FAQ - Häufige Fragen und Antworten zu Windows PKI

F: Wozu dient die Windows CA?

A: Die Windows CA ist Kern einer Public Key Infrastruktur (PKI). Sie stellt digitale Zertifikate für Public Keys aus und verwaltet diese. Ein digitales Zertifikat kann von Client- und Server-Anwendungen zur Verschlüsselung, starken Authentisierung und digitalen Signatur verwendet werden.

F: Wie heißt die Windows CA Software?

A: In Windows Server 2008 lautet die Bezeichnung "Active Directory Certificate Service" (ADCS). In früheren Windows Versionen war die Bezeichnung "Windows Certificate Services".

F: Wo und wie wird Windows CA installiert?

A: Die Windows CA kann als Enterprise CA innerhalb einer Windows Domäne oder als Standalone CA installiert werden. Voraussetzung ist ein Windows Server.

F: Was ist der Unterschied zwischen einer Enterprise CA und eine Standalone CA?

A: Enterprise und Standalone CA unterscheiden sich im bereitgestellten Funktionsumfang. Eine Enterprise CA unterstützt Zertifikatsvorlagen, Autoenrollment und integriert sich in das Microsoft Active Directory. Somit eignet sich die Enterprise CA für das Ausstellen von Benutzerzertifikaten. Eine Standalone CA unterstützt keine der oben genannten Funktionalitäten und wird somit meist als Root CA oder Policy CA verwendet.

F: Welchen Einfluss hat die Windows Server Edition auf die Windows CA?

A: Die Windows Server Edition bestimmt den Funktionsumfang der Windows CA. Windows Server Enterpise bzw. Datacenter Editionen bieten den kompletten Funktionsumfang der Windows CA. Die Windows CA auf Windows Server Standard unterstützt nur Version 1 Zertifikatsvorlagen, keine Schlüsselarchivierung, keine Rollentrennung und kein Autoenrollment.

F: Was sind Zertifikatsvorlagen?

A: Zertifikatsvorlagen bestimmen den Inhalt und Registrierungsablauf der auszustellenden Zertifikate. In einer Zertifikatsvorlage kann z.B. konfiguriert werden, wie der DN des Zertifikatsbesitzers aussieht oder wohin die Sperrlistenverteilungspunkte zeigen. Außerdem kann festgelegt werden, wer Zertifikate beantragen kann und welche Personen dem Zertifikatsantrag zustimmen müssen.

F: Was sind V1, V2 und V3 Zertifikatsvorlagen?

A: Aktuell kann zwischen 3 Versionen von Zertifikatsvorlagen unterschieden werden:
Version 1 Zertifikatsvorlagen wurden mit den Windows 2000 Certificate Services eingeführt und haben den Nachteil, dass sie nicht verändert werden können. Einzig die Benutzerrechte können angepasst werden.
Version 2 Zertifikatsvorlagen wurden mit Windows 2003 Certificate Service eingeführt und können individuell angepasst werden.
Version 3 Zertifikatsvorlagen wurden mit Windows 2008 ADCS eingeführt. Diese Vorlagen unterstützen die neue MS Crypto-API mit zusätzlichen Verschlüsselungs- und Hash-Algorithmen.
Es ist zu beachten, dass V2 und V3 Zertifikatsvorlagen nur mit Windows Server Enterprise bzw. Datacenter Edition ausgestellt werden können.

F: Welche Sperrprüfungsmethoden werden unterstützt?

A: Windows 2003 Certficate Services unterstützt nur die Sperrprüfung mittels Zertifikatssperrlisten (CRL und Delta-CRL). Windows 2008 ADCS unterstützt zusätzlich noch die Sperrprüfung über das Online Certificate Status Protocol (OCSP).

F: Was ist Autoenrollment?

A: Der Begriff Autoenrollment beschreibt das automatisierte Ausstellen und Erneuern von Zertifikaten und wird von Enterprise CAs auf Windows Server Enterprise bzw. Datacenter Edition unterstützt. Autoenrollment wird über Gruppenrichtlinien eingestellt und z.B. beim Benutzerlogin oder Computerstart angestoßen. Zertifikate können dabei mit oder ohne Benutzerinteraktion ausgestellt werden. Computerzertifikate werden ohne Interaktion ausgestellt.

F: Was ist ein Enrollment-Agent?

A: Ein Enrollment-Agent kann Zertifikate für andere Personen ausstellen und wird meist im Zusammenhang mit Smartcards verwendet.

F: Was ist bei der Verwendung von Smartcards zu beachten?

A: Wenn Smartcards zusammen mit einer Windows CA verwendet werden, müssen Sie bei Erzeugung von Verschlüsselungszertifikaten darauf achten, dass der Private Schlüssel des Antragsstellers archiviert wird. Diese Funktionalität ist abhängig von den verwendeten Smartcards bzw. Cryptographic Service Provider (CSP).

F: Was bedeutet Key Backup und Recovery?

A: Key Backup bezeichnet das Archivieren des privaten Schlüssels eines Benutzers. Schlüsselarchivierung wird für Verschlüsslungsschlüssel verwendet, damit verschlüsselte Daten wiederhergestellt werden können, falls der private Schlüssel verloren geht. Die Schlüsselarchivierung muss in der Zertifikatsvorlage konfiguriert werden. Die Schlüsselwiederherstellung wird von sogenannten Key-Recovery-Agents durchgeführt.

F: Welche Benutzerrollen bieten ADCS und Windows CertificateServices?

A: Windows 2003 und Windows 2008 CAs unterstützen die Common Criteria Rolleneinteilung. Hierbei werden verschiedenen Benutzern unterschiedliche Rollen zugewiesen, um die Sicherheit der CA zu erhöhen. Die folgenden Rollen können vergeben werden:
CA Administrator - Verwaltet die CA und darf unter anderem die Vorlagen anpassen und die Rechte der anderen Rollen einschränken.
CA Manager - Bestätigt Zertifikatsanfragen oder lehnt dies ab. Widerruft Zertifikate und kann private Schlüssel wiederherstellen.
Auditor - Der Auditor darf das Security Eventlog durchsehen und analysieren.
Backup Operator - Führt Backups der CA Datenbank, Konfiguration und Schlüssel durch.

F: Wohin werden die Zertifikate veröffentlicht?

A: Wird eine Enterprise CA verwendet, werden ausgestellte Benutzerzertifikate in das Active Directory veröffentlicht. Benutzerzertifikate werden dabei immer zu den entsprechenden Benutzerobjekten als Attribut hinzugefügt. Verschiedene Clientanwendungen suchen dort automatisiert nach Zertifikaten um z.B. verschlüsselt Emails zu versenden.

F: Kann eine Windows CA ISIS/MTT konform eingerichtet werden?

A: Ja, jedoch muss die Konfiguration angepasst werden. Es ist z.B. notwendig, die Kodierung für Zertifikate auf UTF8 umzustellen und die Schlüsselverwendung als kritisch zu markieren.

F: Was ist ein HSM?

A: Ein Hardware Security Module (HSM) ist eine Hardware Komponente, welche die privaten und archivierten Schlüssel einer Windows CA sichert und kryptographische Operationen ausführt. Es kann zwischen dedicated und attached HSMs unterschieden werden. Dedicated HSMs sind direkt an einer CA angeschlossen (z.B. PCI Steckkarte) und sichern nur die Schlüssel der angeschlossenen CA. Attached HSMs sind meist über das Netzwerk an mehreren CAs angeschlossen und können von mehreren CAs bedient werden.

F: Was ist eine Certificate Trust List?

A: Eine Certificate Trust List (CTL) ist eine signierte Liste mit Zertifikatshashwerten von vertrauenswürdigen Root CAs. Diese CTL kann über eine Gruppenrichtlinie verteilt werden und die Schlüsselverwendung für jede CA einschränken.