» Home » Signieren und Verschlüsseln » Firmen CA

Die Zertifikatsstelle in der eigenen Firma

Dieser Teilbereich widmet sich der Planung und dem Aufbau einer Zertifizierungsstelle in einem eigenen Unternehmen. Für den produktiven Einsatz sollten Sie natürlich ein Zertifikat einer offiziell bekannten und vertrauten Zertifikatsstelle installieren. Das ist aber kostenpflichtig und um die ersten Gehversuche zu machen, beschreibe ich hier die Installation einer eigenen Windows Zertifizierungsstelle.

Unterstützung durch Net at Work:
Auch wenn die Beschreibungen hier umfangreich und trotzdem "einfach" gehalten sind, so sollten Sie nicht einfach das Setup starten, sondern ausgehend von einer Analyse der Anforderungen ein Zielsystem planen und dann geordnet umsetzen. Fehler bei Zertifizierungsstellen sind schwer bis gar nicht mehr zu korrigieren und wenn die ersten privaten Keys "verloren" gegangen sind und sie nicht mehr an ihre eigenen Daten kommen., dann rächt sich, dass sie vielleicht mit einem Windows Standard Server und ohne Key Recovery Agent gearbeitet haben.
Ratsam ist immer zumindest ein Workshop und eine Planung. sprechen Sie und an.

Schon mit der Installation der CA werden Fakten geschaffen, die zwar auch wieder korrigiert werden können, aber letztlich doch die Vorgeschichte Verraten. Einige Dinge sind hingegen gar nicht so einfach wieder zu reparieren,

Wer einfach mal nur so eine CA. installiert, der verhindert z.B. nicht, das ein User sich ein „Benutzerzertifikat" holt und damit signiert und andere an ihn verschlüsselt senden. Und schon versagen in dem Fall Virenscanner, Spamschutz, Archiv. Haben Sie bedacht, wenn der User seinen Privaten Key „verliert“, z.B. wenn er einen neuen PC bekommt, der Notebook verloren geht oder das Profil gelöscht wird ? Dann kommt er an all seine verschlüsselt empfangenen Mail mehr ran, wenn Sie nicht an ein Private-Key Backup oder Key-Roaming oder Key Recovery gedacht haben. Mit einer Standard-CA können Sie aber weder Private-Key archivieren noch Zertifikate mit mehr als 1 Jahr Gültigkeit ausstellen. Reicht ihnen das als Wink zu einem "CA-Konzept" ehe sie mal schnell eine neue Rolle auf ihrem Windows Server addieren ?
Wenn Sie sich die Planung "ersparen" wollen und eine CA installieren, dann nehmen Sie bitte alle Vorlagen weg, so dass nur noch Computerzertifikate und Webserver Zertifikate ausgestellt werden.

Die folgenden Seiten führen weiter in das Thema ein

• CA Planung
  Grundlegende Informationen zur Planung einer eigenen Zertifizierungsstelle
• Private CA
  Hier stelle ich zwei Ausprägungen einer eigenen Zertifizierungsstelle vor
• CA Templates
  Informationen zur Bedeutung von Templates
• CRL
  Die "Certificate Recocation" List und ihre Bedeutung bei einer privaten Zertifizierungsstelle
• CSR
  Wenn alles fertig ist, dann darf mit einem Request auch ein Zertifikat angefordert werden.
• Checkliste CA-Setup
  Checkliste zur Planung und auch zur Dokumentation einer Installation ihrer FirmenCA
• Win2003CA installieren
  Bebilderte Anleitung zur Installation einer CA unter Windows 2003
• Win2008 CA installieren
  Bebilderte Anleitung zur Installation einer CA unter Windows 2008
• CA Monitoring
  Überwachen einer Zertifizierungsstelle und ausgestellter Zertifikate

Ich hoffe Sie haben damit ausreichend Informationen für die Installation und den Betrieb einer Firmen-CA.

Weitere Links

• Rolle der CA
  Was ist die Aufgabe einer Zertifizierungsstelle ?
• OpenSSL
  Sehr nützliches Tool zum Analysieren und Konvertieren von Zertifikaten und Testen von SSL-Verbindungen.
• Zertifikatarten
  Feinheiten von Zertifikaten und warum sie nicht immer auf eine signierte Mails verschlüsselt antworten können.
• Clientzertifikat anfordern
  Mit einem Zertifikat können Sie ihre eigenen Mails digital signieren und verschlüsselt empfangen.
• SSL-Grundlagen
• SAN-Zertifkate
• IIS Zertifikat einrichten
• Clientzertifikat anfordern
• ISA-Server und SSL
• SelfSSL
• IIS virtuelle Verzeichnisse wieder einrichten: "certutil -vroot"
• 298138 How to move a certification authority to another server
• Move Root Certificate Authority from Windows Server 2003 to Windows Server 2008
  http://www.scottfeltmann.com/index.php/2010/03/02/move-root-ca-from-w2k3-to-w2k8/
• Anhänge - Sichern von Wireless LANs mit Zertifikatsdiensten
  http://www.microsoft.com/germany/technet/datenbank/articles/900177.mspx
• CAPolicy.inf Syntax
  http://technet2.microsoft.com/WindowsServer/en/library/25127c1f-4880-4764-85e8-226ce41588881033.mspx?mfr=true
• Building an Enterprise Root Certification Authority in Small and Medium Businesses
  http://www.microsoft.com/technet/security/smallbusiness/prodtech/windowsserver2003/build_ent_root_ca.mspx
• How to re-install the default certificate templates?
  http://blogs.technet.com/pki/archive/2007/08/06/how-to-re-install-the-default-certificate-templates.aspx
• Sample Script to Configure CorporateRootCA
  http://technet.microsoft.com/de-de/library/cc779083(WS.10).aspx
• 555151 How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain
• 254632 How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
• 293819 How to Remove a Root Certificate from the Trusted Root Store
• Active Directory Certificate Services Step-by-Step Guide
  http://technet.microsoft.com/en-us/library/cc772393.aspx
• Simple Certificate Enrollment Protocol (SCEP) Add-on for Certificate Services
  http://www.microsoft.com/Downloads/details.aspx?familyid=9F306763-D036-41D8-8860-1636411B2D01&displaylang=en
• How to install a PKI based on Microsoft Certificate Services in Windows Server 2003
  http://www.windowsecurity.com/articles/Microsoft-PKI-Quick-Guide-Part3.html
• Authenticode
  Digitale Signaturen bei Code und die Bedeutung der CRL
• Windows 2008 PKI / Certificate Authority (AD CS) basics
  http://www.corelan.be:8800/index.php/2008/07/14/windows-2008-pki-certificate-authority-ad-cs-basics/
• OpenSSL
  Umfangreiches Werkzeug zum Ausstellen, Signieren, Prüfen und Konvertieren von Zertifikaten
• BSI-Grundschutz: M 2.232 Planung der Windows 2000/2003 CA-Struktur
  https://www.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/m/m02/m02232.html
• Cryptoshop - Anbieter von Smartcards
  Microsoft Certificate Authority http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/index.php
  MS - Stand-alone Certificate Authority http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/msstandaloneca.php
  Planung der MS-PKI http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/mspkiplan.php
  Verwaltung und Überwachung einer MS Enterprise CA http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/rolesaudit.php
  Autoenrollment http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/autoenrollment.php

Keywords:

Sign Crypt Zertifikate CA

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
  • Grundlagen
  • Vertrauen
  • Verschlüsseln und Signieren
  • Schlüssel
  • SMTP Sicherheit
  • SMime oder PGP
  • SSL-Grundlagen
  • Rolle der CA
  • Zertifikatarten
  • Firmen CA
    • CA Planung
    • Private CA
    • CA Templates
    • CRL
    • CSR
    • Checkliste CASetup
    • Win2003CA installieren
    • Win2008 CA installieren
    • CA Monitoring
  • Clientzertifikat/SMIME
  • AutoEnrollment
  • SANZertifkate
  • Wildcard Zert
  • OpenSSL
  • Verbindungen
  • Gateway
  • enQsig - Verschlüsseln und Signieren
  • Schlüsseltausch
  • SMIME mit Outlook
  • SMIME mit OWA2003
  • SMIME mit OWA2007
  • SMIME mit OWA2010
  • Zertifizierte Mail
  • ePost
  • De-Mail
  • Benutzerzertifikate im AD
  • Clientzertifikat Roaming
  • Rights Management Server
  • CA-Auswahl
  • Comodo EvalSSL
  • GoDaddy
  • AlphaSSL
  • StartSSL CA
  • IIS6 SSL einrichten
  • IIS7 SSL einrichten
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages