AD CS besteht aus mehreren Rollendiensten zusammen, die mehrere Aufgaben ausführen. Eine oder mehrere dieser Rollendienste können nach Bedarf auf einem Server installiert werden. Diese Rollendienste sind wie folgt:

• Zertifizierung Authority- dieser Rollendienst installiert die Kern CA-Komponente, die ein Server, zu widerrufen zu erteilen können, und Verwalten von Zertifikaten für die Kunden. Diese Rolle kann auf mehreren Servern in der gleichen Root-CA-Kette installiert werden.
• Certification Authority Web Enrollment- Diese Rolle Service übernimmt die webbasierte Verteilung von Zertifikaten an Kunden. Es erfordert Internet Information Services (IIS) auf dem Server installiert werden.
• Online Responder- Der Rollendienst reagiert auf individuelle Kundenanforderungen in Bezug auf Informationen über die Gültigkeit bestimmter Zertifikate. Es wird für komplexe oder große Netzwerke verwendet, wenn das Netzwerk große Spitzen des Widerrufs Aktivität verarbeiten muss, oder wenn große Zertifikatssperrlisten (CRLs) heruntergeladen werden müssen.
• Certificate Enrollment Web Service- Dieser neue Service ermöglicht es Benutzern und Computern für Zertifikate der Ferne oder aus Nicht-Domain-Systemen über HTTP zu registrieren.
• Certificate Enrollment Richtlinien-Service- Dieser Dienst arbeitet mit dem Zertifikatregistrierungs-Webdienst verwandt, sondern lediglich Richtlinien-Informationen eher als Zertifikate zur Verfügung stellt.
• Network Device Enrollment Service- Diese Rolle Service vereinfacht die Art und Weise, dass Netzwerkgeräte wie Router-Zertifikate erhalten.

Active Directory Certificate Services Hierarchie

Public Key Infrastructure muss in hierarchischer Reihenfolge eingesetzt werden, um sicher Zertifikate an Kunden, Anwendungen und Server liefern. Der beste Weg, dies zu erreichen, ist eine eigenständige Offline-Root CA und Online-Unternehmen mit nachrangigem CA. bereitstellen Offline-Root-CA das heißt, Sie haben die CA zu schließen, sobald Sie die CRL-Kette für untergeordnete Zertifizierungsstelle erhalten Untergeordnete Aufenthalte mit Strom versorgt und Mitglied der Domäne. Offline-Root CA arbeitet in einer Arbeitsgruppe kein Domänenmitglied.

Standalone offline Root CA:

Vorteile:

• Hauptbestandteil der PKI-Infrastruktur
• Provide CRL abzeichnen Kapazität für nachgeordnete Behörde
• Geben Sie Web Einschreibung für untergeordnete Zertifizierungsstelle
• Pflegen CAPolicy.inf OID und Zertifizierungsstelle Gültigkeitsdauer aufnehmen

Online-Unternehmen mit nachrangigem CA

Vorteile:

• Untergeordnete Komponenten der PKI-Infrastruktur
• Gegenwart und stellen Zertifikate für Kunden
• Melden off Web-Zertifikate für die Anwendung
• Management-Punkt Zertifikatinfrastruktur
• Pflegen CAPolicy.inf OID und Zertifizierungsstelle Gültigkeitsdauer aufnehmen

Certificate Services Best Practices

• Analysieren und Notwendigkeit der Active Directory-Zertifikate oder Public-Key-Infrastruktur (PKI) in Ihrer Organisation planen, bevor Zertifizierungsstellen bereitstellen (CAs)
• Platzieren Sie Datenbank- und Transaktionsprotokolldateien auf separaten Festplatten möglicherweise SAN
• Halten Sie die Stammzertifizierungsstelle offline und sichern ihre Signaturschlüssel von Hardware und halten Sie sie in einem Tresor für Schlüssel Kompromiss Potenzial zu minimieren
• Wenn Sicherheitsberechtigungen für die Zertifizierungsstelle zu ändern (CA), verwenden Sie immer die Zertifizierungsstellen-Snap-in
• Stoßen Sie keine Zertifikate für Benutzer oder Computer direkt von der Stammzertifizierungsstelle
• Immer Punkt Client auf untergeordnete Zertifikat alle Zertifikate
• Sichern Sie die CA-Datenbank, das CA-Zertifikat und die CA-Schlüssel
• Stellen Sie sicher, dass die Schlüsselgültigkeitsdauern sind lang genug, um zu vermeiden Erneuerung Fragen
• Überprüfen Sie die Konzepte der Sicherheitsberechtigungen und Zugangskontrolle, da Unternehmen Zertifizierungsstellen stellen Zertifikate auf der Grundlage der Sicherheitsberechtigungen des Zertifikats Anforderer
• Verwenden Sie Secure Sockets Layer (SSL) bei der Verwendung von Web-basierte Zertifikatsregistrierung

Zertifikatanbieter

Sie haben RSA # Microsoft Software Key Storage Provider, um "mit SHA1, ob es einen Windows XP-Client ist ansonsten RSA # Microsoft Software Key Storage Provider auswählen" mit sha256 als Zertifikatsanbieter.

Cryptographic Key Length

Verwenden Sie 2048-Bit-Verschlüsselungslänge für sowohl offline als Root CA und nachrangigem CA.

Vorlagen

• Planen Zertifikatvorlagen vor der Bereitstellung
• Geben Sie nur die Vorlagen, die notwendig sind,
• Duplizieren Sie neue Vorlagen aus vorhandenen Vorlagen am nächsten in der Funktion der beabsichtigten Vorlage
• Nicht das Zertifikat Lebensdauer der ausstellenden Zertifizierungsstelle überschreiten
• Löschen Sie nicht die Sicherheitsgruppe Zertifikatherausgeber

Gültigkeitszeitraum

• Offline-Standalone-Root-CA- 10 Jahre
• Online-Unternehmen mit nachrangigem CA- 10 Jahre

Revocation List

In den folgenden Abschnitten zusammengefasst, wie Zertifikatsperr Werke zu prüfen.

• Grundkette und Zertifikatüberprüfung
• Validieren von Sperrinformationen
• Beim Netzwerkabruf und Caching

Widerruf Best Practice

• Lassen Sie die Standard Widerruf Verhalten Überprüfung statt mit CRLs für Sperrungsüberprüfung
• Statt lange Inserate von URLs für OCSP und CRL Abruf erstellen, sollten Sie die Listen zu einer einzigen OCSP und eine einzelne CRL-URL zu begrenzen
• Verwenden Sie CryptoAPI 2.0-Diagnose Revocation Einstellungen Problembehandlung
• Verwenden von Gruppenrichtlinien Widerruf Verhalten zu definieren

Überwachungsrichtlinie

Wählen Sie die folgende Überwachungsrichtlinie sowohl für Certificate Authority

• Sichern und Wiederherstellen der CA-Datenbank
• Ändern Sie CA-Konfiguration
• Ändern Sie CA-Sicherheitseinstellungen
• Ausgabe und Zertifikatsanforderung verwalten
• Sperren von Zertifikaten und veröffentlichen CRL

Backup-Certificate Authority

• Backup-Public Key
• Backup-CA-Datenbank
• Retention: Tägliche Zunahme / Monatsvoll

Sicherheitsberechtigung auf Vorlage

Die folgende Tabelle Zertifikat Sicherheitsberechtigung in AD CS zusammenfassen.

Domäne-Computer Auto-Enroll Read Only Domain-Benutzer automatisch zu registrieren Read Only Wintel Administrator Vollzugriff Vollzugriff

Sicherheitsberechtigung auf Servern

Sie müssen die Rollentrennung in Active Directory Certificate Services schaffen eine größere Kontrolle über Certificate Authority zur Verfügung zu stellen. So aktivieren Rollentrennung, Open Erhöhte Eingabeaufforderung und geben certutil -setreg caRoleSeparationEnabled 1. Die folgende Tabelle zeigt die Rollentrennung für AD CS beschreiben.

CA Administrator die volle Berechtigung Certificate Manager ausstellen und verwalten Auditor Zertifikate Verwalten von Überwachungs- und Sicherheits logLocal Sicherheitseinstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten Sicherungs-Operator Backup-Datei und Verzeichnisse Lokale Sicherheitseinstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten Enrollees authentifizierte Benutzer

Im Folgenden sind die unordentlichen Konfigurationen Sie vermeiden müssen, wenn eine Zertifizierungsstelle zu installieren.

• Sie Certificate Authority auf jedem Domänen-Controller oder Server mit anderen Rollen nicht installiert werden, wenn Sie ein kleines Unternehmen sind, und Sie haben nur ein oder zwei Server in Ihrer Organisation. In diesem Fall haben Sie keine Wahl.
• Nicht beide Zertifizierungsstelle in zwei verschiedenen Betriebssystemen wie Windows Server 2003 und Windows Server 2008 installieren.
• halten CAs nicht in verschiedenen Patch- und Update-Ebene.
• Nicht 1024-Bit-Verschlüsselung Länge verwenden.

Relevante Artikel: