Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

KomponenteEinordnung
ZertifizierungsstelleTier-0
Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Points, CDP)Tier-1
Onlineresponder (Online Certificate Status Protocol, OCSP)Tier-1
Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)Tier-0
Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES)Tier-0
Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)Tier-0

Details zur Einordnung der Zertifizierungsstelle

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die Zertifizierungsstelle ist aus folgenden Gründen eindeutig dem Tier-0 zuzuordnen:

Details zur Einordnung von Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Poins, CDP)

Die Verteilplunkte für den Zugriff auf Stelleninformationen (Authority Information Access, AIA) und Sperrlistenverteilpunkte (CRL Distribution Poins, CDP) sind aus folgenden Gründen eindeutig dem Tier-1 zuzuordnen:

  • Die Systeme benötigen keinen direkten Zugang zur Zertifizierungsstelle.
  • Der Server muss nicht zwingend als Domänenmitglied installiert werden.
  • Der Zugriff auf die Systeme erfolgt unter Umständen auch von Clients außerhalb des internen Netzwerks (z.B. Internet). Die Server können beispielsweise in einer demilitarisierten Zone (DMZ) plaziert werden.

Details zur Einordnung des Onlineresponders (Online Certificate Status Protocol, OCSP)

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Die Onlineresponder (OCSP) sind aus folgenden Gründen eindeutig dem Tier-1 zuzuordnen:

  • Der Online-Responder benötigt zwar normalerweise direkten Zugang zur Zertifizierungsstelle, hat hierbei jedoch keine erhöhten Berechtigungen. Der Zugriff auf die Zertifizierungsstelle kann auch ganz unterbunden werden. Der Server muss in diesem Fall nicht zwingend als Domänenmitglied installiert werden..
  • Zugriff unter Umständen auch von Clients außerhalb des internen Netzwerks (z.B: Internet). Die Server können beispielsweise in einer demilitarisierten Zone (DMZ) plaziert werden.

Details zur Einordnung des Registrierungsdienstes für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

Unter Umständen kann eine Herabstufung in das Tier-1 erfolgen, wenn folgende Punkte berücksichtigt werden:

Details zur Einordnung des Zertifikatregistierungs-Richtliniendienstes (Certificate Enrollment Policy Web Service, CEP)

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Der Zertifikatregistierungs-Richtliniendienst (Certificate Enrollment Policy Web Service, CEP) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

  • Die Rolleninstallation benötigt Enterprise Administrator Berechtigungen. Hierfür gibt es auch keinen Workaround.
  • Muss Domänenmitglied sein.
  • (Benötigt keinen direkten Zugang zur Zertifizierungsstelle)

Details zur Einordnung des Zertifikatregistrierungs-Webdienstes (Certificate Enrollment Web Service, CES)

Der Zertifikatregistrierungs-Webdienst (Certificate Enrollment Web Service, CES) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

Details zur Einordnung der Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)

Die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist eine Webseite, die Antragstellern ermöglicht, ihre Zertifikatanträge über eine Weboberfläche an eine Zertifizierungsstelle zu senden. Sie eignet sich damit insbesondere für die Einreichung manueller Zertifikatanträge. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE)".

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

DIe Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist aus folgenden Gründen dem Tier-0 zuzuordnen:

Eine Herabstufung in der Tier-1 kann erfolgen, wenn nur Basic Authentifikation eingesetzt wird, und somit keine Kerberos-Delegierung mit Protokollübergang benötigt wird.

Weiterführende Links:

Ein Gedanke zu „Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)“

Kommentare sind geschlossen.

de_DEDeutsch