatenbank navigieren und die Offline-Kompaktierung mit esentutl /d ausführen.

Ejemplo:

esentutl /d "C:\Windows\System32\CertLog\Encon Issuing CA.edb"

Dieser Schritt defragmentiert und komprimiert die CA-Datenbank, nachdem veraltete Datensätze entfernt wurden. Er ist besonders nützlich, wenn eine große Anzahl fehlerhafter, abgelaufener oder widerrufener Datensätze gelöscht wurde, da er dazu beiträgt, ungenutzten Speicherplatz in der Datenbank freizugeben und die Datenbankhygiene zu verbessern.

Schritt 8: Erstellen Sie nach der Wartung eine neue Datensicherung.

Nach erfolgreichem Abschluss der Komprimierung sollte eine neue Sicherung der CA-Datenbank erstellt werden. Diese dient als neuer, sauberer Wiederherstellungspunkt nach Wartungsarbeiten und bewahrt den Zustand der CA-Datenbank nach der Bereinigung und Komprimierung.

Dieser Schritt ist genauso wichtig wie die Sicherung vor der Bereinigung, da er die Zertifizierungsstelle in ihrem aktualisierten und gepflegten Zustand erfasst.

Schritt 9: AD CS neu starten

Nachdem die Sicherung nach der Wartung abgeschlossen ist, muss der Active Directory-Zertifikatdienst neu gestartet werden. Der Administrator sollte überprüfen, ob der Zertifizierungsstellendienst ordnungsgemäß startet und ob keine unmittelbaren Fehler im Zusammenhang mit der Datenbank, den Zertifikatdiensten oder den Veröffentlichungsfunktionen auftreten.

Schritt 10: Durchführung der Validierung nach der Wartung

Der letzte Schritt ist die Validierung. Nachdem die Zertifizierungsstelle wieder online ist, sollten Administratoren überprüfen, ob die Zertifizierungsstelle ordnungsgemäß funktioniert, die Zertifikatsdienste einwandfrei funktionieren und die Veröffentlichungspunkte weiterhin gültig sind. Dies umfasst die Überprüfung des Status von AIA und CDP. pkiview.msc, Überprüfung der CA-Konsole und Bestätigung, dass die Wartungsarbeiten den normalen CA-Betrieb nicht beeinträchtigt haben.

Die vierteljährliche Bereinigung sollte erst dann als abgeschlossen betrachtet werden, wenn das CA bereinigt, komprimiert, erneut gesichert, erfolgreich neu gestartet und betriebsbereit validiert wurde.

Wie kann Verschlüsselungsberatung helfen? 

Die Verwaltung einer Microsoft-Zertifizierungsstelle geht weit über die anfängliche Bereitstellung hinaus. Sie erfordert kontinuierliche Aufmerksamkeit für die Datenbankintegrität, disziplinierte Datensicherung, die Veröffentlichung von Sperrlisten und regelmäßige Validierungsaktivitäten, die viele Unternehmen neben dem Tagesgeschäft nur schwer konsequent umsetzen können. Genau hier setzt die Verschlüsselungsberatung an. 

Unsere PKI-Bewertungsdienste Wir bieten eine umfassende Bewertung Ihrer bestehenden ADCS-Umgebung und identifizieren Schwachstellen in der CA-Hygiene, den Backup-Praktiken, der CRL/AIA-Konfiguration und dem Datenbankzustand. Unabhängig davon, ob Ihre CA-Datenbank im Laufe der Zeit unkontrolliert gewachsen ist oder Ihre Wartungsprozesse unstrukturiert sind, liefert unser Team einen detaillierten Risikobericht sowie einen priorisierten Fahrplan, um Ihre PKI wieder in einen gesunden und auditierbaren Zustand zu versetzen. 

Für Organisationen, die fortlaufende Unterstützung und nicht nur eine einmalige Überprüfung benötigen, bieten wir Folgendes an: PKI-Supportdienste Wir bieten abonnementbasierte Unterstützung rund um die Uhr. Diese umfasst die proaktive Wartung Ihrer Zertifizierungsstelle, die Überwachung der Sperrlisten (CRL), die Behebung von Datenbankproblemen und die Durchführung einer geführten vierteljährlichen Bereinigung. So stellen wir sicher, dass Ihre Zertifizierungsstellenumgebung sauber, kompakt und betriebssicher bleibt, ohne Ihre internen Teams zu belasten. 

Fazit

Die vierteljährliche Bereinigung von CA-Konten sollte nicht als einfacher Löschvorgang betrachtet werden. Es handelt sich um einen kontrollierten Prozess. PKI Diese Wartungsaktivität kombiniert regelmäßige Datensicherung, sorgfältige Datenbereinigung, Offline-Datenbankwartung und Validierung nach Änderungen. Korrekt durchgeführt, verbessert sie die Datenbankhygiene, hält die CA-Administration überschaubar und unterstützt eine stabilere langfristige Betriebsführung der Microsoft PKI.

Für Organisationen, die Microsoft AD CS einsetzen, erzielt man die besten Ergebnisse, wenn die Wartung als integraler Bestandteil des gesamten PKI-Governance-Modells betrachtet wird. Backups sollten gezielt durchgeführt, Bereinigungen unter Berücksichtigung der Aufbewahrungsfristen vorgenommen und die Datenbankwartung sorgfältig durchgeführt werden. Jeder Wartungszyklus sollte mit der Überprüfung der Funktionsfähigkeit der Zertifizierungsstelle und der Integrität der Widerrufsveröffentlichung abgeschlossen werden. Dadurch wird die routinemäßige Wartung zu einer zuverlässigen und wiederholbaren PKI-Betriebspraxis.