Zum Inhalt springen
en
Ein Finger drückt eine Taste auf einer Tastatur. Auf der Taste ist ein Schloß abgebildet | SPIRIT/21
Von Muhamed Ahmovic am 30.03.2021 IT Security

Zertifikatsverteilung für verschiedene Szenarien

Da wir sehr oft von den Kunden gefragt werden, wie man Zertifikate auf verschiedene Geräte und Betriebssysteme verteilen kann, nutze ich die Gelegenheit, das hier kurz zu erklären.

Wenn es um eine interne Microsoft Umgebung geht, wo alle Server und Clients Mitglieder der Domain sind, kann dies einfach durch Gruppenrichtlinien gesteuert und verwaltet werden.

Eine Herausforderung entsteht dann, wenn wir ein Zertifikat auf ein Gerät außerhalb unserer Umgebung verteilen müssen, oder auf ein internes Gerät, welches für sich selbst kein Zertifikat anfordern kann.

Es gibt mehrere Möglichkeiten für die verschiedene Szenarien, die mehr oder wenig aufwendig sind und jeweils Vor- und Nachteile haben, wie z.B:

  • Manuelle Verteilung
  • Skript
  • SCEP
  • MDM+SCEP

Manuelle Verteilung von Zertifikaten

Die manuelle Verteilung von Zertifikaten kann manchmal nicht vermieden und sollte nur als letzte Möglichkeit genutzt werden. Hier kann man eine Anforderung und den privaten Schlüssel lokal auf dem Gerät selbst oder einem anderen Gerät generieren und das Zertifikat auf der CA (Zertifizierungsstelle) erstellen. Hier muss man aufpassen, in welchem Format das Zertifikat generiert werden sollte, ob der private und der öffentliche Schlüssel getrennt werden müssen und wie wird der private Schlüssel gesichert.

Zertifikatsverteilung mittels Skript

Eine Zertifikatsverteilung mittels Skript ist eine halbautomatische Lösung und kann gut funktionieren - wenn es um identische Geräte geht. Aber, da das Skript manuell ausgeführt werden muss, und wir uns (zumindest auf dem Gerät) authentifizieren müssen, so dass zwangsläufig ein privater Schlüssel gesichert sein muss, stellt sich die Frage nach der Sicherheit der Methode. Dazu kommen dass es recht komplex werden kann, wenn wir verschiedene Geräte (z.B Drucker, Switche, Router, Firewalls, Thin Clients, usw.) in der Umgebung haben.

Zertifikatsverteilung via SCEP (Simple Certificate Enrollment Protocol)

Die Zertifikatsverteilung via SCEP macht die Anforderung und Ausstellung von Zertifikaten in internen Netzwerken deutlich einfacher. Das bedeutet, dass sich das Gerät selbst das benötigte Zertifikat holt (was nur möglich ist, wenn das Gerät oder Betriebssystem dieses Protokoll unterstützt).

Obwohl der Name dieser Lösung ein “Simple” enthält, gibt es hier leider einige Einschränkungen, die zu berücksichtigen sind:

  • Nicht alle Zertifikatklassen können verteilt werden
  • Der Einsatz eines Einmalkennworts
  • Notwendigkeit vertrauenswürdiger Administrator’innen

MDM (Mobile Device Management) und SCEP

Ein MDM ist (wie der Name bezeichnet) für mobile Geräte geeignet. Ein MDM ermöglicht, dass ein vertrauenswürdiges Zertifikatsprofil auf Geräten erstellt wird, welches die Zertifikate der Stammzertifizierungsstelle auf den Geräten vertrauenswürdig macht. Danach können die Geräte und Benutzer’innen die benötigten Zertifikate durch den SCEP von der internen PKI (Public Key Infrastructure) anfordern.

Da jedes Zertifikat eine Gültigkeitsdauer hat, stellt sich nun noch die Frage, wie dies überprüft werden kann, wenn es um Zertifikate geht, die manuell oder durch Skript erstellt werden. Das kann man lokal auf der Stammzertifizierungsstelle, lokal auf dem Gerät oder durch eine Überwachungslösung zentralisiert überwachen und kurz vor Ablauf des Zertifikats eine Warnung erstellen.

Muhamed Ahmovic

Technischer Presales

Muhamed ist verantwortlich für die Konzeption, Planung und Umsetzung von IT-Lösungen mit dem Schwerpunkt auf VMware, Storages und Microsoft. Falls Sie Fragen zu Verschlüsselungstechnologien haben, sind Sie bei ihm an der richtigen Stelle.

Muhamed Ahmovic