Sicherheit
Ein leistungsfähiges neues Tool für die Zertifikatsverwaltung
Kevin Dallmann
Kurz zusammengefasst:
- Architektur von ILM-CM
- Verwaltung und Vorlagen
- Erstellen eines Workflows
Es ist ein ruhiger Tag bei der Arbeit. Plötzlich erhalten Sie einen Aufruf von Ihrem Helpdesk-Supportteam: Auf einem der Produktionssysteme ist ein Zertifikat abgelaufen. Das System ist ausgefallen, und Ihr Unternehmen verliert Produktivität (und bares Geld), bis Sie das Zertifikat erneuern.
Wenn Sie für die Verwaltung einer PKI-Umgebung (Public Key Infrastructure) verantwortlich sind, dürfte das Ablaufen eines Zertifikats für Sie eher überraschend kommen. Der ruhige Tag ist damit auf alle Fälle beendet.
Als Microsoft die PKI-Dienste in Windows® 2000 und Windows Server® 2003 integrierte, erhielten die Unternehmen die fantastische, preiswerte Möglichkeit, eine firmeninterne PKI-Umgebung zu implementieren. Leider war es mit den Microsoft® PKI-Diensten nicht möglich, den Lebenszyklus der erzeugten Zertifikate zu verwalten. Vor kurzem konnte Microsoft jedoch ein Produkt für die Zertifikatsverwaltung erwerben, woraufhin Identity Lifecycle Manager (ILM) eingeführt wurde. Dieses Produkt vereint die Zertifikatsverwaltung mit der Identitätsbereitstellung und den Verwaltungsfunktionen von Microsoft® Identity Integration Server (MIIS). In diesem Artikel wird dargelegt, wie ILM dazu beiträgt, die Zertifikate und Smartcards in Ihrem Unternehmen zu verwalten.
Architektur von ILM-CM
Das Herzstück der Architektur von ILM-CM (ILM Certificate Management) ist der ILM-CM-Server und die zugehörigen Komponenten (siehe Abbildung 1). Der ILM-CM-Server kann auf einem einzigen Server installiert werden, der für den Datenaustausch mit einer oder mehreren Zertifizierungsstellen (CA) eingerichtet ist. ILM-CM erfordert SQL Server™; hier werden Zertifikatsinformationen, Richtlinien und andere zugehörige Daten gespeichert, die bei der Verwaltung der Zertifikatumgebung zum Einsatz kommen. Damit auch Benutzer und Sicherheitsberechtigungen verwaltet werden können, ist Active Directory® für ILM-CM-Server erforderlich. Die erforderlichen Komponenten und die jeweiligen Versionen finden Sie in Abbildung 2.
Figure 2 Unterstützung der ILM-CM-Infrastruktur
| Komponenten | Versionen |
| Active Directory | Windows Server 2003 |
| Datenbankserver | SQL Server 2000 SP3 (oder höher) oder SQL Server 2005 |
| Zertifizierungsstelle | Windows Server 2003 Enterprise Edition oder Data Center Edition |
| SMTP | SMTP-Server |
Abbildung 1** Architektur von ILM-CM **
Sobald Sie die ILM-CM-Umgebung vollständig installiert haben, kommunizieren alle Zertifikatsanforderungen mit dem ILM-CM-Server. Der ILM-CM-Server speichert alle zertifikatspezifischen Informationen in der SQL Server-Datenbank, wobei diese Informationen für die Zertifikatsberichterstellung, die Ausgabe von Warnungen und das Aufrechterhalten einer Workflowumgebung herangezogen werden.
Die ILM-CM-Softwarearchitektur besteht im Wesentlichen aus drei großen Teilen: ILM-CM-Server, Zertifizierungsstellen-Plug-Ins und clientseitige Komponenten. Die Serversoftware kann auf einer Zertifizierungsstelle oder auf einem Server installiert und ausgeführt werden, der hauptsächlich für ILM-CM vorgesehen ist. Der ILM-CM-Server kommuniziert dann mit den Zertifizierungsstellen, der SQL Server-Datenbank und Active Directory. Darüber hinaus stellt der Server ein Webportal bereit, in dem die Zertifikatsmananager die Zertifikatsrichtlinien und -Workflows konfigurieren und die Zertifikatsabonnenten ihre Softwarezertifikate anfordern und erneuern.
Damit die Zertifizierungsstellen mit dem ILM-CM-Server kommunizieren können, müssen die ILM-CM-Richtlinie und die Beendigungsmodule auf allen zu verwaltenden Zertifizierungsstellen installiert werden. Mit diesen beiden Modulen werden Zertifikatsinformationen in der Datenbank festgehalten. Wenn eine Zertifizierungsstelle ein Zertifikat ausgibt, sendet das Beendigungsmodul diese Informationen an den ILM-CM-Server, der wiederum die Zertifikatsinformationen in die Datenbank schreibt.
Sollen Smartcards in der Umgebung verwaltet werden, müssen Sie die ILM-CM-Smartcard-Clientsoftware installieren. Diese Software ist auf allen Clientcomputern erforderlich, die mit dem ILM-CM-Server interagieren.
Installation von ILM-CM
Die Installation des ILM-CM-Servers ist recht einfach. Sie werden mit einem Assistenten durch den Prozess geführt. Bevor Sie jedoch den Assistenten starten können, müssen vor der eigentlichen Installation zunächst einige Vorbereitungsschritte erledigt werden.
Als Erstes ist Active Directory und eine ILM-CM-Schemaerweiterung für ILM-CM erforderlich. Die Schemaerweiterung liefert einige zusätzliche Microsoft .NET Framework-Sicherheitsattribute. Diese Attribute sind notwendig, damit ILM-CM die Profilvorlagen implementieren kann.
Auch .NET Framework 2.0 müssen installiert werden, und die zuvor genannten Komponenten (SQL Server, Zertifizierungsstellen, SMTP Server) müssen sich an Ort und Stelle befinden. Wenn ILM-CM auf einem anderen Server installiert werden soll als die Zertifizierungsstelle, dann müssen Sie zur Installation der ILM-CM-Module auf den Zertifizierungsstellen jeweils den ILM-CM-Setupassistenten ausführen. Im Anschluss an die Installation sollten Sie in der Lage sein, über den Browser eine Verbindung zum ILM-CM-Portal herzustellen, indem Sie http://hostname/CLM eingeben.
Um das Ablaufdatum für ein Zertifikat und die Erneuerungsbenachrichtigung zu aktivieren, konfigurieren Sie den ILM-CM-Dienst auf dem ILM-CM-Server. Legen Sie als Erstes ein geeignetes Konto in Active Directory an. Wechseln Sie zu den ILM-CM-Diensten, und fügen Sie dieses Konto als Anmeldekonto hinzu. Nehmen Sie dann den betreffenden Benutzer in die Gruppe der lokalen Administratoren und in die IIS_WPG-Gruppe im ILM-CM-Server auf, und tragen Sie ihn mithilfe der Gruppenrichtlinien für die Berechtigungen „Als Teil des Betriebssystems agieren“, „Sicherheitsüberprüfung generieren“ und „Ein Prozessebenentoken ersetzen“ ein. Sobald der ILM-CM-Dienst eingerichtet ist, kann der ILM-CM-Server die SQL Server-Datenbank nach abgelaufenen Zertifikaten durchsuchen und den Inhabern oder Verwaltern dieser Zertifikate eine E-Mail-Benachrichtigung senden.
ILM-CM-Verwaltung
Die Verwaltung von ILM-CM erfolgt über eine Weboberfläche, die in mehrere Funktionsbereiche mit Verwaltungsaufgaben für Benutzer, Zertifikate und Smartcards gegliedert ist. Wenn eine Verbindung zum ILM-CM-Portal mit den notwendigen Administratorrechten vorliegt, wird hier eine Reihe von administrativen Aufgaben aufgeführt, mit denen Sie die ILM-CM-Umgebung verwalten (siehe Abbildung 3). Der Abschnitt mit den gemeinsamen Aufgaben enthält verschiedene Verwaltungsoptionen, beispielsweise zum Registrieren von Benutzern für eine neue Gruppe von Zertifikaten oder für eine Smartcard. Darüber hinaus können Sie auch Anforderungen verwalten und genehmigen.
Abbildung 3** Aufgaben im ILM-CM-Verwaltungsportal **(Klicken Sie zum Vergrößern auf das Bild)
Im Aufgabenbereich zum Verwalten von Benutzern und Zertifikaten können Sie nach Benutzern und Zertifikaten suchen. Hier finden Sie Aufgaben zum Suchen, Wiederherstellen, Sperren oder Erneuern von Zertifikaten. Auch eine Sperrliste wird hier angeboten.
Wenn Ihr Unternehmen Smartcards verwendet, ist der Abschnitt über die Verwaltung der Benutzersmartcards praktisch. Hat beispielsweise ein Benutzer seine Karte gesperrt, kann der Zertifikatsverwalter die Karte hier wieder entsperren. Hier können Sie außerdem Smartcards suchen und im lokalen Kartenlesegerät anzeigen.
Im Abschnitt über die Anforderungen in der Benutzeroberfläche können die Zertifikatsverwalter die Zertifikatsanforderungen der Benutzer überprüfen und genehmigen. Rufen Sie beispielsweise alle Zertifikate mit ausstehender Anforderung ab. Im Bereich für die Verwaltung können Sie Profilvorlagen erstellen und verwalten. Mit dem Bereich für die Berichte lassen sich Berichte über Benutzer und Zertifikate entwickeln und erstellen.
Wenn Sie sich beim ILM-CM-Portal anmelden und Ihr Konto nicht die erforderlichen Administratorrechte besitzt, wird eine Abonnentenseite geöffnet, auf der verschiedene benutzerverantwortliche Verwaltungsfunktionen für Zertifikate angeboten werden (siehe Abbildung 4). Von diesem Portal aus können die Benutzer ihre Zertifikate und Smartcards gemäß ihrer speziellen Richtlinienkonfiguration abrufen und verwalten. Gemeinsame Aufgaben sind beispielsweise die Anforderung von Zertifikaten oder Smartcards, die Überprüfung vorhandener Zertifikate oder die Änderung der Smartcard-PINs.
Abbildung 4** Abonnent Portalseite für Benutzer Selbstverwaltung **(Klicken Sie zum Vergrößern auf das Bild)
Die Bereitstellung eines qualitativ hochwertigen, delegierten Workflowprozesses für das Veröffentlichen, Erneuern, Ersetzen, Widerrufen und Ersetzen von Zertifikaten oder Smartcards kann für jedes Unternehmen eine bedeutende Herausforderung sein. Mit ILM-CM sind Sie nun in der Lage, diese Aufgaben zu delegieren, um so eine höhere Sicherheit zu erzielen. Angenommen, einer Ihrer Benutzer hat seine Smartcard-PIN vergessen. Mit dem Modul für die Workflowdelegierung könnte der Benutzer nun den Helpdesk-Support anrufen, und das Supportpersonal würde ihm einige Kontrollfragen stellen. Wurden die Fragen richtig beantwortet, könnte das Supportpersonal die Smartcard für den Benutzer wieder entsperren Ein weiteres Beispiel für den delegierten Workflow wäre die Wiederherstellung des EFS-Zertifikats (Encrypted File System) eines Benutzers, wenn dieses Zertifikat versehentlich gelöscht wurde oder sich auf einem verloren gegangenen Laptop befand.
Profilvorlagen
Eine Profilvorlage ist die grundlegende Komponente für den vollständigen Workflow-Verwaltungsprozess von ILM-CM. Eine Profilvorlage gilt als einzelnes administratives Objekt mit mindestens einer Zertifikatsvorlage. Profilvorlagen können je nach Bedarf erstellt und konfiguriert werden, um damit die Funktionsweise des Workflowprozesses in Ihrer Zertifikatumgebung zu verwalten. Der wichtigste Aspekt einer Profilvorlage besteht darin, dass diese Vorlage gleich mehrere Zertifikatsvorlagen enthalten kann, die sich als einzelnes Element verwalten lassen. Die Benutzer können also mit einer einzigen Vorlage verwaltet werden, die den Zertifikatsprozess über seine gesamte Dauer nachverfolgen kann.
Die Profilvorlagen können so konfiguriert werden, dass die Zertifikate auf einem Computer (softwaregestützt) oder auf einer Smartcard (hardwaregestützt) gespeichert werden. Sie können diese Vorlagen durch Duplizieren eines Beispiels aus dem ILM-CM-Administratorportal erstellen. Innerhalb der Profilvorlage können Sie mehrere verschiedene Verwaltungsrichtlinienkomponenten definieren (siehe Abbildung 5).
Abbildung 5** Eine Profilvorlage **(Klicken Sie zum Vergrößern auf das Bild)
Viele der Richtlinienkomponenten gelten sowohl für Softwareprofile als auch für Smartcardprofile (siehe Abbildung 6). Ein Teil dieser Komponenten soll etwas näher beleuchtet werden. Während der Zertifikatsregistrierung können Sie mit der Registrierungsrichtlinienkomponente bestimmte Kriterien für den Ablauf des Registrierungsprozesses definieren. Richten Sie beispielsweise eine Datensammlung ein, sodass der Benutzer bestimmte Informationen eingeben müsste (z. B. Abteilungscodes, E-Mail-Adressen oder Manager). Sie könnten auch Definitionen erstellen, mit denen automatisch ein offizielles Dokument gedruckt wird, sobald der Benutzer ein Zertifikat registriert hat.
Figure 6 Richtlinien für Softwareprofile
| Komponente | Beschreibung |
| Profildetails | Enthält die allgemeinen Details der Profilvorlage. Hier können Sie der Profilvorlage eine oder mehr Zertifikatsvorlagen hinzufügen. |
| Duplizierungsrichtlinie | Definiert die Workflowentitäten für ein vorhandenes Zertifikat. |
| Registrierungsrichtlinie | Definiert den Registrierungsprozess-Workflow. |
| Onlineaktualisierungsrichtlinie | Ähnlich wie die Erneuerungsrichtlinie; kann jedoch ablaufende Zertifikate, den Zertifikatsinhalt, die Vorlagen und die Smartcardapplets aktualisieren. |
| Richtlinie für die Wiederherstellung im Auftrag | Stellt den privaten Schlüssel oder die Zertifikate eines Benutzers wieder her. |
| Erneuerungsrichtlinie | Definiert den Erneuerungsworkflow, wenn ein Zertifikat abläuft. |
| Wiedereinsetzungsrichtlinie | Definiert den Prozess zum Wiedereinsetzen eines Zertifikats. |
| Wiederherstellungsrichtlinie | Definiert den Workflow für die Wiederherstellung eines auf einem Computer gespeicherten Benutzerzertifikats, wenn dieses Zertifikat gelöscht oder neu erstellt oder der Computer gestohlen wurde. |
| Widerrufsrichtlinie | Definiert den Workflow zum Widerrufen aller Zertifikate innerhalb eines Profils. |
Die Onlineaktualisierungsrichtlinie kann sich für Ihr Unternehmen als sehr nützlich erweisen. Diese Richtlinie ist ähnlich aufgebaut wie die Erneuerungsrichtlinie, mit dem Unterschied, dass Sie den Zertifikatsinhalt, die Zertifikatsvorlagen, die Applets auf den Smartcards und auch das Zertifikat selbst aktualisieren können, wenn das Ablaufdatum unmittelbar bevorsteht. Um diese Richtlinie vollständig nutzen zu können, müssen Sie den ILM-CM-Dienst und die Datei „web.config“ aktivieren, sodass der Zugriff auf ein Attribut mit mehreren Werten in Active Directory möglich wird. Darüber hinaus muss der Onlineaktualisierungsdienst auf dem Clientcomputer installiert werden.
Die Richtlinie für die Wiederherstellung im Auftrag empfiehlt sich, wenn in Ihrem Unternehmen die EFS-Verschlüsselung verwendet wird. Angenommen, ein Benutzer löscht unbeabsichtigt sein Verschlüsselungszertifikat. Mit dieser Richtlinienkomponente könnten Sie einen Workflow aufstellen, über den das Helpdesk-Sicherheitsteam den privaten Schlüssel des Benutzers anfordert. Der Benutzer könnte dann eine E-Mail mit einem geheimen Kennwort erhalten, das vom ILM-CM-Server generiert wurde, und könnte so seinen privaten Schlüssel erlangen. Anschließend würde er einen geheimen Weblink auf dem ILM-CM-Server öffnen und dort das Zertifikat mit seinen zugeordneten privaten Schlüsseln abrufen. Die Richtlinie für die Wiederherstellung im Auftrag leistet auch dann gute Dienste, wenn ein Mitarbeiter das Unternehmen verlässt und seine Daten zur Archivierung, gemäß gesetzlichen Vorschriften oder aus anderen Gründen wiederhergestellt werden müssen.
Um den Erneuerungsprozess sicherer zu gestalten, können Sie bei der Erneuerungsrichtlinie einen einmaligen, geheimen Kennwortschlüssel erzeugen und per E-Mail versenden, mit dem die Benutzer ihre Zertifikate erneuern müssen. Wenn Sie ein Zertifikat widerrufen und dann wiedereinsetzen und von der Zertifikatssperrliste (Certificate Revocation List, CRL) entfernen möchten, können Sie diesen Prozess mit der Wiedereinsetzungsrichtlinie definieren.
Zwei ganz besondere Richtlinienkomponenten, die nur für Softwarezertifikatsrichtlinien gelten (nicht für Smartcards), sind die Wiederherstellungsrichtlinie und die Widerrufsrichtlinie. Wenn ein auf einem Computer gespeichertes Benutzerzertifikat gelöscht oder der Computer selbst gestohlen wird, kann die Wiederherstellungsrichtlinie den Prozess zum Wiederherstellen des Zertifikats oder der Schlüssel definieren, wenn diese Angaben in der Zertifizierungsstelle archiviert wurden. Mit der Widerrufsrichtlinie kann der Administrator einen statischen Sperrungsgrund festlegen, oder er kann dem Benutzer, der die Sperrung angefordert hat, zum Zeitpunkt der Sperrung die Gelegenheit geben, den Grund für die Sperrung anzugeben.
Es gibt fünf zusätzliche Verwaltungsrichtlinien für Smartcard-Profilvorlagen (siehe Abbildung 7).
Figure 7 Richtlinien für Smartcardprofile
| Komponente | Beschreibung |
| Ersetzungsrichtlinie | Definiert das Profil für den Fall, dass die Smartcard eines Benutzers verloren oder gestohlen wird. |
| Deaktivierungsrichtlinie | Definiert den Prozess, mit dem Zertifikate auf einer Smartcard vor dem Ablaufen deaktiviert werden. |
| Außerkraftsetzungsrichtlinie | Definiert den Prozess zum Widerrufen aller Zertifikate auf einer Smartcard. |
| Entsperrungsrichtlinie | Definiert die Benutzer, die die Benutzer-PIN einer Smartcard entsperren können. |
| Richtlinie für vorläufige Karten | Definiert eine kurzfristig eingesetzte Ersatzsmartcard. Der Benutzer erhält neue Signaturenzertifikate, könnte jedoch ihre Daten entschlüsseln, wenn er die vorhandenen Profilverschlüsselungszertifikate aufruft. |
Für die Außerkraftsetzungsrichtlinie können Sie verschiedene Vorgänge definieren, beispielsweise Löschen der Benutzerdaten auf der Smartcard, Sperren der Benutzer- und Administrator-PINs, Zurücksetzen der Administror-PIN. Die Entsperrungsrichtlinie kommt meist dann zum Einsatz, wenn ein Benutzer seine PIN vergessen hat oder eine neue Karte mit einer PIN von ILM-CM erhält. In diesem Fall sendet der Benutzer eine Anforderung, die Smartcard zu entsperren.
Wie alle administrativen Produkte ist die Berichterstellung eine äußerst nützliche Funktion. Die Möglichkeit, eine Momentaufnahme der Zertifikats- oder Smartcardumgebung festzuhalten, ist für jedes Unternehmen von großer Bedeutung. ILM-CM umfasst mehrere integrierte Berichte, beispielsweise Smartcardbestände, Anforderungsübersichten, Nutzung und Ablaufdatum der Zertifikate und vieles mehr. Sämtliche Daten sind in einer SQL Server-Datenbank gespeichert; wenn Sie also weitere Berichte benötigen, können Sie eine benutzerdefinierte Abfrage schreiben, wie bei allen Berichterstellungssystemen.
Entwickeln eines Workflows
Im Folgenden soll betrachtet werden, wie ILM-CM dazu beiträgt, einen produktiven Workflowprozess zu definieren. Angenommen, Sie beschäftigen mehrere Systemadministratoren, die für die Verwaltung und Pflege von SSL-Zertifikaten für ihre Systeme zuständig sind. Die erste Frage: Was sind die wichtigsten Aspekte im Prozess?
Je nach der Art des Systems kann der Prozess unterschiedliche Methoden zum Erstellen der Zertifikatsanforderungsdatei erfordern. Die erste Aufgabe besteht also darin, eine Intranetseite mit ausführlichen Anweisungen für die Erstellung der Zertifikatsanforderungen für sämtliche Systeme zu entwickeln.
Sobald der Administrator die Anforderungsdatei erstellt, kann er diese Datei zur Genehmigung des Zertifikats an das ILM-CM-Benutzerportal senden. Mit dem ILM-CM-Workflowprozess kann der Administrator mehrere Genehmiger definieren, die die einzelnen Zertifikatsanforderungen überprüfen und genehmigen sollen. Sobald ein Zertifikat genehmigt wurde, kann der Benutzer das Zertifikat vom ILM-CM abrufen. Der ILM-CM speichert die Zertifikatsinformationen in eine SQL Server-Datenbank, sodass die Administratoren auch Verlaufsdaten abrufen können.
Ein Jahr später, wenn das Zertifikat sich seinem Ablaufdatum nähert, sendet der ILM-CM dem anfordernden Benutzer eine E-Mail-Benachrichtigung, mit der er informiert wird, dass das Zertifikat in Kürze ablaufen wird und dass er das Zertifikat erneuern muss. Mit diesem Workflowprozess beugen Sie den unliebsamen Überraschungen vor, wenn Zertifikate unerwartet ablaufen und Ihren Arbeitstag verderben.
Zusammenfassung
Wenn Ihr Unternehmen eine Microsoft PKI-Umgebung nutzt, kann ILM-CM die Verwaltung erleichtern. Mit dem ILM-CM ist ein Unternehmen in der Lage, die Prozesse zur Sicherheitsauthentifizierung zu verbessern und so die Kosten und die Komplexität der digitalen Zertifikate und der Smartcardverwaltung zu verringern. Der ILM-CM bildet außerdem die Grundlage für die Entwicklung von Zertifikats- und Smartcard-Workflowprozessen, die in vielen Unternehmen heute noch fehlen.
Microsoft hat zudem die externe API-Unterstützung für den ILM-CM implementiert. Wenn Ihr Unternehmen benutzerdefinierte Anwendungen einsetzt, können Sie diese Anwendungen ggf. zusammenschließen und so die API-Unterstützung des ILM-CM nutzen.
Weitere Informationen zu ILM-CM finden Sie unter microsoft.com/technet/clm. Auch eine Kurzanleitung ist verfügbar (go.microsoft.com/fwlink/?LinkId=87336).
Kevin Dallmann ist Senior Systems Engineer-Berater bei Accenture und ist hauptsächlich für die Unterstützung von Active Directory- und PKI-Umgebungen in großen Unternehmensumgebungen zuständig. Dallman ist als MCSE und MCT zertifiziert und hält auch Microsoft-Kurse ab.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.