Ausgestellte Zertifikate sperren und Sperrliste veröffentlichen

Ausgestellte Zertifikate können in der Verwaltung der Zertifizierungsstelle gesperrt werden. Ein Grund kann dazu angegeben werden um den Vorgang besser nachvollziehbar zu halten.


Um die Zertifikatssperrliste umgehend zu aktualisieren muss die Sperrliste veröffentlicht werden. Dies kann entweder inkrementell (Deltasperrliste) oder komplett (neue Sperrliste) erfolgen. In kleineren Public-Key-Infrastrukturen sollte sicherheitshalber eine neue Sperrliste erzeugt werden:

Smartcard-Zertifikate mit Zertifizierungsstelle ausstellen

Die Zertifizierungsstelle enthält auch eine Vorlage für die Ausstellung von Smartcard-Zertifikaten, die man zunächst einmal hinzufügen muss, dort sind auch Codesignatur oder Exchange-Benutzer wählbar.


Dann kann auf der lokalen Webseite des Zertifizierungsstelle das gewünschte Smartcard-Zertifikat angefordert werden:


Für die Zertifizierungsstelle kann außerdem eingestellt werden, wer alles Zertifikate zum Active Directory hinzufügen dürfen soll. An dieser Stelle kann man sich als Administrator übrigens auch selbst aussperren, dies ist nur mit einer Neuinstallation der Zertifizierungsstelle zu beheben. Daher wählen wir hier als Beispiel den Administrator als den einzigen mit dieser Autorität:

Webserverzertifikat "*.cer" in IIS installieren

In der Verwaltung des IIS muss zunächst einmal ein Zertifikat bestellt werden, nur so weiss der IIS welches Zertifikat noch aussteht! Man bekommt eine Textdatei die an die Zertifizierungsstelle geschickt wird und bekommt von dort eine "*.cer"-Datei zurück.

Dieser Vorgang entfällt bei einer Online-Zertifizierungsstelle völlig! Hier läuft der Assistent komplett durch und der Server hat sein Zertifikat. Bei diesem Ablauf ist der Dialog wie unten mit dem ausstehenden Zertifikat nicht zu sehen.

In der Verwaltung des IIS kann für die Standardwebsite nun der Port 443 für das https-Protokoll eingestellt werden, wenn dies noch nicht der Fall sein sollte. Das Zertifikat kann wie gesagt nur aus einer Datei mit einem Assistenten hinzugefügt werden, wenn es vorher auf diesem Wege bestellt wurde.


Der Assistent fragt nun nur noch das ausstehende Zertifikat für den Webserver ab. Man muss dazu nur wissen wo man es gelassen hat.

IIS-Installation (Webhosting) mit GPO verhindern für OU

Beispiel: In einem Unternehmen installiert sich die Marketing-Abteilung gerne mal einen Webserver zu Präsentationszwecken. Das dies aber ein Sicherheitsrisiko darstellt soll es mit einer schon für die "Marketing_OU" erstellten "Marketing_GPO" verhindert werden.

Im GPMC wird die Marketing_GPO mit der Marketing_OU verknüpft:


In der Marketing_GPO wird nun die Installation des IIS (Internet-Information-Server für das Webhosting) in den Administrativen Vorlagen der Windows-Software verboten:

Unterschiede von AH und ESP bei IPSec

IPSec wird in RFC 2401 definiert und ist der einzig brauchbare Ansatz in der Praxis IP-Daten auf ISO Ebene 3 zu verschlüsseln. Das heisst, es werden direkt die Datenpakete verschlüsselt und signiert, man kann also eine gesicherte Kommunikation zwischen zwei Punkten herstellen. Dabei wird sichergestellt dass die Daten erstens authentisch sind zweitens unverändert übertragen wurden und drittens nicht während der Übertragung eingesehen werden konnten.

Der Authentication Header (AH) ist eine Art Prüfsumme (Hashcode) über ein Datenpaket und alle Felder des Headers, die nicht von einem Router geändert werden. Man kann damit den richtigen Absender des Pakets sicherstellen. Damit wird aber keine Verschlüsselung der Daten durchgeführt. Ein Problem sind jedoch NAT-Router, da sie die Adressen der Datenpakete ändern müssen um zu funktionieren.

Encapsulating Security Payload (ESP) sorgt für die Verschlüsselung mit Triple-DES-Sitzungsschlüssel. Die zusätzliche SHA1- oder MD5-Signierung ist nur eine Option, bezieht sich aber nur auf den Inhalt des Datenpakets. Damit kann ESP auch zusammen mit NAT-Routern funktionieren. Allerdings ist damit allein nicht mehr die Authenzität des Absenders sicherzustellen.

AH und ESP schließen sich nicht aus, können also zusammen verwendet werden, allerdings wird damit ein leichter Overhead erzeugt.
3desah esp

3DES erfordert höheren Rechenaufwand als DES, es bearbeitet jeden Block drei Mal und verwendet dabei jedes Mal einen einmaligen 56-Bit-Schlüssel. MD5 (Message Digest 5) basiert auf RFC 1321 und berechnet einem 128-Bit-Hash, der für die Integritätsprüfung verwendet wird. SHA1 (Secure Hash Algorithm 1) wurde eng an MD5 angelehnt und führt zu einem 160-Bit-Hash, durch die längere Prüfsumme ist dieser Algorithmus sicherer, aber aufwändiger.

Quellen:
http://de.wikipedia.org/wiki/IPsec
Netzwerke mit IPSec schützen
tweetbackcheck