Autoenrollment: die Vorteile einer Microsoft CA in der Windows-PKI

19. Januar 2021

Eine Public Key Infrastructure (PKI) stellt die grundlegenden Mechanismen bereit, die den Einsatz kryptografiebasierter Instrumente in großen Organisationen ermöglichen. In einer Microsoft-Umgebung ist der Aufbau einer Windows-PKI mit einer vollautomatisierten Zertifikatsverwaltung möglich. Das Ausstellen von Zertifikaten wird im Rahmen einer Certification Authority (CA) zum Beispiel beim Benutzerlogin angestoßen. Die Zertifikate können automatisch in das Active Directory (AD) publiziert werden, über Zertifikatsvorlagen können Schlüsselverwendungen und andere Erweiterungen definiert werden. Die Funktionen sind auf die Ausstellung durch eine interne Microsoft CA begrenzt.

Grenzen einer reinen Windows-PKI

Die Anwendungsgebiete der damit bereits gestellten Dienste sind daher naturgemäß auf den rein internen Bereich begrenzt (etwa WIFI-Verschlüsselung, VPN-Dienste, …). Der Einsatz vertrauenswürdiger Signaturen für E-Mails und Dokumente ist, wie auch die Verschlüsselung, in vielen Branchen bereits de-facto-Standard, in zahlreichen Fällen sogar gesetzlich vorgegeben. Die Nutzung der Dienste nach außen stößt hier insofern an ihre Grenzen, als Teilnehmer außerhalb der Windows-PKI dem Ausstellerzertifikat nicht automatisch vertrauen. Verschlüsselung ist so nicht ohne weiteres möglich, Empfänger signierter Nachrichten erhalten Fehlermeldungen.

Windows-PKI mit öffentlicher Zertifizierungsstelle

In Summe entsteht unnötiger Supportaufwand, der leicht vermeidbar wäre. Sobald der Austausch signierter oder verschlüsselter Informationen mit externen Partnern stattfinden soll, werden Zertifikate von einer öffentlich vertrauten CA – wie GLOBALTRUST – benötigt. Deren Stammzertifikat ist beim Empfänger in dessen Anwendung bereits vorinstalliert. Grundlage dafür sind besondere Audit- und Zulassungsverfahren, denen sich öffentliche CAs mit enormem Ressourcen- und Zeitaufwand unterziehen.

Grenzen einer öffentlichen Zertifizierungsstelle in der Windows-PKI

Zertifikate von öffentlichen CAs anzufordern erfordert aber auch Zertifikatsverwaltung und damit einen nicht zu unterschätzenden organisatorischen Aufwand – personell wie auch finanziell. Fehler bei der Verwaltung von Schlüsseln und Zertifikaten können massive Risiken darstellen und gravierende Schäden anrichten. Ein abgelaufenes Zertifikat könnte beispielsweise die Bankautomaten einer ganzen Bankenkette lahmlegen. Beantragen, installieren, austauschen, widerrufen: Was bei der Verwendung im zweistelligen Bereich keine Herausforderung darstellt, wird bei tausenden Mitarbeitern und Geräten schnell zur Überforderung und resultiert in abgelaufenen Zertifikaten, falsch hinterlegten Schlüsseln oder noch gültigen Zertifikaten von längst ausgeschiedenen Mitarbeitern. Am Markt kursierende Monitoring-Tools sind dieser Aufgabe in der Regel nur unzureichend gewachsen.

Vollautomatische Zertifikatsverwaltung: Windows-PKI mit einer non Microsoft-CA

Genau hier setzt das Produkt von Secardeo und GLOBALTRUST an. Die Lösung richtet sich an mittlere und große Organisationen. Inhaber eines GLOBALTRUST COMPANY Zertifikats lassen sich mithilfe des Secardeo certEP über eine Schnittstelle an unsere Zertifikatsausstellung anbinden. Der certEP übernimmt vollautomatisch die Zertifikatsverwaltung während des gesamten Lebenszyklus. Die privaten Schlüssel werden beim Nutzer erzeugt und nie an GLOBALTRUST offengelegt. Der certEP stellt lediglich eine Zertifikatsanforderung. So beantragt er Zertifikate für Personen, Dienste und Geräte, befördert Schlüsselmaterial zum Ziel und sorgt für eine rechtzeitige Erneuerung. Alle Funktion einer reinen Windows-PKI sind uneingeschränkt verfügbar (Zertifikatsvorlagen, Enrollment Agents, Rollentrennung, Key Recovery, …)

Eigenschaften der Zertifikate

Die Zertifikate sind als S/MIME-Zertifikate anzusehen. Sie können für E-Mail-Signatur, Verschlüsselung, Client-Authentifizierung, VPN, Verschlüsselung und digitale Signatur von Dateisystemen und Dokumenten verwendet werden.

Die Zertifikate sind unter den Voraussetzungen der eIDAS-VO geeignet, fortgeschrittene Signaturen zu produzieren.

Die Lösung ist als technisch ausgereift zu bezeichnen. Sie ermöglicht eine nahtlose Nutzung aller PKI-relevanten Sicherheitsmechanismen, kombiniert mit dem Vertrauensstatus einer öffentlichen CA. Im Vergleich zum Aufbau einer eigenen Lösung stellt das Produkt eine bewährte, hochsichere und kostengünstige Alternative dar.

 

Interessieren Sie sich für dieses Service? Dann vereinbaren Sie bitte einen Gesprächstermin mit unseren Spezialisten.

 

GLOBALTRUST COMPANY Produktinformation
Bestellung GLOBALTRUST Company
GLOBALTRUST® COMPANY – unternehmenseigene Zertifikatverwaltung – Managed PKI/
GLOBALTRUST holt mit Secardeo namhaften Experten für Windows-PKI ins Boot

Unser Partner Secardeo