Zertifikate

    AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse

    ZertifikateSecure Hash Algorithm (SHA) ist ein häufig ver­wen­detes kryp­to­grafischen Ver­fahren. Der ur­sprüng­liche Stan­dard (SHA-1) ist aber ver­altet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit sig­nierte Zerti­fikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzu­stellen.

    BitLocker Network Unlock: PCs mit verschlüsselten Laufwerken remote verwalten

    BitLocker Recovery AgentDie Ent­schlüsselung von BitLocker mit TPM + PIN erfordert physi­schen Zugriff auf das Gerät, wenn es hoch­fährt oder aus dem Ruhe­zustand auf­wacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Micro­soft die BitLocker Netz­werk­ent­sperrung ent­wickelt.

    Active Directory-Zertifikatdienste auf einen neuen Server migrieren

    Active Directory Zertifikatsdienste sichernWenn Firmen ältere Versionen von Windows Server aus­mustern, dann steht oft der Umzug wichtiger Infra­struktur­dienste an. Davon können die Active Directory Certificate Services (AD CS) betroffen sein. Der folgende Beitrag zeigt, wie man die Daten­bank und die Einstellungen der AD CS auf Windows 2019 überträgt.

    Von Windows 10 zu Azure-VMs über Point-2-Site-VPN verbinden

    VPN-TeaserEin virtuelles Netzwerk in Azure kann auf die Cloud beschränkt bleiben, muss also keine Route zum öffent­lichen Internet haben. So können Sie Server in der Cloud platzieren, ohne dass diese aus dem Inter­net erreich­bar sind. Um sich mit ihnen zu ver­binden, bietet Azure den ver­walteten Dienst Gate­way für virtuelle Netzwerke.

    BitLocker-Laufwerke entsperren mit einem Recovery Agent

    BitLocker Recovery AgentWenn Benutzer auf ver­schlüsselte Lauf­werke nicht mehr zugreifen können, etwa weil sie das Pass­wort ver­gessen haben, dann muss man den betref­fenden Daten­träger über andere Mecha­nismen ent­sperren. Dazu zählen Wieder­herstel­lungs­agenten, die das Lauf­werk mittels Zerti­fikat frei­schalten können.

    Zertifikat für BitLocker Recovery Agent ausstellen

    Zertifikat für BitLocker-EntsperrungBitLocker unter­stützt mehrere Mecha­nismen, um ein ver­schlüsseltes Lauf­werk zu ent­sperren. Dazu gehören auch Wieder­her­stellungs­agenten, mit deren Zerti­fikat man einen BitLocker-Protector hinzu­fügen kann. Für die Aus­stellung eines solchen Zertifikats benötigt man eine eigens dafür angepasste Vor­lage.

    Lets Encrypt-Zertifikat mit ACME2-Client ausstellen, installieren, automatisch erneuern

    Logo Let's EncryptLet's Encrypt betreibt eine freie und mittlerweile sehr populäre CA für SSL-Zerti­fikate. Deren größte Ein­schränkung besteht in der Gültig­keit von nur 90 Tagen. Daher wird man das Ver­längern und Instal­lieren der Zertifikate mög­lichst automa­tisieren. Der ACME2-Client für Windows bietet ent­sprechende Funktionen.

    SSL-Zertifikate über AD-Zertifizierungsstelle und GPO automatisch ausstellen und erneuern

    Zertifikat-SymbolWenn man Zertifikate für interne Web-Server, RD Web Access oder WSUS über eine Windows-CA ausstellt, dann kann man diesen Prozess auto­matisieren. Dadurch ver­hindert man zudem, dass Services wegen abge­laufener Zertifi­kate aus­fallen. Benötigt werden dafür ent­sprechende Templates und ein GPO.

    Alle Windows-Server auf ablaufende Zertifikate prüfen mit PowerShell

    Zertifikate mit PowerShell verwaltenLäuft etwa ein SSL-Zertifikat auf einem Web-Server, RD Gateway oder WSUS-Server ab, dann ist deren Service in der Regel nicht mehr zu­gänglich. Um solche Situa­tionen zu ver­meiden, sollte man die Gültig­keit von Zertifi­katen laufend prüfen. Das lässt sich auch mit einem PowerShell-Script erledigen.

    RD Gateway installieren, Zertifikat zuweisen, CAP und RAP konfigurieren

    RD Gateway ManagerWenn Benutzer aus unsicheren Netz­werken (primär über das Internet) auf eine Remote-Desktop-Bereit­stellung zu­greifen möchten, dann schaltet man ein RD Gateway da­zwischen. Die mit Windows Server 2012 einge­führte Szenario-basierte RDS-Installation verein­facht auch die Ein­richtung des Gateways.

    Seiten