Active Directory.pdf - Gattner

682 Kapitel 17: Active Directory-Zertifikatdienste
Vorbereiten des Entwurfs einer Zertifizierungsstellenhierarchie
Bevor Sie eine Zertifizierungsstellenhierarchie entwerfen können, müssen Sie den Projektumfang, die
verwendeten Anwendungen sowie die technischen und geschäftlichen Anforderungen bestimmen.
Beim Bestimmen des Umfangs kann der Entwurf für die gesamte Hierarchie oder nur einen Teil
davon gelten. Der auszuwählende Umfang basiert auf der Verwaltung der PKI in Ihrem Unternehmen
bzw. darauf, ob diese bereits implementiert wurde. Ein Unternehmen mit vorhandener PKI muss
beispielsweise ggf. nur zusätzliche Infrastruktur entwerfen. Ein Unternehmen ohne PKI muss die
gesamte Infrastruktur von Grund auf neu erstellen.
Die Anwendungen, für die Sie die PKI verwenden, bestimmen die PKI-Implementierung. Es ist beispielsweise
wahrscheinlich, dass Benutzerzertifikate zur Prozessoptimierung über die automatische
Registrierung verteilt werden. An Webserver werden Zertifikate jedoch zumeist manuell ausgestellt.
Sie können den Registrierungsdienst für Netzwerkgeräte einrichten, um die Implementierung von
802.1X für die Authentifizierung von Netzwerkgeräten zu unterstützen.
Die technischen Anforderungen umfassen die Anforderungen an Sicherheit und Verwaltung. Der Zertifizierungsstellenentwurf
muss in Ihrem Unternehmen geltende Sicherheitsrichtlinien befolgen. Dazu
können Hardwarespeichermodule zur Optimierung der Sicherheit gehören. Außerdem müssen Sie
bestimmen, wer die Zertifizierungsstelleninfrastruktur verwalten soll. Bei Großunternehmen ist eine
zentrale Verwaltung ggf. nicht realisierbar. In Großunternehmen werden meist einige Aufgaben zur
Verwaltung von Zertifizierungsstellen lokalen Administratoren übertragen.
Die geschäftlichen Anforderungen beziehen sich auf Verfügbarkeit und rechtliche Anforderungen und
diktieren den Grad an Fehlertoleranz, der für Zertifizierungsstellen erforderlich ist. Wenn Ihre PKI
beispielsweise Anwendungen unterstützt, die rund um die Uhr ausgeführt werden, ist Fehlertoleranz
wichtig. Dadurch sind an manchen Standorten ggf. mehrere Zertifizierungsstellen nötig. Wenn Zertifikate
in Ihrem Unternehmen jedoch nur gelegentlich ausgestellt werden, kann eine einzelne Zertifizierungsstelle
ausreichend sein. Rechtliche Anforderungen hängen davon ab, ob externe Benutzer unterstützt
werden müssen, und von den verwendeten Anwendungen ab. Jedes Unternehmen muss sein
rechtlichen Obliegenheiten selbständig bestimmen.
Hierarchietypen
Wenn die Bereitstellung gänzlich intern erfolgt, benötigen Sie eine Stammzertifizierungsstellenhierarchie,
bei der alle Zertifizierungsstellen einer gemeinsamen Stammzertifizierungsstelle vertrauen.
Durch Einrichten einer Hierarchie können Sie verschiedenen Zertifizierungsstellen bestimmte Rollen
zuordnen. Die ausstellenden Zertifizierungsstellen auf der untersten Stufe der Hierarchie können beispielsweise
speziell für bestimmten Zertifikattypen oder geografische Standorte eingerichtet werden.
Zertifizierungsstellen auf höheren Stufen können entsprechend den Sicherheitsanforderungen offline
geschaltet werden.
In einer Stammhierarchie implementieren große Unternehmen häufig drei Ebenen. Auf der ersten
Ebene befindet sich die Stammzertifizierungsstelle. Auf der zweiten Ebene sind die Richtlinienzertifizierungsstellen.
Eine Richtlinienzertifizierungsstelle legt Regeln fest, die untergeordnete Zertifizierungsstellen
befolgen müssen, und kann zum Definieren von Richtlinien verwendet werden, die alle
untergeordneten Zertifizierungsstellen für einen geografischen oder Unternehmensbereich betreffen.
Auf der dritten Ebene befinden sich schließlich die Zertifizierungsstellen, die Zertifikate für Benutzer,
Computer und Geräte ausstellen.