SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA

Nach der erfolgreichen Einrichtung einer CA sollte man sich Gedanken über die Sicherung machen. Eine Überwachung, wer was wann tut, kann auch nicht schaden. In diesem letzten Beitrag der Serie Active Directory Zertifikatsdienste beschäftige ich mich mit dem Thema Backup und Monitoring. Dieser Beitrag ist Teil 8 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Sichern einer CA

Die Sicherung der Zertifizierungsstelle kann grafisch in certsrv.msc erfolgen. Ein Rechtsklick mit der Maustaste auf den Namen der CA – Alle Aufgaben – Zertifizierungsstelle sichern genügt. Dort kann ausgewählt werden, ob der private Schlüssel mitgesichert werden soll.

1.PNG

Wenn der private Schlüssel mitgesichert werden soll, dann wird dieser mit einem Passwort geschützt.

2.PNG

Nach Abschluss der Sicherung findet man die Dateien im angegeben Speicherort.

3.PNG

Eine Alternative dazu bietet der Befehl certutil.

Mit certutil die CA Datenbank und den privaten Schlüssel der CA sichern.

certutil -backup c:\OrdnerName

4.PNG

Mit certutil nur die Datenbank der CA sichern.

certutil -backupdb c:\OrdnerName

5.PNG

Überwachen der CA

Um zu überwachen, wer wann wo was tut, sind 2 Schritte erforderlich:

  • Überwachung in den Eigenschaften der CA aktivieren
  • Ändern der Lokalen Sicherheitsrichtlinie: Zertifizierungsdienste überwachen

Die Überwachung der CA aktiviert man in certsrv.msc: Die Eigenschaften der CA öffnen und auf den Reiter Überwachung klicken.

6.PNG

Als zweiten Schritt muss die Überwachung in der Lokalen Sicherheitsrichtlinie aktiviert werden. Dazu öffnet man secpol.msc und navigiert zu Erweiterte Überwachungsrichtlinienkonfiguration – Objektzugriff und aktiviert Zertifizierungsdienste überwachen (Erfolg, Fehler).

7.PNG

Danach führt man gpupdate /force aus.

gpupdate /force

8.PNG

Die Überwachung ist eingerichtet.

Testen der Überwachung

Ein Zertifikat wird gesperrt. In der Ereignisanzeige (eventvwr.msc) unter Windows-Protokolle – Sicherheit können die Einträge gefunden werden:

10.PNG

Klickt man auf das Ereignis und wählt Details, so ist ersichtlich wer das Zertifikat gesperrt hat.

11.PNG

Schlusswort

Damit endet die Serie Active Directory Zertifikatsdienste (Teil 1-8). Danke fürs Lesen und viel Spaß beim Ausstellen von Zertifikaten.

PS: Wer ein bisschen hinter die Kulissen blicken möchte, dem empfehle ich meine Beiträge Cyber Security / Pen Testing (Teil 2): Grundlagen der Kryptographie und Cyber Security – Pen Testing (Teil 4): Zertifikate und PKI


7 Comments

  1. […] Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA […]

    Like

  2. […] Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA […]

    Like

  3. […] Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA […]

    Like

  4. […] Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA […]

    Like

  5. […] Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA […]

    Like

  6. […] Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA […]

    Like

  7. […] Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com