Bundesamt für Sicherheit in der Informationstechnik

M 2.232 Planung der Windows-CA-Struktur ab Windows 2000

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Windows wird ab Windows 2000 mit eigenen PKI -Komponenten ausgeliefert, die den Aufbau einer unternehmensweiten Zertifikatshierarchie ermöglichen. Zertifikate dienen dazu, Identitäten von Personen und Systemen in kryptographischen Prozessen wie der Verschlüsselung, bei der ("zertifikatsbasierten") Authentisierung oder bei der elektronischen Signatur von Daten und Anwendungen zu bestätigen. Kernstück einer PKI (Public Key Infrastruktur) ist die so genannte Zertifizierungsstelle (Certificate Authority, CA), die Zertifikate ausstellen kann. Für den Betrieb von Windows ist der Betrieb einer CA zwar generell nicht notwendig, jedoch immer dann zwingend, wenn bestimmte Eigenschaften oder Funktionen genutzt werden sollen. Dazu gehört die Anmeldung mit Chipkarten oder anderen Token sowie abgesicherte Kommunikation zwischen Windows Systemkomponenten über SSL. Windows bietet zwei Ausprägungen einer CA an:

  • Stand-alone-CA (alleinstehende Zertifizierungsstelle) und
  • Enterprise-CA (organisationsweite Zertifizierungsstelle).

Der Hauptunterschied zwischen den beiden CA-Versionen ist, dass die Enterprise-CA im Active Directory integriert ist und damit vom Active Directory als Verzeichnisdienst profitiert. Beispielsweise werden Zertifizierungsstellen im Active Directory veröffentlicht, und Zertifikate können in großem Umfang automatisch ausgestellt und verteilt werden. Bei der Stand-alone-CA wird die Zertifikatsanforderung immer vom Administrator der CA geprüft. Die Zertifikatserzeugung muss durch den Administrator von Hand angestoßen werden. Die Stand-alone-CA kann auch auf einem nicht vernetzten Rechner installiert und betrieben werden, wohingegen die Enterprise-CA sinnvoll nur auf einem vernetzten Rechner ablaufen kann. Ab Windows Server 2003 Enterprise Edition können bei der Enterprise-CA die Zertifikatsvorlagen individuell angepasst werden.

Beide CA-Versionen eignen sich für den Aufbau von Zertifikatshierarchien und können daher auch als untergeordnete CA fungieren. Für viele infrastrukturelle Zwecke eines LANs ist die Enterprise-CA besser geeignet und sollte im Normalfall bevorzugt werden. In mehrstufigen Hierarchien empfiehlt es sich, die oberste Hierarchie (Wurzel-CA) offline zu betreiben, da deren Schlüssel als "Vertrauensanker" der gesamten Hierarchie besonders schützenswert ist und die CA nur selten zum Ausstellen der Zertifikate für die Sub-CAs benötigt wird.

Insbesondere bei der Planung einer behörden- oder unternehmensweiten PKI sollte darauf geachtet werden, dass alle Einsatzszenarien und die dadurch betroffenen Applikationen bekannt sind. Um die technische Machbarkeit abschätzen zu können, empfiehlt es sich, alle Komponenten, die eingesetzt werden sollen, im Vorfeld auf ihre Interoperabilität zu überprüfen.

Eine Auflistung struktureller Planungsaspekte ist auf den BSI-Webseiten unter den Hilfsmitteln zum IT-Grundschutz zu finden (siehe Hilfsmittel für die Planung der Windows 2000/2003 CA-Struktur). Generell gilt, dass alle für den Betrieb einer CA relevanten organisatorischen, technischen und auch sicherheitstechnischen Rahmenbedingungen in einem entsprechenden Konzept dokumentiert werden müssen.

Planung des Einsatzes geeigneter Zertifizierungsstellen

Organisatorische Aspekte:

  • Die Planung einer PKI erfordert Zeit. In der Regel müssen insbesondere innerorganisatorische Zuständigkeiten geregelt und festgeschrieben werden.
  • Die CA-Hierarchie sollte sich an den geplanten und zukünftig möglichen Einsatzszenarien orientieren. Unterschiedliche Einsatzzwecke sollten durch eigene CAs abgebildet werden, die unter einer gemeinsamen offline betriebenen Wurzel-CA zusammengeführt werden können.
  • Der Verwendungszweck von Zertifikaten spielt bei der Planung der CA-Struktur eine wichtige Rolle. So bereitet der Aufbau einer generellen, organisationsweiten Zertifikatsinfrastruktur meist mehr Schwierigkeiten, als der Aufbau einer applikationsbezogenen PKI. Eine applikationsbezogene PKI kann beispielsweise eingesetzt werden, wenn im Rahmen einer netzbasierten Anwendung nur die betroffenen Mitarbeiter zuverlässig identifiziert werden müssen. Ein Beispiel hierfür ist das elektronische Einreichen und Bearbeiten von Urlaubsanträgen, wobei die Anträge nacheinander von verschiedenen Personen digital abgezeichnet, also signiert, werden müssen.
  • Für den Betrieb der CAs und den Einsatz der ausgestellten Zertifikate ist eine CA-Richtlinie zu definieren und zu dokumentieren, typischerweise in der Form sogenannter Certification Practice Statements (CPS) und Certificate Policies (CP). Für deren Gliederung ist der Internet-Standard RFC 3647 international anerkannt.
  • Für die Sperrung von Zertifikaten sind geeignete Prozesse einzuführen. Dabei sind die Aspekte Erreichbarkeit und Verfügbarkeit der Sperrstelle, Berechtigte zur Sperrung und deren zuverlässige Identifizierung sowie Dokumentation der Sperrung zu berücksichtigen.
  • Bei Verlust oder Kompromittierung von Schlüsseln und entsprechender Sperrung benötigen die Mitarbeiter ein neues Zertifikat, um ihre Tätigkeit fortzusetzen. Hierfür sind insbesondere bei der Nutzung von Chipkarten oder Token als Schlüsselträger geeignete Verfahren zu definieren, wie in ausreichend kurzer Zeit die Arbeitsfähigkeit wiederhergestellt werden kann ( z. B. durch sichere Vorhaltung und Ausgabe vorpersonalisierter Chipkarten an den einzelnen Standorten).

Technische Aspekte:

  • Es muss geplant werden, welche kryptographischen Verfahren und Algorithmen und welche Schlüssellängen zum Einsatz kommen sollen (siehe auch M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte ).
  • Das Vertrauen in Zertifikate einer CA hängt wesentlich von deren Sicherheitsgrad ab. Daher ist für CAs, die sicherheitskritische Zertifikate erzeugen, besonders auf die physikalische und softwaretechnische Sicherheit zu achten. Sicherheitskritisch sind insbesondere solche Zertifikate, die einen großen Anwenderkreis haben oder von deren Korrektheit weitere sicherheitskritische Anwendungen abhängen.
  • Für sensible Einsatzzwecke empfiehlt es sich, die privaten n Schlüssel durch die Speicherung in Kryptohardware (Chipkarten, Token) vor unbefugter Vervielfältigung und unbefugtem Zugriff zu schützen.
  • Für Zertifikate mit unterschiedlichem Sicherheitsbedarf sollten unterschiedliche CAs eingesetzt werden.
  • Beim Einsatz von Zertifikaten muss das Gültigkeitsmodell festgelegt werden ("Kettenmodell" versus "Schalenmodell"). Dabei ist festzulegen, wie Zertifikate zu behandeln sind, wenn das Zertifikat der ausstellenden CA gesperrt wird oder abläuft.
  • Für die verschiedenen Zertifikatstypen (z. B. Root-CA-Zertifikat, Benutzer-E-Mail-Zertifikat) muss jeweils die maximale Gültigkeitsdauer festgelegt werden. Bei der Prüfung von Zertifikaten nach dem Schalenmodell ist es sinnvoll, dass die Gültigkeitsdauer der Zertifikate nicht die Gültigkeitsdauer des Zertifikates der ausstellenden CA überschreitet.
  • Die Möglichkeiten und Verfahren nach Ablauf der Gültigkeit eines Zertifikates sind festzulegen. Sind zum Beispiel Verlängerungen möglich oder müssen neue Zertifikate ausgestellt werden?
  • Für die verschiedenen Einsatzzwecke sind geeignete Zertifikatsvorlagen einzurichten und anzuwenden. Dabei ist besonders auf die richtige Verwendung der Restriktionen, insbesondere der "Certificate Usage" im Zertifikat zu achten, um eine missbräuchliche Nutzung von Zertifikaten (z. B. zur Einrichtung von Sub-CAs) auszuschließen. Ab Windows Server 2008 stehen in den Zertifikatsvorlagen mehr Parameter als Vorgabe zur Verfügung, die jedoch nur genutzt werden können, wenn in derselben Hierarchie keine CAs auf älteren (Windows Server 2003) Systemen betrieben werden.
  • Die Zertifikatsdatenbank der CA sollte in die Datensicherung einbezogen werden.

Neben der Planung einer PKI spielt insbesondere die Sicherheit im laufenden Betrieb der einzelnen PKI-Komponenten eine große Rolle. Die Absicherung einer Zertifizierungsstelle muss dem Schutzbedarf der jeweiligen Anwendung genügen, in der Zertifikate verwendet werden. Empfehlungen dazu finden sich in und unter den Hilfsmitteln zum IT-Grundschutz (siehe Hilfsmittel für den Schutz der Zertifikatsdienste unter Windows Server 2003).

Versionsspezifische Planungsaspekte für eine CA ab Windows Server 2003

Verteilung von Zertifikaten:

Zertifikate können automatisch (ohne Benutzereingriff) oder manuell angefordert und ausgestellt (kurz: verteilt) werden). Die automatische Verteilung von Zertifikaten (Auto-Enrollment) basiert auf Active Directory und Gruppenrichtlinien (vergleiche M 1.1 Einhaltung einschlägiger Normen und Vorschriften ). Auto-Enrollment vereinfacht die Verwaltung von Zertifikaten von Benutzern (ab Windows Server 2003 Enterprise Edition) und Computern für bestimmte Anwendungen im Organisationsumfeld. Häufiges Beispiel ist das Verteilen von Verschlüsselungszertifikaten für das Encrypting File System (EFS) auf Clients. Das Zertifikats-Enrollment wird nur für authentisierte Clients durchgeführt und ist mit entsprechenden Sicherheitsmechanismen und Berechtigungen versehen. Die Einstellungen sind im Gruppenrichtlinienobjekt-Editor unter

Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien öffentlicher Schlüssel | Eigenschaften von Einstellungen für die automatische Registrierung

und

Benutzerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien öffentlicher Schlüssel | Eigenschaften von Einstellungen für die automatische Registrierung

zu finden. Standardmäßig fordern nur Domänencontroller automatisch ein Computerzertifikat an. Darüber hinaus rufen einige optionale Windows-Komponenten ebenfalls automatisch ein Zertifikat ab, so erhält jeder Client mit aktiviertem EFS automatisch ein EFS-Zertifikat. Auto-Enrollment sollte jedoch nur im tatsächlich benötigten Umfang eingesetzt werden, da sonst die Verwaltung erschwert wird und unter anderem auch die Gefahr des Abfangens von Schlüsseln besteht.

Es sollte auf Grundlage der geplanten Applikationen oder Windows-Komponenten überlegt werden, welche Zertifikatstypen für welche Benutzer beziehungsweise Computer zugelassen sind und auf welche Weise die Verteilung stattfindet. Entsprechend sind die Gruppenrichtlinien und die Berechtigungen in den Zertifikatsdiensten zu planen.

Archivierung von privaten Schlüsseln:

Die Archivierung von privaten Schlüsseln in der Zertifizierungsstelle (ab Windows Server 2003 Enterprise Edition) ist nicht zu empfehlen. Sie sollte nur dann aktiviert werden, wenn ein geeignetes Konzept zur Rollentrennung der PKI-Verwaltung geplant und umgesetzt wurde. Die Archivierung kann die Gefahr des Schlüsselverlusts einzelner Benutzer verringern, allerdings wird das Risiko des Missbrauchs erhöht. Die geeignete Strategie ist abhängig von den eingesetzten Anwendungen und Komponenten und sollte durch die PKI-Planung und in einer Sicherheitsrichtlinie festgelegt werden.

Rollentrennung:

Rollentrennung bedeutet, dass die Konzentration mehrerer oder aller kritischer Verwaltungsrollen im Zusammenhang mit PKI auf eine Person oder ein Benutzerkonto verhindert wird. Dazu muss zunächst die Rollentrennung auf organisatorischer Ebene definiert sein, wie im oberen Absatz beschrieben. Auf technischer Seite kann die Rollentrennung durch das System erzwungen werden (ab Windows Server 2003 Enterprise Edition). Die vier Rollen sind:

  • Zertifizierungsstellenadministrator
  • Zertifikatsverwaltung
  • Sicherungs-Operator
  • Prüfer

Details zu den Rollen sind im Hilfethema Rollenbasierte Verwaltung der integrierten Windows-Hilfe zu finden.

Ein Benutzerkonto, das vorher zwei oder mehr der genannten Rollen inne hatte, wird durch die Rollentrennung von allen Verwaltungstätigkeiten an der CA ausgeschlossen. Die Rollen müssen durch einen Administrator neu zugeteilt werden. Bei einer fehlerhaften Konfiguration der Rollentrennung ist die CA nicht mehr nutzbar. Wenn diese Funktion eingesetzt werden soll, ist hierfür zunächst ein geeignetes Berechtigungskonzept zu erstellen, welches dann in einem Testszenario erprobt werden sollte.

Prüffragen:

  • Sind die organisatorischen, technischen und sicherheitstechnischen Rahmenbedingungen für den Betrieb einer Certificate Authority (CA) unter Windows dokumentiert?

  • Entsprechen die in der Windows CA eingesetzten kryptographischen Verfahren, Algorithmen und Schlüssellängen den Anforderungen der Organisation?

  • Werden für Zertifikate mit unterschiedlichen Sicherheitsanforderungen unterschiedliche CAs eingesetzt?

  • Sind Prozesse zur Laufzeitverlängerung und/oder zur rechtzeitigen Neu-Ausstellung von Zertifikaten bei Ablauf der Gültigkeit festgelegt?

  • Entspricht die Absicherung der Zertifizierungsstelle dem Schutzbedarf der jeweiligen Anwendungen, in denen Zertifikate verwendet werden?

  • Wurde bei der Planung einer behörden- oder unternehmensweiten PKI ab Windows 2000 darauf geachtet, dass alle Einsatzszenarien und die dadurch betroffenen Applikationen bekannt sind?

  • Wird die Zertifikatsdatenbank regelmäßig gesichert?

Stand: 13. EL Stand 2013