Unzählige Unternehmen basieren ihre IT-Infrastruktur auf Windows Server. Unzählige Unternehmen nutzen PKI für verschiedene Sicherheitsanforderungen (wie z.B. das Sichern von Webservern [SSL], zertifikatsbasierte Authentifizierung, digitale Signaturen für Dokumente, Verschlüsselung von E-Mails [S/MIME]). Viele Leute wissen aber nicht, dass die zwei mit Active Directory Zertifikatsdiensten (AD CS) verknüpft werden können.
Was ist der Active Directory Zertifikatsdienst (AD CS)?
Microsoft selbst definiert AD CS als die „Serverstelle, die Ihnen die Möglichkeit gibt eine Public Key Infrastructure (PKI) aufzubauen und öffentliche Schlüsselkryptografie, digitale Zertifikate und digitale Signaturen in Ihrem Unternehmen bereitzustellen.“
Vereinfacht heißt das: anstatt einen Drittanbieter als Zertifizierungsstelle für PKI Zertifikate und andere gehostete Dienste zu nutzen, können Sie dies intern tun.
Vorteile von Active Directory Zertifikatsdiensten (AD CS)
AD CS bietet Ihnen eine Anzahl an Vorteilen, hauptsächlich bei der Administration von Zertifikaten.
- Informationen aus Active Directory nutzen – Sie können bestehende Identitätsinformationen von Endpunkten in AD für die Registrierung von Zertifikaten nutzen (erneutes Registrieren entfällt).
- Bestehende Gruppenrichtlinien nutzen – Sie können AD Gruppenrichtlinien so konfigurieren, dass festgelegt ist, welche Benutzer und Geräte welche Arten von Zertifikaten beantragen dürfen.
- Automatisierte Bereitstellung von Zertifikaten und Management von Lebenszyklen – Sobald ein Endpunkt das erste Mal online ist, wird eine Anfrage an AD geschickt, um zu prüfen welche Art von Zertifikat (genannt Template) der Endpunkt je nach Gruppenrichtlinie erhalten soll. Je nach Ergebnis der Anfrage wird automatisch eine Zertifikatsanfrage erstellt. Das Zertifikat wird zurück an den Endpunkt geschickt und installiert. Zertifikate können automatisch erneuert werden, so dass diese nicht unerwartet ablaufen und Lücken in der Sicherheit entstehen.
- Installation im Hintergrund – Wie im Punkt zuvor schon angedeutet, ist der Installationsvorgang automatisch und der Endnutzer (oder die IT) muss nicht selbst tätig werden.
Die Nachteile von Active Directory Zertifikatsdiensten (AD CS) – Das Betreiben einer eigenen CA
Aber Sie sollten nachdem Sie die Vorteile gehört haben nicht sofort ohne Abzuwägen loslegen. Wenn wir über AD CS berichten, müssen wir auch das andere wichtige Element beleuchten, das mit diesem PKI-Setup einhergeht: die interne CA (z.B. Microsoft), die die Zertifikate bereitstellt. AD CS fungiert dabei als eine Art von Kellner, der die Bestellungen von den Endpunkten annimmt, und die jeweiligen Zertifikate serviert – und was ist er nicht für ein guter Kellner! Das Problem ist eher die „Küche“ (z.B. Microsoft CA), die schwierig zu managen ist.
Wir haben in der Vergangenheit schon über die Nachteile einer internen CA gesprochen. Letztlich sind immer die gleichen Argumente relevant, wenn Sie entscheiden müssen, ob Sie etwas outsourcen oder es intern lösen. Wollen Sie Zeit, Geld und Ressourcen in die Entwicklung Ihres internen CRM stecken? Oder wollen Sie eine der vielen SaaS-Optionen nutzen, die von Experten entwickelt wurden und sofort verfügbar sind?
PKI bringt noch weitere Argumente in die Diskussion. Hier sind ein paar Beispiele:
- Hardware Kosten – Sie müssen Ihre Root und privaten Schlüssel zum Signieren auf sicherer Hardware schützen und speichern (z.B. Hard Security Module).
- Dienste zur Validierung – Sie brauchen eine Methode, um die Zertifikatsgültigkeit zu prüfen, CRLs zu updaten und zu speichern und OCSP Dienste bereitzustellen.
- Internes PKI-Wissen – PKI ist komplex und Empfehlungen ändern sich ständig. Wie stellen Sie sicher, dass Sie den Richtlinien entsprechen?
Das Beste aus beiden Welten? Eine Active Directory Integration von einer Drittanbieter-CA
Viele glauben schon seit langem und vielleicht immer noch, dass Sie nur mit AD CS und einer eigenen CA von Active Directory für PKI profitieren und die vielen Vorteile erhalten können. Aber die Zeiten haben sich geändert! Einige öffentliche CAs (so wie GlobalSign) bieten Integrationen mit AD, die Ihnen die gleichen Vorteile bei der Administration und der Automatisierung bieten, ohne dass Sie eine eigene CA intern verwalten müssen.
Mit dieser Integration können Sie bei der Zertifikatsregistrierung und -zuteilung Gebrauch von AD und den Gruppenrichtlinien machen. Jedoch werden die Zertifikatsanfragen von der öffentlichen SaaS-basierten CA versendet und beantwortet. Zertifikate werden weiterhin automatisch bereitgestellt, erneuert und im Hintergrund installiert.
Manche Unternehmen wollen komplett die Kontrolle behalten und haben die internen Ressourcen, um eine Microsoft CA zu unterhalten. Manche haben diese Ressourcen nicht, und für die Unternehmen ist es wichtig zu wissen, dass diese Art von öffentlicher CA Integration zur Verfügung stehen. Im Endeffekt ist vor allem wichtig, dass Active Directory ein sehr starkes Tool für PKI ist, egal für welchen Weg Sie sich entscheiden.
Wollen Sie mehr dazu erfahren, wie Sie Active Directory nutzen können, um PKI zu automatisieren und große Volumen umsetzen zu können? Unser Webinar gibt Ihnen einen guten Überblick – „PKI: für die vielen Aspekte von Sicherheit. Automatische Zertifikate mit Active Directory“