Zertifikatsverteilung © momius von fotolia.com

Zertifikatsverteilung für verschiedene Szenarien

Welche Methode der Zertifikatsverteilung hat welche Vor- und Nachteile? Für welche Fälle ist jede Methode geeignet?

Falls Sie sich grundsätzlich für Verschlüsselung, PKI und Zertifikatsgültigkeitsprüfung interessieren sei Ihnen diese Einleitungsseite zum Thema empfohlen.

Zertifikatsverteilung für verschiedene Szenarien

Da wir sehr oft von den Kunden gefragt werden, wie man Zertifikate auf verschiedene Geräte und Betriebssysteme verteilen kann, nutze ich die Gelegenheit, das hier kurz zu erklären.

Wenn es um eine interne Microsoft Umgebung geht, wo alle Server und Clients Mitglieder der Domain sind, kann dies einfach durch Gruppenrichtlinien gesteuert und verwaltet werden.

Eine Herausforderung entsteht dann, wenn wir ein Zertifikat auf ein Gerät außerhalb unserer Umgebung verteilen müssen, oder auf ein internes Gerät, welches für sich selbst kein Zertifikat anfordern kann.

Es gibt mehrere Möglichkeiten für die verschiedene Szenarien, die mehr oder wenig aufwendig sind und jeweils Vor- und Nachteile haben, wie z.B:

  • Manuelle Verteilung
  • Skript
  • SCEP
  • MDM+SCEP

Manuelle Verteilung von Zertifikaten

kann man manchmal nicht vermeiden und sollte nur als letzte Möglichkeit genutzt werden. Hier kann man eine Anforderung und den privaten Schlüssel lokal auf dem Gerät selbst oder einem anderen Gerät generieren und das Zertifikat auf der CA (Zertifizierungsstelle) erstellen. Hier muss man aufpassen, in welchem Format das Zertifikat generiert werden sollte, ob der private und der öffentliche Schlüssel getrennt werden müssen und wie wird der private Schlüssel gesichert.

Zertifikatsverteilung mittels Skript

ist eine halbautomatische Lösung und kann gut funktionieren - wenn es um identische Geräte geht. Aber, da das Skript manuell ausgeführt werden muss, und wir uns (zumindest auf dem Gerät) authentifizieren müssen, so dass zwangsläufig ein privater Schlüssel gesichert sein muss, stellt sich die Frage nach der Sicherheit der Methode. Dazu kommen dass es recht komplex werden kann, wenn wir verschiedene Geräte (z.B Drucker, Switche, Router, Firewalls, Thin Clients, usw.) in der Umgebung haben.

Zertifikatsverteilung via SCEP (Simple Certificate Enrollment Protocol)

macht die Anforderung und Ausstellung von Zertifikaten in internen Netzwerken deutlich einfacher. Das bedeutet, dass sich das Gerät selbst das benötigte Zertifikat holt (was nur möglich ist, wenn das Gerät oder Betriebssystem dieses Protokoll unterstützt).

Obwohl der Name dieser Lösung ein "Simple" enthält, gibt es hier leider einige Einschränkungen, die zu berücksichtigen sind:     

  • Nicht alle Zertifikatklassen können verteilt werden
  • Der Einsatz eines Einmalkennworts
  • Notwendigkeit vertrauenswürdiger Administrator'innen

MDM (Mobile Device Management) und SCEP

Ein MDM ist (wie der Name bezeichnet) für mobile Geräte geeignet. Ein MDM ermöglicht, dass ein vertrauenswürdiges Zertifikatsprofil auf Geräten erstellt wird, welches die Zertifikate der Stammzertifizierungsstelle auf den Geräten vertrauenswürdig macht. Danach können die Geräte und Benutzer'innen die benötigten Zertifikate durch den SCEP von der internen PKI (Public Key Infrastructure) anfordern.

Da jedes Zertifikat eine Gültigkeitsdauer hat, stellt sich nun noch die Frage, wie dies überprüft werden kann, wenn es um Zertifikate geht, die manuell oder durch Skript erstellt werden. Das kann man lokal auf der Stammzertifizierungsstelle, lokal auf dem Gerät oder durch eine Überwachungslösung zentralisiert überwachen und kurz vor Ablauf des Zertifikats eine Warnung erstellen.

Muhamed Ahmovic, Technischer Presales

+49 162 629 6400
amuhamed@spirit21.com

Muhamed ist verantwortlich für die Konzeption, Planung und Umsetzung von IT-Lösungen mit dem Schwerpunkt auf VMware, Storages und Microsoft. Falls Sie Fragen zu Verschlüsselungstechnologien haben, sind Sie bei ihm an der richtigen Stelle.

Wir nutzen sogenannte Cookies, um Daten darüber zu bekommen, wie und mit welchen Endgeräten unsere Seiten besucht werden. Das hilft uns sehr dabei, die Seiten noch interessanter und bedienungsfreundlicher zu machen. Dabei berücksichtigen wir natürlich Ihre Präferenzen und schalten das SPIRIT/21-Analytics nur dann scharf, wenn Sie durch einen Klick auf „Cookies akzeptieren“ Ihr Einverständnis geben. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen finden Sie unter Cookie Einstellungen und in unserer