» Home » Signieren und Verschlüsseln » Firmen CA

Die Zertifikatsstelle in der eigenen Firma

Dieser Teilbereich widmet sich der Planung und dem Aufbau einer Zertifizierungsstelle in einem eigenen Unternehmen. Für den produktiven Einsatz sollten Sie natürlich ein Zertifikat einer offiziell bekannten und vertrauten Zertifikatsstelle installieren. Das ist aber kostenpflichtig und um die ersten Gehversuche zu machen, beschreibe ich hier die Installation einer eigenen Windows Zertifizierungsstelle.

Unterstützung durch Net at Work:
Auch wenn die Beschreibungen hier umfangreich und trotzdem "einfach" gehalten sind, so sollten Sie nicht einfach das Setup starten, sondern ausgehend von einer Analyse der Anforderungen ein Zielsystem planen und dann geordnet umsetzen. Fehler bei Zertifizierungsstellen sind schwer bis gar nicht mehr zu korrigieren und wenn die ersten privaten Keys "verloren" gegangen sind und sie nicht mehr an ihre eigenen Daten kommen., dann rächt sich, dass sie vielleicht mit einem Windows Standard Server und ohne Key Recovery Agent gearbeitet haben.
Ratsam ist immer zumindest ein Workshop und eine Planung. sprechen Sie und an.

Schon mit der Installation der CA werden Fakten geschaffen, die zwar auch wieder korrigiert werden können, aber letztlich doch die Vorgeschichte Verraten. Einige Dinge sind hingegen gar nicht so einfach wieder zu reparieren, z.B.: wenn ein Anwender sich das Zertifikat eines Anwenders aus dem Active Directory bezogen und eine Mail verschlüsselt hat. Im schlimmsten Fall kann niemand die Mail mehr lesen, da der Empfänger den Private Key zum Zertifikat nicht mehr hat und beim Installieren der CA vergessen wurde, die privaten Schlüssel zu sichern.

Die folgenden Seiten führen weiter in das Thema ein

• CA Planung
  Grundlegende Informationen zur Planung einer eigenen Zertifizierungsstelle
• Private CA
  Hier stelle ich zwei Ausprägungen einer eigenen Zertifizierungsstelle vor
• CA Templates
  Informationen zur Bedeutung von Templates
• CRL
  Die "Certificate Recocation" List und ihre Bedeutung bei einer privaten Zertifizierungsstelle
• CSR
  Wenn alles fertig ist, dann darf mit einem Request auch ein Zertifikat angefordert werden.
• Checkliste CA-Setup
  Checkliste zur Planung und auch zur Dokumentation einer Installation ihrer FirmenCA
• Win2003CA installieren
  Bebilderte Anleitung zur Installation einer CA unter Windows 2003
• Win2008 CA installieren
  Bebilderte Anleitung zur Installation einer CA unter Windows 2008

Ich hoffe Sie haben damit ausreichend Informationen für die Installation und den Betrieb einer Firmen-CA.

Weitere Links

• Rolle der CA
  Was ist die Aufgabe einer Zertifizierungsstelle ?
• OpenSSL
  Sehr nützliches Tool zum Analysieren und Konvertieren von Zertifikaten und Testen von SSL-Verbindungen.
• Zertifikatarten
  Feinheiten von Zertifikaten und warum sie nicht immer auf eine signierte Mails verschlüsselt antworten können.
• Clientzertifikat anfordern
  Mit einem Zertifikat können Sie ihre eigenen Mails digital signieren und verschlüsselt empfangen.
• SSL-Grundlagen
• SAN-Zertifkate
• IIS Zertifikat einrichten
• Clientzertifikat anfordern
• ISA-Server und SSL
• SelfSSL
• IIS virtuelle Verzeichnisse wieder einrichten: "certutil -vroot"
• Anhänge - Sichern von Wireless LANs mit Zertifikatsdiensten
  http://www.microsoft.com/germany/technet/datenbank/articles/900177.mspx
• CAPolicy.inf Syntax
  http://technet2.microsoft.com/WindowsServer/en/library/25127c1f-4880-4764-85e8-226ce41588881033.mspx?mfr=true
• Building an Enterprise Root Certification Authority in Small and Medium Businesses
  http://www.microsoft.com/technet/security/smallbusiness/prodtech/windowsserver2003/build_ent_root_ca.mspx
• How to re-install the default certificate templates?
  http://blogs.technet.com/pki/archive/2007/08/06/how-to-re-install-the-default-certificate-templates.aspx
• Sample Script to Configure CorporateRootCA
  http://technet.microsoft.com/de-de/library/cc779083(WS.10).aspx
• 555151 How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain
• 254632 How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
• 293819 How to Remove a Root Certificate from the Trusted Root Store
• Active Directory Certificate Services Step-by-Step Guide
  http://technet.microsoft.com/en-us/library/cc772393.aspx
• Simple Certificate Enrollment Protocol (SCEP) Add-on for Certificate Services
  http://www.microsoft.com/Downloads/details.aspx?familyid=9F306763-D036-41D8-8860-1636411B2D01&displaylang=en
• How to install a PKI based on Microsoft Certificate Services in Windows Server 2003
  http://www.windowsecurity.com/articles/Microsoft-PKI-Quick-Guide-Part3.html
• Authenticode
  Digitale Signaturen bei Code und die Bedeutung der CRL
• Windows 2008 PKI / Certificate Authority (AD CS) basics
  http://www.corelan.be:8800/index.php/2008/07/14/windows-2008-pki-certificate-authority-ad-cs-basics/
• OpenSSL
  Umfangreiches Werkzeug zum Ausstellen, Signieren, Prüfen und Konvertieren von Zertifikaten
• BSI-Grundschutz: M 2.232 Planung der Windows 2000/2003 CA-Struktur
  https://www.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/m/m02/m02232.html
• Cryptoshop - Anbieter von Smartcards
  Microsoft Certificate Authority http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/index.php
  MS - Stand-alone Certificate Authority http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/msstandaloneca.php
  Planung der MS-PKI http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/mspkiplan.php
  Verwaltung und Überwachung einer MS Enterprise CA http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/rolesaudit.php
  Autoenrollment http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/autoenrollment.php

Keywords:

Sign Crypt Zertifikate CA

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
  • Grundlagen
  • Vertrauen
  • Verschlüsseln und Signieren
  • Schlüssel
  • SMTP Sicherheit
  • SMime oder PGP
  • Rolle der CA
  • Zertifikatarten
  • Firmen CA
    • CA Planung
    • Private CA
    • CA Templates
    • CRL
    • CSR
    • Checkliste CASetup
    • Win2003CA installieren
    • Win2008 CA installieren
  • Clientzertifikat/SMIME
  • OpenSSL
  • Verbindungen
  • Gateway
  • enQsig - Verschlüsseln und Signieren
  • Schlüsseltausch
  • SMIME mit Outlook
  • SMIME mit OWA2003
  • SMIME mit OWA2007
  • SMIME mit OWA2010
  • Benutzerzertifikate im AD
  • Rights Management Server
  • SSL-Grundlagen
  • Comodo EvalSSL
  • GoDaddy
  • StartSSL CA
  • IIS6 SSL einrichten
  • IIS7 SSL einrichten
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages