Zertifikate

    Neu in VMware vSphere 6.0: Long-Distance-vMotion, FT für 4 vCPUs, Zertifikatsverwaltung

    vSphere-ArchitekturNachdem Virtual Volumes bereits vorab als ein neues Feature von vSphere 6.0 bekannt wurde, gab VMware auf der VMworld nun weitere Neuerungen für sein Hauptprodukt bekannt. Die wichtigsten sind die Erweiterung von vMotion über die Grenzen von vCenter hinaus, die Unter­stützung von vSMP für Fault Tolerance, eine neue Certificate Authority inklusive Zertifikatsverwaltung sowie eine Content Library.

    SSL-Zertifikat für ESXi 5.5 mit AD CA ausstellen und installieren

    SSL TeaserDie Komponenten einer vSphere-Installation benötigen Zertifikate für die sichere Kommunikation untereinander. Das gilt auch für ESXi-Server, die nach ihrer Installation nur selbstsignierte Zertifikate besitzen. Nachdem die VMware-Hosts normalerweise keine Verbindung zum Internet haben, bietet es sich an, die benötigten SSL-Zertifikate über die Zertifizierungsstelle des Active Directory auszustellen, anstatt sie von einer externen Authority zu kaufen.

    Terminal-Server-Farmen: Zertifikate an Session Hosts zuweisen

    Zertifikatsproblem: Name stimmt nicht übereinWenn man mehrere Terminal-Server zu einer Sammlung (auch "Collection" oder "Farm") zusammenfasst, dann erwartet der RDP-Client, dass man eine Verbindung mit der Farm und nicht mit einzelnen Session Hosts aufbaut. Dies führt jedoch zu Problemen mit dem Zertifikat, wenn es den Namen des Servers und nicht der Sammlung enthält. Daher sollte man auf jedem Session Host ein Zertifikat installieren, das auf die Farm ausgestellt ist. Alternativ kann man ein SAN- oder Wildcard-Zertifikat verwenden.

    E-Mails verschlüsseln mit S/Mime in CommuniGate Pro

    Das Anwender-Zertifikat ist über ein eigenes Passwort zusätzlich gesichert.Eigentlich sollte es gängige Praxis sein, geschäftskritische Nachrichten zu verschlüsseln, so dass vertrauliche Informationen vor der Neugier Unbefugter sicher sind. Das gilt umso mehr, als nun bekannt ist, wie sehr Geheimdienste die gesamte Internet-Kommunikation auch für den Zweck der Wirtschaftsspionage ausspähen. CommuniGate Pro bietet wie andere führende Messaging-Systeme die nötige Infrastruktur für das Signieren und Verschlüsseln von Nachrichten.

    Schlüsselarchivierung für eine Zertifizierungsstelle einrichten

    Aktivierung der Schlüsselarchivierung (Detail)Hat man einen oder mehrere Administratoren berechtigt, als Key Recovery Agents zu fungieren, können diese Zertifikate anfordern, um sie für die Schlüsselwiederherstellung zu verwenden. Damit die Schlüsselarchivierung funktioniert, ist seitens der Zertifizierungsstelle noch zusätzliche Konfiguration vonnöten. Im Wesentlichen handelt es sich um zwei Schritte, die erledigt sein müssen:

    Einrichten eines Key Recovery Agent (KRA)

    Die KRA-StandardvorlageInnerhalb einer PKI spielt der Key Recovery Agent eine wichtige Rolle. Es handelt sich hierbei um einen Administrator, der für die Wiederherstellung von Zertifikaten im Namen eines Endbenutzers autorisiert ist. Da ein Key Recovery Agent mit vertraulichen Daten in Berührung kommen, dürfen nur vertrauenswürdige Personen mit dieser Aufgabe betraut werden. Nur Domänen-Admins oder Mitglieder einer entsprechenden Gruppe können einen KRA bestimmen.

    Zertifikatvorlagen in der Windows-PKI verwalten

    ZertifikatvorlagenkonsoleSobald man die Rolle Zertifikatdienste auf einem Windows-Server installiert hat, stehen vorinstallierte Standard-Zertifikatvorlagen zur Verfügung, auf denen basierend die Clients Zertifikate anfordern können. Diese decken typische Szenarien ab, Administratoren haben jedoch oft differenziertere Anforderungen an die Vorlagen. Dann modifiziert man die Vorlagen oder erstellt auf ihrer Basis neue für die Organisation.

    Zertifikat-Management mit certutil automatisieren

    Die Batch-Datei für makecert.exe und certutil.exeDie Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.

    Kostenlose Zertifikate mit makecert.exe erstellen

    makecert erstellt ein Root-ZertifikatEs gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen.

    Windows Server 2008 (R2) Zertifizierungsstelle einrichten

    Active-Directory-Zertifikatdienste sind installiertWährend private oder Workgroup-Rechner für viele Zwecke, wie etwa die EFS-Verschlüsselung von Dateien, selbstgenerierte Schlüssel und selbstsignierte Zertifikate einsetzen, will man diese in einer Organisation in Form einer PKI zentral verwalten. Der erste Schritt in diese Richtung ist der Aufbau einer Zertifizierungs­stelle. Dieser beginnt mit der Installation der Active-Directory-Zertifikatdienste, einer Rolle des Windows Server 2008 R2.