Danksagungen XIX


Einführung XXI

Über das Buch XXI
Die Begleit-CD XXII
Technischer Support XXII
Support des Resource Kits XXIII


Teil l

PKI-Grundlagen 1

1 Grundlagen der Kryptografie 3
Verschlüsselungsarten 3
Algorithmen und Schlüssel 4
Datenverschlüsselung 5
Symmetrische Verschlüsselung 5
Asymmetrische Verschlüsselung 6
Kombination von symmetrischer und asymmetrischer Verschlüsselung 9
Digitale Signatur von Daten 11
Der Hashvorgang 11
Hashalgorithmen 11
Kombination von asymmetrischer Signatur und Hashalgorithmen 11
Fallstudie: Microsoft-Anwendungen und ihre Verschlüsselungsalgorithmen 13
Öffnen des EFS-Whitepapers 13
Fragen zur Fallstudie 13
Weitere Informationen 14

2 Einführung in PKI 15
Zertifikate 15
X 509 Version 1 16
X 509 Version 2 17
X 509 Version 3 19
Zertifizierungsstellen 23
Stammzertifizierungsstelle 25
Zwischenzertifizierungsstelle 25
Richtlinienzertifizierungsstelle 26
Ausstellende Zertifizierungsstelle 27
Zertifikatsperrlisten 27
Sperrlistenarten 27
Gründe für die Sperrung 28
Fallstudie: Untersuchung eines X 509-Zertifikats 29
Öffnen der Zertifikatdatei 29
Fragen zur Fallstudie 29
Weitere Informationen 29

3 Richtlinien und PKI 31
Sicherheitsrichtlinie 32
Definition effektiver Sicherheitsrichtlinien 33
Unterlagen für die Entwicklung von Sicherheitsrichtlinien 33
Definition von PKI-bezogenen Sicherheitsrichtlinien 34
Zertifikatrichtlinie 35
Inhalt einer Zertifikatrichtlinie 35
Zertifikatrichtlinienbeispiel 36
Zertifikatverwendungserklärung (CPS) 37
CPS: Einführung 39
CPS: Allgemeine Bestimmungen 39
CPS: Identifikation und Authentifizierung 39
CPS: Anforderungen an die Betriebsabläufe 40
CPS: Sicherheitskontrollen 41
CPS: Kontrolle der technischen Sicherheit 41
CPS: Zertifikate und Zertifikatsperrlistenprofile 42
CPS: Verwaltung der Spezifikationen 42
Fallstudie: Entwurf der Richtliniendokumente 42
Anforderungen an den Entwurf 42
Fragen zur Fallstudie 43
Weitere Informationen 43


Teil II

Einrichtung einer PKI 45

4 Vorbereitung einer Active Directory-Umgebung 47
Vorbereitung einer Windows 2000-Active Directory-Umgebung 47
Änderungen an Microsoft Exchange 48
Erweiterung des Schemas 52
Änderung der Mitgliedschaft in Zertifikatherausgeber 54
Vorbereitung einer Windows Server 2003-Active Directory-Umgebung 56
Vorbereitung von Nicht-Active Directory-Umgebungen 57
Fallstudie: Vorbereitung von Active Directory 57
Netzwerk-Details 58
Fragen zur Fallstudie 58
Weitere Informationen 59

5 Entwerfen einer Zertifizierungsstellenhierarchie 61
Bestimmung der Anzahl von Schichten in einer Zertifizierungsstellenhierarchie 61
Eine einschichtige Zertifizierungsstellenhierarchie 62
Eine zweischichtige Zertifizierungsstellenhierarchie 62
Eine dreischichtige Zertifizierungsstellenhierarchie 63
Eine vierschichtige Zertifizierungsstellenhierarchie 64
Organisation ausstellender Zertifizierungsstellen 65
Auswahl einer Architektur 67
Sammlung der erforderlichen Informationen 68
Identifikation PKI-fähiger Anwendungen 68
Bestimmung der Anforderungen an die Sicherheit 70
Bestimmung der technischen Anforderungen 71
Ermittlung der betrieblichen Anforderungen 77
Bestimmung externer Anforderungen 77
Fallstudie: Ermitteln der Anforderungen 79
Fragen zur Fallstudie 80
Weitere Informationen 81

6 Implementierung einer Zertifizierungsstellenhierarchie 83
Vorbereitung der Konfigurationsskripts für die Installation 85
Die Datei CAPolicy.inf 85
Vorinstallationsskripts 93
Nachinstallationsskripts 96
Einrichtung einer Unternehmens-Stammzertifizierungsstelle 103
Erstellung einer CAPolicy m/-Datei 103
Installation der Internetinformationsdienste 104
Installation der Zertifikatdienste 105
Nachinstallationskonfiguration 106
Aktivierung der Überwachung 106
Einrichtung einer eigenständigen Stammzertifizierungsstelle 107
Erstellung einer CAPolicy inf-Datei 108
Installation der Zertifikatdienste 108
Nachinstallationskonfiguration 110
Überwachung des Objektzugriffs 111
Einrichtung einer Offline-Richtlinienzertifizierungsstelle 111
Vorinstallationskonfiguration 112
Erstellung einer CAPolicy inf-Datei 112
Installation der Zertifikatdienste 113
Nachinstallationskonfiguration 116
Überwachung des Objektzugriffs 117
Einrichtung einer ausstellenden Online-Zertifizierungsstelle 117
Vorinstallationskonfiguration 117
Erstellung einer CAPolicy m/-Datei 119
Installation der IIS 120
Installation der Zertifikatdienste 120
Nachinstallationskonfiguration 123
Überwachung des Objektzugriffs 125
Überprüfung der Installation 125
Fallstudie: Einrichten einer PKI 126
Fragen zur Fallstudie 127
Weitere Informationen 128

7 Sicherung einer Zertifizierungsstellenhierarchie 129
Sicherheitsmaßnahmen in der Konfiguration der Zertifizierungsstellen 129
Sicherung der Geräte 132
Sicherung des privaten Schlüssels der Zertifizierungsstelle 134
Speicherung privater Schlüssel im lokalen Speicher 134
Speicherung privater Schlüssel auf Smartcards 135
Speicherung privater Schlüssel auf Hardware-Sicherheitsmodulen 135
Hardware-Sicherheitsmodule 136
Hardware-Sicherheitsmodulkategorien 136
Hersteller von Hardware-Sicherheitsmodulen 138
Einsatzweise der Hardware-Sicherheitsmodule 141
Fallstudie: Planen einer HSM-Installation 145
Szenario 145
Fragen zur Fallstudie 147
Weitere Informationen 147

8 Entwurf von Zertifikatvorlagen 149
Zertifikatvorlagenversionen 149
Version 1-Zertifikatvorlagen 150
Version 2-Zertifikatvorlagen 151
Registrierung von Zertifikaten, die mit Zertifikatvorlagen ausgestellt werden 152
Änderung von Zertifikatvorlagen 152
Änderung der Berechtigungen für Version 1-Zertifikatvorlagen 153
Bearbeitung von Version 2-Zertifikatvorlagen 153
Empfehlungen für den Entwurf von Zertifikatvorlagen 162
Fallstudie: Entwerfen von Zertifikatvorlagen 163
Anforderungen 163
Fragen zur Fallstudie 163
Weitere Informationen 164

9 Überprüfung von Zertifikaten 167
Der Ablauf der Überprüfung 167
Gültigkeitsprüfungen 168
Zertifikatsperrung 169
Sperrlistenarten 169
Beschaffung einer Sperrliste 170
Gründe für eine Zertifikatsperrung 170
Sperrung eines Zertifikats 171
Aufstellung von Zertifikatketten 172
Genaue Übereinstimmung 172
Übereinstimmende Schlüssel 173
Übereinstimmende Namen 175
Veröffentlichung der PKI-Objekte 175
Wahl der Veröffentlichungsprotokolle 175
Wahl der Veröffentlichungspunkte 176
Festlegung der Veröffentlichungsintervalle 178
Problembehebung bei Veröffentlichungspunkten 179
Certutil 180
PKI Health Tool 180
Fallstudie: Wahl der Veröffentlichungspunkte 182
Anforderungen an den Entwurf 182
Fragen zur Fallstudie 183
Weitere Informationen 183

10 Rollentrennung 185
Standardrollen 185
Standardrollen und Sicherheitsstufen 186
Die Windows Server 2003-Implementierung der Standardrollen 188
Zuweisung von Standardrollen 191
Beschränkung der Aufgaben eines Zertifikatmanagers 193
Durchsetzung der Rollentrennung 194
Andere PKI-Managementrollen 196
Lokaler Administrator 196
Organisations-Admins 197
Zertifikatvorlagenmanager 198
Registrierungs-Agent 201
Schlüsselwiederherstellungs-Agent 202
Fallstudie: Planen der PKI-Managementrollen 203
Szenario 203
Fragen zur Fallstudie 203
Weitere Informationen 205

11 Planung und Implementierung der Notfall-Wiederherstellung 207
Entwicklung der erforderlichen Dokumentation 208
Auswahl einer Sicherungsmethode 209
Systemstatussicherungen 210
Manuelle Sicherungen 210
Durchführung von Systemstatussicherungen 211
Durchführung manueller Sicherungen 212
Manuelle Sicherung mit der Konsole Zertifizierungsstelle 212
Manuelle Sicherung mit Certutil 213
Andere Sicherungsmethoden 214
Wiederherstellungsmethoden 215
Erneute Installation der Zertifikatdienste 215
Wiederherstellung von Systemstatussicherungen 217
Wiederherstellung manueller Sicherungen 217
Bewertung der Sicherungsmethoden 218
Hardwareausfälle 219
Ausfall der Zertifikatdienste 219
Ersatz des Servers 219
Fallstudie: Ersetzen der Server-Hardware 220
Szenario 220
Fragen zur Fallstudie 221
Weitere Informationen 222

12 Ausstellung von Zertifikaten 223
Zertifikatregistrierungsmethoden 224
Auswahl einer Registrierungsmethode 226
Auswahl unter den manuellen Registrierungsmethoden 226
Auswahl unter den automatischen Registrierungsmethoden 227
Veröffentlichung von Zertifikatvorlagen für die Registrierung 227
Manuelle Registrierung 229
Der Zertifikatanforderungs-Assistent 235
Automatische Registrierung 236
Einstellungen der automatischen Zertifikatanforderung 237
Einstellung für die automatische Registrierung 237
Registrierung mit Skripts 239
Certreq.exe 239
Benutzerdefinierte Skripts 240
Fallstudie: Auswählen einer Zertifikatanforderungsmethode 243
Szenario 243
Fragen zur Fallstudie 244
Weitere Informationen 245

13 Vertrauen zwischen Organisationen 247
Vertrauenschaffende Maßnahmen 247
Zertifikatvertrauenslisten 248
Gemeinsame Stammzertifizierungsstellen 250
Kreuzzertifizierung 252
Brückenzertifizierungsstellen 253
Bedingungen für die qualifizierte Unterordnung 255
Namenseinschränkungen 256
Basiseinschränkungen 259
Anwendungsrichtlinien 260
Zertifikatrichtlinien 262
Richtlinien zur Definition der Bedingungen für eine qualifizierte Unterordnung 264
Implementierung der qualifizierten Unterordnung 264
Erstellung der Datei Policy.inf 266
Beschaffung eines Zertifizierungsstellenzertifikats von einem Partner 267
Anforderung eines Kreuzzertifizierungsstelle-Zertifikats 267
Veröffentlichung in Active Directory 268
Überprüfung der qualifizierten Unterordnung 269
Fallstudie: Zertifikaten aus anderen Gesamtstrukturen vertrauen 269
Fragen zur Fallstudie 271
Weitere Informationen 271


Teil III

Einsatz anwendungsspezifischer Lösungen 273

14 Archivierung von Verschlüsselungsschlüsseln 275
Rollenverteilung bei der Schlüsselarchivierung 276
Die Schlüsselarchivierung 277
Die Schlüsselwiederherstellung 278
Voraussetzungen für die Schlüsselarchivierung 279
Definition von Schlüsselwiederherstellungs-Agenten 280
Aktivierung einer Zertifizierungsstelle für die Schlüsselarchivierung 283
Aktivierung der Schlüsselarchivierung in einer Zertifikatvorlage 285
Durchführung einer Schlüsselwiederherstellung 285
Certutil 286
Key Recovery Tool 286
Import des wiederhergestellten privaten Schlüssels 288
Empfehlungen 289
Fallstudie: Lucerne Publishing 290
Szenario 290
Fragen zur Fallstudie 291
Weitere Informationen 291

15 Der Einsatz von Smartcards 293
Smartcards in einer Active Directory-Umgebung 294
Smartcards und Kerberos 294
Voraussetzungen für Smartcard-Zertifikate 295
Planung des Smartcard-Einsatzes 296
Heraufsetzung der Zusicherungsstufe von Smartcard-Zertifikaten 296
Beschreibung der erforderlichen Zertifikatvorlagen 297
Festlegung der Zertifikatausstellungsmethoden 298
Entwurf und Konfiguration der erforderlichen Zertifikatvorlagen 299
Einrichtung eines Smartcard-Verwaltungssystems 302
Standardprozeduren 303
Aktivierung von ActiveX-Steuerelementen 303
Anforderung von Smartcard-Zertifikaten für andere Benutzer 305
Aktivierung der automatischen Registrierung 306
Implementierung zusätzlicher Sicherheit durch Smartcards 306
Smartcard-Pflicht bei der interaktiven Anmeldung 306
Smartcard-Pflicht für Remote-Anmeldungen 307
Definition des Systemverhaltens beim Entfernen einer Smartcard 307
Einsatz von Smartcards bei administrativen Aufgaben 308
Empfehlungen 308
Fallstudie: City Power and Light 309
Fragen zur Fallstudie 311
Weitere Informationen 311

16 Das verschlüsselnde Dateisystem (EFS) 313
EFS-Prozesse 314
So wählt Windows ein EFS-Verschlüsselungszertifikat aus 314
Lokale EFS-Verschlüsselung 315
Remote-EFS-Verschlüsselung mit SMB 316
Remote-EFS-Verschlüsselung mit WebDAV 316
EFS-Entschlüsselung 317
EFS-Datenwiederherstellung 318
Eine Anwendung, zwei Wiederherstellungsmethoden 319
Datenwiederherstellung 319
Schlüsselwiederherstellung 322
EFS-Einsatz 323
Aktivierung und Deaktivierung von EFS 323
Zertifikatvorlagen für die EFS-Verschlüsselung 324
Zertifikatregistrierung 325
Empfehlungen 326
Fallstudie: Lucerne Publishing 328
Szenario 328
Planungsvorgaben 328
Lösungsvorschlag 329
Fragen zur Fallstudie 330
Weitere Informationen 331

17 Implementierung der SSL-Verschlüsselung für Webserver 333
So funktioniert SSL 334
Zertifikate für SSL 336
Wahl eines Webserverzertifikatanbieters 336
Speicherung der Webserverzertifikate 337
Ein einzelner Webserver 337
Webservercluster 337
Durch ISA mit Server Publishing geschützte Webserver 338
Durch ISA mit Web Publishing geschützte Webserver 339
Wahl einer Zertifikatvorlage 340
Ausstellung von Webserverzertifikaten 341
Ausstellung von Webserver-Zertifikaten an Mitglieder der Gesamtstruktur 341
Ausstellung von Webserver-Zertifikaten an Websites, die nicht zur
Gesamtstruktur gehören 343
Ausstellung von Webserverzertifikaten an Webserver von anderen Herstellern
und an Webbeschleuniger 347
Authentifizierung mit Zertifikaten 347
Definition von Zertifikatzuordnungen 348
Wahl der Zuordnungsmethode 349
Authentifizierung auf Zertifikatbasis in der Praxis 349
Konfiguration der IIS für Active Directory-Zuordnungen 349
Konfiguration der IIS für IIS-Zuordnungen 353
Empfehlungen 355
Fallstudie: The Phone Company 356
Szenario 357
Fragen zur Fallstudie 358
Weitere Informationen 359

18 Sichere E-Mail 361
Sicherung von E-Mail 361
Secure/Multipurpose Internet Mail Extensions (S/MIME) 362
SSL für Internet-Protokolle 364
Wahl der Zertifizierungsstellen 368
Kommerzielle Zertifizierungsstellen 368
Eigene Zertifizierungsstellen 368
Wahl der Zertifikatvorlagen 369
Eine Zertifikatvorlage für Signatur und Verschlüsselung 369
Separate Zertifikatvorlagen für Signatur und Verschlüsselung 370
Wahl der Ausstellungsmethode 372
Aktivierung sicherer E-Mail 373
Aktivierung von Outlook 374
Aktivierung von OWA 375
Aktivierung von Outlook Express 375
Versand sicherer E-Mails 376
Migration von älteren Exchange Server-Versionen 377
Aktualisierung auf Exchange Server 2000 377
Aktivierung der Schlüsselarchivierung auf der Windows Server 2003-
Unternehmenszertifizierungsstelle 378
Installation eines Verschlüsselungszertifikats auf der
Unternehmenszertifizierungsstelle 378
Aktivierung des Fremdzertifikatimports auf der Unternehmenszertifizierungsstelle 378
Export der Exchange-KMS-Datenbank 379
Import der Exchange-KMS-Datenbank in die Datenbank der
Unternehmenszertifizierungsstelle 380
Empfehlungen 380
Fallstudie: Adventure Works 382
Szenario 382
Fragen zur Fallstudie 383
Weitere Informationen 384

19 Virtuelle private Netzwerke 385
Zertifikateinsatz für VPN 385
Point-to-Point-Tunneling-Protokoll (PPTP) 385
Layer-Two-Tunneling-Protokoll (L2TP) mit IP-Sicherheit 388
Entwurf von Zertifikatvorlagen 389
Benutzerauthentifizierung 389
Serverauthentifizierung 390
IPSec-Endpunktauthentifizierung 391
Einrichtung einer VPN-Lösung 392
IAS-Server-Konfiguration 392
VPN-Server-Konfiguration 395
Erstellung eines VPN-Verbindungsobjekts 397
Empfehlungen 399
Fallstudie: Lucerne Publishing 400
Szenario 401
Fragen zur Fallstudie 402
Weitere Informationen 403

20 Drahtlose Netzwerke 405
Gefahren für drahtlose Netzwerke 405
Schutz der drahtlosen Kommunikation 406
MAC-Filterung 406
Wired Equivalent Privacy (WEP) 407
Wi-Fi Protected Access (WPA) 408
802 1x-Authentifizierungsarten 408
EAP/TLS-Authentifizierung 408
PEAP-Authentifizierung 409
So funktioniert die 802 Ix-Authentifizierung 409
Planung der Zertifikate zur 802 Ix-Authentifizierung 410
Computerzertifikate für RADIUS-Server 410
Benutzerzertifikate für Clients 411
Computerzertifikate für Clients 411
Ausstellung von Zertifikaten an Benutzer und Computer 412
RADIUS-Server 412
Clientcomputer 412
Benutzer 413
Implementierung der 802 Ix-Authentifizierung 414
Konfiguration des RADIUS-Servers 414
Konfigurieren Sie den drahtlosen Zugriffspunkt 418
Nehmen Sie Verbindung mit dem drahtlosen Netzwerk auf 418
Empfehlungen 421
Fallstudie: Margie's Travel 421
Szenario 422
Fragen zur Fallstudie 423
Weitere Informationen 423

21 Codesignatur 425
So funktioniert die Codesignatur 425
Ausstellung von Codesignaturzertifikaten 427
Kommerzieller Aussteller 427
Ausstellung eigener Zertifikate 428
Die Einführung von Codesignaturzertifikaten 429
Entwurf von Zertifikatvorlagen 429
Planung der Anforderungsmethoden 430
Durchführung der Codesignatur 430
Beschaffung der erforderlichen Programme 430
Arbeiten mit Signcode.exe 431
VBA-Projekte 433
Überprüfung der Signatur 434
Internet Explorer 434
Das Programm Check Trust (Chktrust exe) 434
Empfehlungen 435
Fallstudie: Lucerne Publishing 436
Szenario 436
Fragen zur Fallstudie 437
Weitere Informationen 437


Anhang

Antworten zu den Fallstudien 439
Kapitel 1: Grundlagen der Kryptografie 440
Kapitel 2: Einführung in PKI 440
Kapitel 3: Richtlinien und PKI 441
Kapitel 4: Vorbereitung einer Active Directory-Umgebung 442
Kapitel 5: Design einer Zertifizierungsstellenhierarchie 443
Kapitel 6: Implementierung einer Zertifizierungsstellenhierarchie 445
Kapitel 7: Sicherung einer Zertifizierungsstellenhierarchie 447
Kapitel 8: Entwurf von Zertifikatvorlagen 449
Kapitel 9: Überprüfung von Zertifikaten 450
Kapitel 10: Rollentrennung 450
Kapitel 11: Planung und Implementierung der Notfall-Wiederherstellung 452
Kapitel 12: Ausstellung von Zertifikaten 453
Kapitel 13: Vertrauen zwischen Organisationen 455
Kapitel 14: Archivierung von Verschlüsselungsschlüsseln 456
Kapitel 15: Der Einsatz von Smartcards 457
Kapitel 16: Verschlüsselndes Dateisystem 459
Kapitel 17: Implementierung der SSL-Verschlüsselung für Webserver 460
Kapitel 18: Sichere E-Mail 461
Kapitel 19: Virtuelle private Netzwerke 462
Kapitel 20: Drahtlose Netzwerke 464
Kapitel 21: Codesignatur 465

Stichwortverzeichnis 467

Der Autor 485