Lektion 1: Verwalten und Warten von Zertifikatservern 353
Weitere Informationen Zertifikatrichtlinien und Verwendungserklärungen
Ausführlichere Angaben über die Definition und Entwicklung von Zertifikatrichtlinien und
Zertifikatverwendungserklärungen finden Sie im TechNet in dem Dokument http://technet.
microsoft.com/en-us/library/cc780454.aspx.
Schnelltest
1. Wie nennt man die Richtliniendokumente, die Sie in Zusammenarbeit mit der Rechts-
abteilung Ihrer Organisation entwickeln sollten, wenn sich durch die Ausstellung von
Zertifikaten durch Zertifizierungsstellen, die Sie verwalten sollen, potenzielle Haf-
tungsansprüche ergeben?
2. Welche dieser Richtlinien bezieht sich auf die Ausstellung von Zertifikaten und wel-
che auf die Verwaltung der Zertifizierungsstelle?
Antwort zum Schnelltests
1. Zertifikatrichtlinien und Zertifikatverwendungserklärungen.
2. Zertifikatrichtlinien beziehen sich auf die Ausstellung von Zertifikaten, Zertifikat-
verwendungserklärungen auf die Verwaltung der Zertifizierungsstelle.
Verwalten der Zertifikatdiensterollen
Die Active Directory-Zertifikatdienste sind eine integrale Komponente der Sicherheitsinfra-
struktur einer Organisation. Viele Organisationen teilen die Verantwortlichkeit für verschie-
dene Aspekte der Sicherheitsinfrastruktur unter mehreren Leuten auf. Die Aufteilung dieser
Zuständigkeiten ist eine Sicherheitsmaßnahme, mit der sichergestellt werden kann, dass sich
nicht alle Befugnisse auf dieselbe Person konzentrieren. Diese Aufteilung der wichtigen
Verantwortlichkeiten wird Rollentrennung genannt. Die Active Directory-Zertifikatdienste
unterstützen die Rollentrennung. Daher können Organisationen die Verantwortung für die
Verwaltung des Servers von der Verantwortung für die eigentliche Ausstellung von Zertifi-
katen trennen.
Hinweis Überwachung und eingeschränkte Gruppen
In Hochsicherheitsumgebungen reicht die Rollentrennung nicht aus, es ist auch erforderlich,
eine Überwachungs- und Warnungsinfrastruktur einzurichten, damit die zuständigen Leute
jeden Versuch erkennen können, die Vorgänge zu manipulieren. Sorgen Sie mit den entspre-
chenden Gruppenrichtlinien für eine Beschränkung der Mitgliedschaften der sensiblen
Gruppen, die von der Rollentrennung betroffen sind.
Es gibt vier Zertifikatdiensterollen: Zertifizierungsstellenadministrator, Zertifikatmanager,
Sicherungs-Operator und Prüfer (Auditor). Die beiden entscheidenden Rollen sind Zertifi-
zierungsstellenadministrator und Zertifikatmanager. Zugewiesen werden Zertifikatdienste-
rollen im Eigenschaftsdialogfeld der Zertifizierungsstelle durch die Zuweisung von Berech-
tigungen auf der Registerkarte Sicherheit. Wer die Rolle des Zertifizierungsstellenadminist-
rators übernimmt, entscheiden Sie durch das Gewähren der Berechtigung Zertifizierungs-
354 Kapitel 7: Active Directory-Zertifikatdienste
stelle verwalten (Abbildung 7.4). Die Rolle des Zertifikatmanagers weisen Sie durch das
Gewähren der Berechtigung Zertifikate ausstellen und verwalten zu. Wenn Sie für die Zerti-
fizierungsstellen Ihrer Organisation eine Rollentrennung durchführen wollen, vergessen Sie
nicht, dass die Gruppen der Domänen-Admins, Organisations-Admins und der lokalen
Administratoren standardmäßig über die Berechtigungen Zertifikate ausstellen und ver-
walten und Zertifizierungsstelle verwalten verfügen.
Abbildung 7.4 Konfigurieren der Zertifikatdiensterollen
Weisen Sie die Rolle des Zertifizierungsstellenadministrators den Mitarbeitern aus Ihrer Or-
ganisation zu, die für die Konfiguration und Wartung der eigentlichen Zertifizierungsstelle
zuständig sind. Benutzer, denen Sie diese Rolle zuweisen, sind in der Lage, den Zertifikat-
server zu starten und zu stoppen, Zertifizierungsstellenschlüssel zu erneuern, Schlüsselwie-
derherstellungs-Agenten zu definieren, Zertifikatmanagereinschränkungen zu konfigurieren,
Erweiterungen zu konfigurieren und – ganz wichtig – Zertifikatdiensterollen zuzuweisen.
Wenn Sie mit Rollentrennung arbeiten, ist eine entsprechende Überwachung sehr wichtig.
Schließlich wollen Sie sicherstellen, dass sich Ihre Zertifizierungsstellenadministratoren
nicht selbst als Zertifikatmanager einsetzen.
Weisen Sie die Rolle des Zertifikatmanagers den Leuten aus Ihrer Organisation zu, die für
die Genehmigung von Zertifikatanforderungen und für Zertifikatsperrungen zuständig sind.
Außerdem ist es möglich, die Rolle des Zertifikatmanagers auf bestimmte Vorlagen zu
beschränken. Sie können zum Beispiel einer Benutzergruppe die Berechtigung geben, die
Webserver-Zertifikatvorlage zu verwalten (Abbildung 7.5).
Weisen Sie die Rolle des Prüfers den Mitarbeitern Ihrer Organisation zu, die für die Über-
prüfung der Verwendung der Zertifizierungsstelle zuständig sind. Prüfer können das Sicher-
heitsereignisprotokoll der Zertifizierungsstelle einsehen und die Überwachungsereignisse
überprüfen, die mit den Active Directory-Zertifikatdiensten zu tun haben. Die Zuweisung
dieser Rolle erfolgt in den lokalen Sicherheitsrichtlinien der Zertifizierungsstelle.
Lektion 1: Verwalten und Warten von Zertifikatservern 355
Abbildung 7.5 Konfigurieren der Rolle des Zertifikatmanagers
Abbildung 7.6 Konfigurieren der Sicherungs-Operatoren
Fügen Sie unter dem Knoten Zuweisen von Benutzerrechten die Benutzerkonten oder Grup-
pen zur Richtlinie Verwalten von Überwachungs- und Sicherheitsprotokollen hinzu, die für
die Überwachung der Zertifizierungsstelle zuständig sind. Die Rolle des Sicherungs-Opera-
tors weisen Sie den Leuten zu, die für die Sicherung der Zertifizierungsstellendatenbank, der
Zertifizierungsstellenkonfiguration und der öffentlichen und geheimen Schlüssel der Zerti-
fizierungsstelle zuständig sind. Wie die Rolle des Prüfers weisen Sie die Rolle des Siche-
rungs-Operators in den lokalen Sicherheitsrichtlinien der Zertifizierungsstelle zu, indem Sie
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
