Falls Sie sich grundsätzlich für Verschlüsselung, PKI und Zertifikatsgültigkeitsprüfung interessieren sei Ihnen diese Einleitungsseite zum Thema empfohlen.
Zertifikatsverteilung für verschiedene Szenarien
Da wir sehr oft von den Kunden gefragt werden, wie man Zertifikate auf verschiedene Geräte und Betriebssysteme verteilen kann, nutze ich die Gelegenheit, das hier kurz zu erklären.
Wenn es um eine interne Microsoft Umgebung geht, wo alle Server und Clients Mitglieder der Domain sind, kann dies einfach durch Gruppenrichtlinien gesteuert und verwaltet werden.
Eine Herausforderung entsteht dann, wenn wir ein Zertifikat auf ein Gerät außerhalb unserer Umgebung verteilen müssen, oder auf ein internes Gerät, welches für sich selbst kein Zertifikat anfordern kann.
Es gibt mehrere Möglichkeiten für die verschiedene Szenarien, die mehr oder wenig aufwendig sind und jeweils Vor- und Nachteile haben, wie z.B:
- Manuelle Verteilung
- Skript
- SCEP
- MDM+SCEP
Manuelle Verteilung von Zertifikaten
kann man manchmal nicht vermeiden und sollte nur als letzte Möglichkeit genutzt werden. Hier kann man eine Anforderung und den privaten Schlüssel lokal auf dem Gerät selbst oder einem anderen Gerät generieren und das Zertifikat auf der CA (Zertifizierungsstelle) erstellen. Hier muss man aufpassen, in welchem Format das Zertifikat generiert werden sollte, ob der private und der öffentliche Schlüssel getrennt werden müssen und wie wird der private Schlüssel gesichert.
Zertifikatsverteilung mittels Skript
ist eine halbautomatische Lösung und kann gut funktionieren - wenn es um identische Geräte geht. Aber, da das Skript manuell ausgeführt werden muss, und wir uns (zumindest auf dem Gerät) authentifizieren müssen, so dass zwangsläufig ein privater Schlüssel gesichert sein muss, stellt sich die Frage nach der Sicherheit der Methode. Dazu kommen dass es recht komplex werden kann, wenn wir verschiedene Geräte (z.B Drucker, Switche, Router, Firewalls, Thin Clients, usw.) in der Umgebung haben.
Zertifikatsverteilung via SCEP (Simple Certificate Enrollment Protocol)
macht die Anforderung und Ausstellung von Zertifikaten in internen Netzwerken deutlich einfacher. Das bedeutet, dass sich das Gerät selbst das benötigte Zertifikat holt (was nur möglich ist, wenn das Gerät oder Betriebssystem dieses Protokoll unterstützt).
Obwohl der Name dieser Lösung ein "Simple" enthält, gibt es hier leider einige Einschränkungen, die zu berücksichtigen sind:
- Nicht alle Zertifikatklassen können verteilt werden
- Der Einsatz eines Einmalkennworts
- Notwendigkeit vertrauenswürdiger Administrator'innen
MDM (Mobile Device Management) und SCEP
Ein MDM ist (wie der Name bezeichnet) für mobile Geräte geeignet. Ein MDM ermöglicht, dass ein vertrauenswürdiges Zertifikatsprofil auf Geräten erstellt wird, welches die Zertifikate der Stammzertifizierungsstelle auf den Geräten vertrauenswürdig macht. Danach können die Geräte und Benutzer'innen die benötigten Zertifikate durch den SCEP von der internen PKI (Public Key Infrastructure) anfordern.
Da jedes Zertifikat eine Gültigkeitsdauer hat, stellt sich nun noch die Frage, wie dies überprüft werden kann, wenn es um Zertifikate geht, die manuell oder durch Skript erstellt werden. Das kann man lokal auf der Stammzertifizierungsstelle, lokal auf dem Gerät oder durch eine Überwachungslösung zentralisiert überwachen und kurz vor Ablauf des Zertifikats eine Warnung erstellen.
