Zertifikate

    SAN-Zertifikate ausstellen über Active Directory CA

    SSL-ZertifikateBetreibt man RD Session Hosts oder IIS-Web-Server in größerer Zahl, dann müsste man für jede Ma­schine ein eigenes SSL-Zerti­fikat aus­stellen, um einen Namens­konflikt zwischen dem Host­name und dem im Zerti­fikat ge­speicher­ten Antrag­steller zu ver­meiden. Die X.509-Erweiterung Subject Alternative Name (SAN) ver­ein­facht diese Auf­gabe, indem man mit einem ein­zigen Zerti­fikat mehrere Rech­ner schützen kann.

    Inaktive Konten und User ohne Passwörter im AD deakivieren mit Freeware und PowerShell

    Windows-Logon mit Username und PasswortEine regel­mäßige Wartung ist von zen­traler Bedeutung für die Sicherheit des Active Directory. Dazu gehört das Aufspüren und Korrigieren von Konten, die kein Pass­wort benötigen bzw. das nie abläuft, oder von verwaisten Accounts. Eine ein­fache Möglich­keit dafür bietet die Kombi­nation aus Specops Password Auditor und PowerShell.

    Neu in VMware vSphere 6.0: Long-Distance-vMotion, FT für 4 vCPUs, Zertifikatsverwaltung

    vSphere-ArchitekturNachdem Virtual Volumes bereits vorab als ein neues Feature von vSphere 6.0 bekannt wurde, gab VMware auf der VMworld nun weitere Neuerungen für sein Hauptprodukt bekannt. Die wichtigsten sind die Erweiterung von vMotion über die Grenzen von vCenter hinaus, die Unter­stützung von vSMP für Fault Tolerance, eine neue Certificate Authority inklusive Zertifikatsverwaltung sowie eine Content Library.

    SSL-Zertifikat für ESXi 5.5 mit AD CA ausstellen und installieren

    SSL TeaserDie Komponenten einer vSphere-Installation benötigen Zertifikate für die sichere Kommunikation untereinander. Das gilt auch für ESXi-Server, die nach ihrer Installation nur selbstsignierte Zertifikate besitzen. Nachdem die VMware-Hosts normalerweise keine Verbindung zum Internet haben, bietet es sich an, die benötigten SSL-Zertifikate über die Zertifizierungsstelle des Active Directory auszustellen, anstatt sie von einer externen Authority zu kaufen.

    Terminal-Server-Farmen: Zertifikate an Session Hosts zuweisen

    Zertifikatsproblem: Name stimmt nicht übereinWenn man mehrere Terminal-Server zu einer Sammlung (auch "Collection" oder "Farm") zusammenfasst, dann erwartet der RDP-Client, dass man eine Verbindung mit der Farm und nicht mit einzelnen Session Hosts aufbaut. Dies führt jedoch zu Problemen mit dem Zertifikat, wenn es den Namen des Servers und nicht der Sammlung enthält. Daher sollte man auf jedem Session Host ein Zertifikat installieren, das auf die Farm ausgestellt ist. Alternativ kann man ein SAN- oder Wildcard-Zertifikat verwenden.

    E-Mails verschlüsseln mit S/Mime in CommuniGate Pro

    Das Anwender-Zertifikat ist über ein eigenes Passwort zusätzlich gesichert.Eigentlich sollte es gängige Praxis sein, geschäftskritische Nachrichten zu verschlüsseln, so dass vertrauliche Informationen vor der Neugier Unbefugter sicher sind. Das gilt umso mehr, als nun bekannt ist, wie sehr Geheimdienste die gesamte Internet-Kommunikation auch für den Zweck der Wirtschaftsspionage ausspähen. CommuniGate Pro bietet wie andere führende Messaging-Systeme die nötige Infrastruktur für das Signieren und Verschlüsseln von Nachrichten.

    Schlüsselarchivierung für eine Zertifizierungsstelle einrichten

    Aktivierung der Schlüsselarchivierung (Detail)Hat man einen oder mehrere Administratoren berechtigt, als Key Recovery Agents zu fungieren, können diese Zertifikate anfordern, um sie für die Schlüsselwiederherstellung zu verwenden. Damit die Schlüsselarchivierung funktioniert, ist seitens der Zertifizierungsstelle noch zusätzliche Konfiguration vonnöten. Im Wesentlichen handelt es sich um zwei Schritte, die erledigt sein müssen:

    Einrichten eines Key Recovery Agent (KRA)

    Die KRA-StandardvorlageInnerhalb einer PKI spielt der Key Recovery Agent eine wichtige Rolle. Es handelt sich hierbei um einen Administrator, der für die Wiederherstellung von Zertifikaten im Namen eines Endbenutzers autorisiert ist. Da ein Key Recovery Agent mit vertraulichen Daten in Berührung kommen, dürfen nur vertrauenswürdige Personen mit dieser Aufgabe betraut werden. Nur Domänen-Admins oder Mitglieder einer entsprechenden Gruppe können einen KRA bestimmen.

    Zertifikatvorlagen in der Windows-PKI verwalten

    ZertifikatvorlagenkonsoleSobald man die Rolle Zertifikatdienste auf einem Windows-Server installiert hat, stehen vorinstallierte Standard-Zertifikatvorlagen zur Verfügung, auf denen basierend die Clients Zertifikate anfordern können. Diese decken typische Szenarien ab, Administratoren haben jedoch oft differenziertere Anforderungen an die Vorlagen. Dann modifiziert man die Vorlagen oder erstellt auf ihrer Basis neue für die Organisation.

    Zertifikat-Management mit certutil automatisieren

    Die Batch-Datei für makecert.exe und certutil.exeDie Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.