Grenzen der Microsoft Active Directory Certificate Services

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory besierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

Gerne wird auf die vielen Möglichkeiten hingewiesen, welche die Active Directory Certificate Services bieten. Selten wird allerdings darauf verwiesen, was mit ihnen nicht möglich ist. Das Produkt stößt nämlich mittlerweile an vielen Stellen auch an seine Grenzen.

Welche das sind, soll nachfolgend näher ausgeführt werden, um besser entscheiden zu können, ob die AD CS für geplante Vorhaben die richtige Lösung sein können.

„Grenzen der Microsoft Active Directory Certificate Services“ weiterlesen

Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)

Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.

Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature "Network Load Balancing" (NLB) erreicht werden kann.

„Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)“ weiterlesen

Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP)

Es ist allgemein eine gute Idee, die Verfügbarkeit der Sperrlistenverteilpunkte (CRL Distribution Point, CDP), der Stelleninformationen (Authority Information Access, AIA) und falls vorhanden der Online Responder (OCSP) jederzeit sicherzustellen.

Der Zugriff auf die Revokierungs-Informationen ist sogar kritischer als auf die Zertifizierunsstelle selbst. Kann der Sperrstatus eines Zertifikats nicht geprüft werden, kann es (je nach Anwendung) sein, dass das Zertifikat nicht als vertrauenswürdig erachet wird, und der dazugehörige IT-Dienst nicht benutzt werden kann.

„Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP)“ weiterlesen

Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle ist nur Nutzung des SMTP Exit Moduls konfiguriert, um E-Mail-Benachrichtigungen über die Ereignisse auf der Zertifizierungsstelle zu versenden.
  • Der konfigurierte SMTP-Server ist nicht immer zuverlässig erreichbar, beispielsweise da er nicht hochverfügbar ausgelegt ist.
  • Bei einem Ausfall des SMTP-Servers wird die Zertifizierungsstelle nur noch sehr langsam arbeiten, da die E-Mail-Benachrichtigungen nicht zugestellt werden können. Unter Umständen wird der Zertifizierungsstellen-Dienst nicht mehr starten.
„Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit“ weiterlesen
de_DEDeutsch