1 Public Key Infrastructure und Certificate Authority

13

1.1 Was ist ein Zertifikat?

14

1.1.1 Symmetrische und asymmetrische Kryptografie

15

1.1.2 Verschlüsselung und Signatur

17

1.1.3 Eigenschaften eines Webserver-Zertifikats

21

1.1.4 Zertifikate in Windows-Systemen

28

1.1.5 Die Gültigkeit von Zertifikaten prüfen

35

1.1.6 Häufige Fehlermeldungen bei der Verwendung von Zertifikaten

45

1.2 Zertifizierungsstellen

54

1.2.1 Aufgaben einer Zertifizierungsstelle

54

1.2.2 Zertifizierungsstellen-Hierarchie

55

1.2.3 Kommerzielle und private Zertifizierungsstellen

58

1.2.4 Alleinstehende Zertifizierungsstellen und Unternehmenszertifizierungsstellen

59

1.3 Aufbau einer Infrastruktur für öffentliche Schlüssel

59

1.4 Protokolle und Algorithmen

61

1.4.1 Symmetrische Protokolle

61

1.4.2 Asymmetrische Verfahren

61

1.4.3 Dateiformate rund um Zertifikate

62

2 Aufbau einer Windows CA-Infrastruktur

69

2.1 Notwendige Parameter und Rahmenbedingungen für eine CA-Installation

70

2.2 Installationsvoraussetzungen für eine CA

78

2.3 Installation der AD CS-Rolle

85

2.3.1 Installation der Rolle mithilfe der PowerShell

93

2.3.2 Remoteserver-Verwaltungstools

97

2.3.3 CAPolicy.inf

100

2.4 Konfiguration einer einfachen CA-Infrastruktur

102

2.4.1 Konfiguration der Zertifizierungsstelle

104

2.4.2 Konfiguration der Zertifizierungsstelle mithilfe der PowerShell

114

2.4.3 Schnelle Überprüfung der Konfiguration und Anpassen der Konfiguration

115

2.5 Installation einer mehrstufigen CA-Infrastruktur

126

2.5.1 Installation der Offline-Stammzertifizierungsstelle

127

2.5.2 Die Umgebung für die Speicherung der Sperrlisten und der CA-Zertifikate vorbereiten

150

2.5.3 Installation der untergeordneten Unternehmenszertifizierungsstelle

161

2.6 Die Funktionsweise der installierten Umgebung prüfen

186

2.7 Installation einer Zertifizierungsstelle auf einem Windows Server Core

190

2.8 Installation der zusätzlichen AD CS-Rollendienste

196

2.8.1 Installation und Konfiguration der Webregistrierung

196

2.8.2 Installation und Konfiguration des Zertifikatregistrierungsrichtlinien-Webdiensts (CEP) und des Zertifikatregistrierungs-Webdiensts (CES)

203

2.8.3 Installation und Konfiguration eines Online-Responders

210

2.8.4 Installation und Konfiguration des NDES

220

2.9 Hohe Verfügbarkeit

224

2.9.1 Zertifizierungsstelle

225

2.9.2 Online-Responder

232

2.9.3 Registrierungsdienst für Netzwerkgeräte

232

2.9.4 Zertifikatregistrierungs-Webdienst und Zertifikatrichtlinien-Webdienst (CEP/CES)

233

2.9.5 Zertifizierungsstellen-Webregistrierung

233

2.10 PowerShell-Skripte für die Installation

233

2.10.1 Einstufige Umgebung

235

2.10.2 Mehrstufige Umgebung

236

3 Anpassung der Zertifizierungsstelle und Verteilen von Zertifikaten

243

3.1 Konfiguration einer Zertifizierungsstelle

243

3.1.1 Konfiguration der CA-Eigenschaften

243

3.1.2 Konfigurationen in der CA-Konsole

262

3.1.3 Konfiguration der Schlüsselarchivierung

272

3.2 Zertifikatvorlagen verwalten

285

3.3 Zertifikate an Clients verteilen

304

3.3.1 Autoenrollment über Gruppenrichtlinie

304

3.3.2 Manuelles Registrieren mithilfe der Zertifikate-Verwaltungskonsole

308

3.3.3 Zertifikate mit der Kommandozeile registrieren

320

3.3.4 Einen Registrierungsagenten verwenden

321

4 Eine Windows CA-Infrastruktur verwenden

329

4.1 Zertifikate für Webserver

329

4.1.1 Wie funktioniert SSL?

330

4.1.2 Die Zertifizierungsstelle vorbereiten

338

4.1.3 Anfordern und Ausrollen eines Webserver-Zertifikats

343

4.2 Clientzertifikate zur Authentifizierung an einem Webserver

364

4.3 Zertifikate für Domänencontroller

371

4.3.1 Domänencontroller

371

4.3.2 Domänencontrollerauthentifizierung

372

4.3.3 Kerberos-Authentifizierung

373

4.3.4 LDAP over SSL

375

4.3.5 Verzeichnis-E-Mail-Replikation

382

4.4 Verwendung von EFS

385

4.4.1 EFS konfigurieren

385

4.4.2 Zusammenfassung und Fakten zum Einsatz von EFS

397

4.5 BitLocker und die Netzwerkentsperrung

398

4.5.1 BitLocker für Betriebssystemlaufwerke

399

4.5.2 BitLocker für zusätzliche Festplattenlaufwerke

411

4.5.3 BitLocker To Go für Wechseldatenträger

413

4.5.4 Zertifikate und BitLocker

419

4.5.5 BitLocker Netzwerkentsperrung

432

4.5.6 BitLocker verwalten

441

4.6 Smartcard-Zertifikate verwenden

447

4.6.1 Physische Smartcards

447

4.6.2 Virtuelle Smartcards

462

4.7 Den WLAN-Zugriff mit Zertifikaten absichern

469

4.7.1 Netzwerkrichtlinienserver

470

4.7.2 WLAN-Authentifizierung mit Protected-EAP

477

4.7.3 WLAN mit Clientzertifikaten

487

4.8 Verwendung von 802.1x für LAN-Verbindungen

494

4.9 Den VPN-Zugang mit Zertifikaten absichern

500

4.10 Zertifikate zur Absicherung von Netzwerkkommunikation mit IPSec verwenden

516

4.11 Zertifikate für Exchange verwenden

530

4.12 S/MIME verwenden

538

4.13 Die Codesignatur verwenden

559

4.13.1 Signatur von PowerShell-Skripten

562

4.13.2 Signatur von Makros

567

4.13.3 Signatur von ausführbaren Dateien

569

4.14 Zertifikate bei den Remotedesktop-Diensten verwenden

571

4.14.1 Konfiguration von Remotedesktop (Admin-Modus)

571

4.14.2 Konfiguration der RemoteDesktopdienste (Terminalserver-Modus)

578

4.14.3 Zertifikate für RemoteApps

585

5 Betrieb einer Windows CA-Infrastruktur

589

5.1 Überwachung der Zertifizierungsstelle

589

5.2 Ein CA-Zertifikat erneuern

589

5.3 Sicherung und Wiederherstellung

594

5.3.1 Backup und Restore einer CA

595

5.3.2 Notfallsignatur einer Sperrliste

600

5.4 Eine Zertifizierungsstelle migrieren

602

5.5 Eine Zertifizierungsstelle entfernen

603

5.6 Die Zertifizierungsstelle überwachen

606

5.7 Wartungsaufgaben an der Datenbank

607

5.8 Sonstiges

609

5.8.1 Zertifikate im Zertifikatspeicher finden, die bald ablaufen

609

5.8.2 Skript zum Löschen von Zertifikaten aus der CA-Datenbank

609

5.8.3 Skript zur Warnung vor ablaufenden Zertifikaten in der CA-Datenbank

610

5.8.4 Sperren von verwaisten (orphaned) Zertifikaten

610

5.8.5 PowerShell-Modul mit zusätzlichen Optionen für die Zertifizierungsstelle

610