Public Key Infrastructure https-smtps-pop3s etc Ver 1.0 Autor: Mag Georg Steingruber Veröffentlicht: November 2005 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt die Installation und Konfiguration einer Public Key Infrastruktur unter Windows Server 2003
Inhalt Übersicht... 3 Installation Zertifikatserver... 4 Voraussetzung...4 Installation...4 HTTPS einrichten (IIS)... 11 Zuweisen eines X.509 Zertifikates... 11 HTTPS voraussetzen... 20 SMTPS, POP3S einrichten... 24 SMTP Server: X.509 Zertifikat zuweisen... 24 POP3,IMAP4 Server: X.509 Zertifikat zuweisen... 33 Smartcard Zertifikate ausstellen... 34 Workstation zur Ausstellung von Smartcards einrichten... 36 Smartcard Zertifikate ausstellen... 41 Zertifikate, Smartcards, https etc 2
Übersicht Der Zugang zu IT Systemen wird noch immer meistens mittels Eingabe von Benutzernamen und Kennwort geschützt. Rechenintensive Crackprogramme nutzen die Performance heutiger EDV Systeme, um Kennwörter zu knacken. Netzwerksniffer leiten den gesamten Netzwerkverkehr Analyseprogrammen zu, die die im Klartext gesendeten Kennwörter ganz einfach auslesen können. Dieses Dokument beschreibt, wie sich IT Administratoren gegen die zuvor beschriebenen Bedrohungen schützen können. Die Implementierung einer PKI (Public Key Infrastructure) für Schulen erfordert in etwa ½ Stunde http Daten analysiert mit dem integrierten Windows Server 2003 - Netzwerkmonitor Zertifikate, Smartcards, https etc 3
Installation Zertifikatserver Voraussetzung Server mit installiertem Windows Server 2003 Standard oder Enterprise Eine Domänenmitgliedschaft des Servers ist keine Voraussetzung, wird von mir jedoch empfohlen, da nur bei bestehender Domänenmitgliedschaft Zertifikatanforderungen automatisch online durchgeführt werden. Installation Klicken Sie Start Systemsteuerung Software Klicken Sie Windows Komponenten hinzufügen Zertifikate, Smartcards, https etc 4
Kreuzen Sie Zertifikatdienste an Klicken sie auf Weiter Klicken Sie auf Ja Zertifikate, Smartcards, https etc 5
Falls der Server Mitglied einer Domäne ist, steht die Option Stammzertifizierungsstelle des Unternehmens zur Verfügung, ansonsten können Sie nur Eigenständige Stammzertifizierungsstellen erstellen Wählen Sie Stammzertifizierungsstelle des Unternehmens Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 6
Geben Sie einen allgemeinen Namen, der Ihre Zertifizierungsstelle bezeichnet ein Erhöhen Sie den Gültigkeitszeitraum Ihrer Zertifizierungsstelle Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 7
Klicken sie auf Weiter Klicken sie auf Ja Zertifikate, Smartcards, https etc 8
Warten Sie bis die Installation fertig ist Zertifikate, Smartcards, https etc 9
Klicken Sie auf Fertig stellen Zertifikate, Smartcards, https etc 10
HTTPS einrichten (IIS) Zuweisen eines X.509 Zertifikates Starten Sie Start-Verwaltung-Internetinformationsdienste-Manager Zertifikate, Smartcards, https etc 11
Rechtsklicken Sie Standardwebseite Wählen Sie Eigenschaften Zertifikate, Smartcards, https etc 12
Wechseln Sie zur Registerkarte Verzeichnissicherheit Klicken Sie auf Serverzertifikat Zertifikate, Smartcards, https etc 13
Klicken Sie auf Weiter Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 14
Wählen Sie die Option Anforderung sofort an eine Onlinezertifizierung senden (Diese Option steht nur bei Stammzertifizierungsstellen des Unternehmens zur Verfügung) Falls Sie die erste Option auswählen, können Sie die Anforderung in eine Datei speichern und im Anschluss über die Webadministration des Zertifikatservers (http://server/certsrv) einreichen. Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 15
Hier können Sie einen neuen Namen vergeben Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 16
Geben Sie eine Organisation und eine Organisationseinheit ein Klicken Sie auf Weiter Dieser Dialog ist der wichtigste bei der Erstellung eines Zertifikates Der Name muss mit dem Namen übereinstimmen, mit dem Sie Ihre Website aufrufen werden. Zertifikate, Smartcards, https etc 17
Geben Sie Land-Bundesland und Ort ein Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 18
Klicken Sie auf Weiter Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 19
Klicken Sie auf Weiter Klicken Sie auf Fertig stellen Ab nun können Sie Ihre Website mit http://www.meineschule.at unverschlüsselt oder mit https://www.meineschule.at verschlüsselt aufrufen HTTPS voraussetzen Um den Benutzer zu zwingen, Ihre Webseite nur verschlüsselt aufrufen zu können, müssen Sie einstellen, dass Ihre webseite einen sicheren Kanal voraussetzt. Dazu gehen Sie wie folgt vor: Starten Sie Start-Verwaltung-Internetinformationsdienste-Manager Zertifikate, Smartcards, https etc 20
Zertifikate, Smartcards, https etc 21
Rechtsklicken Sie Standardwebseite Wählen Sie Eigenschaften wechseln Sie zur Registerkarte Verzeichnissicherheit Klicken Sie auf Bearbeiten im Bereich Sichere Kommunikation Zertifikate, Smartcards, https etc 22
Kreuzen Sie Sicheren Kanal voraussetzen (SSL) Kreuzen Sie 128 Bit Verschlüsselung erforderlich an Zertifikate, Smartcards, https etc 23
SMTPS, POP3S einrichten SMTP Server: X.509 Zertifikat zuweisen Genau so wie http Daten unverschlüsselt übermittelt, werden SMTP, POP3 die Kennwörter unverschlüsselt übertragen Um Schüler davon abzuhalten, mittels snifferprogrammen die Kennwörter auszulesen, kann Exchange die Verwendung von SMTPS bzw POP3S voraussetzen Starten Sie Start-Programme-Microsoft Exchange Systemmanager Rechtsklicken Sie Erste Organisation Wählen Sie Eigenschaften Zertifikate, Smartcards, https etc 24
Kreuzen Sie Routinggruppen anzeigen und administrative Gruppen anzeigen an Zertifikate, Smartcards, https etc 25
Öffnen Sie den Zweig Administrative Gruppen-Erste administrative Gruppe-Server- SERVERNAME-Protokolle-SMTP-Virtueller Standardserver für SMTP Rechtsklicken Sie Virtueller Standardserver für SMTP Wählen Sie Eigenschaften Zertifikate, Smartcards, https etc 26
Wechseln Sie zur Registerkarte Zugriff Klicken Sie auf Zertifikat Zertifikate, Smartcards, https etc 27
Klicken Sie auf Weiter Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 28
Klicken Sie auf Anforderung sofort an eine Onlinezertifizierungsstelle senden Hier können Sie einen Namen eingeben Zertifikate, Smartcards, https etc 29
Klicken Sie auf weiter Geben Sie Organisation und Organisationseinheit ein (hier können beliebige Werte eingegeben werden, diese Daten dienen dazu, dass das Zertifikat über dessen Eigenschaften einer Organisation zugeteilt werden kann) Zertifikate, Smartcards, https etc 30
Dieser Dialog ist der wichtigste bei der Erstellung eines Zertifikates Der Name muss mit dem Namen übereinstimmen, mit dem Sie Ihren SMTP- Mailserver aufrufen werden. Zertifikate, Smartcards, https etc 31
Geben Sie Land-Bundesland-Ort ein Klicken Sie auf Weiter Zertifikate, Smartcards, https etc 32
Klicken Sie auf Weiter Klicken Sie auf Fertig stellen POP3,IMAP4 Server: X.509 Zertifikat zuweisen Für Pop3 gehen Sie analog vor, indem Sie Gruppen-Erste administrative Gruppe- Server-SERVERNAME-Protokolle-POP3-Virtueller Standardserver für POP3 rechtsklicken Zertifikate, Smartcards, https etc 33
Smartcard Zertifikate ausstellen Bevor Sie Smartcards zur Anmeldung verwenden können, müssen Sie vom Kartenhersteller einen sogenannten CSP (Cryptographic Service Provider) erhalten und diesen auf jeder Arbeitsstation, an der Smartcardanmeldungen gewünscht werden, installieren. Um Smartcardzertifikate ausstellen zu können, benötigen Sie ein sogenanntes Registrierungsagentenzertifikat. Außerdem muss die Zertifizierungsstelle angewiesen werden Smartcard Zertifikate auszustellen Starten Sie Start-Verwaltung - Zertifizierungsstelle Zertifikate, Smartcards, https etc 34
Rechtsklicken Sie Zertifikatvorlagen Wählen Sie Neu Auszustellende Zertifikatvorlage Markieren Sie mittels STRG Taste und Maus RegistrierungsAgent, Smartcard Anmeldung und Smartcard Benutzer Klicken Sie auf OK Zertifikate, Smartcards, https etc 35
Workstation zur Ausstellung von Smartcards einrichten Die Workstation, an der Smartcards ausgestellt werden sollen, muss über einen Smartcardreader, den richtigen Treiber für den Smartcardreader sowie den richtigen CSP für die Karte verfügen. Der CSP ist im Normalfall eine dll, die über die Kommandozeile mit regsvr32 c:\daten\csp\cspname.dll installiert werden kann. Außerdem muss die Zertifikatswebseite der Zone der Vertrauenswürdigen Sites zugeordnet werden. Starten Sie den Internet Explorer Wählen Sie Extras-Internetoptionen Wählen Sie die Registerkarte Sicherheit Klicken Sie Vertrauenswürdige Sites Klicken Sie auf Sites Zertifikate, Smartcards, https etc 36
Geben Sie die URL ein und klicken Sie auf Hinzufügen Starten Sie den Internetexplorer Geben Sie http://servername/certsrv ein, wobei SERVERNAME dem Namen Ihres Servers entspricht Klicken Sie Ein Zertifikat anfordern Zertifikate, Smartcards, https etc 37
Klicken Sie erweiterte Zertifikatanforderung ein an Klicken Sie auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen Zertifikate, Smartcards, https etc 38
Wählen Sie Registrierungsagent Klicken Sie auf Einsenden Klicken Sie auf Ja Zertifikate, Smartcards, https etc 39
Klicken Sie auf Dieses Zertifikat installieren Klicken Sie auf Ja Ab nun können Sie auf dieser Arbeitsstation Smartcardzertifikate für andere Benutzer anfordern. Achten Sie darauf, dass niemand unberechtigt Zugang zu diesem Zertifikat erhalten kann (z.bsp. Abmeldung an der Workstation vergessen)!! Zertifikate, Smartcards, https etc 40
Smartcard Zertifikate ausstellen Starten Sie den Internet Explorer Geben Sie http://servername/certsrv ein Klicken Sie Ein Zertifikat anfordern Zertifikate, Smartcards, https etc 41
Klicken Sie erweiterte Zertifikatanforderung an Klicken Sie Ein Smartcard Zertifikat für einen anderen Benutzer mit Hilfe Zertifikate, Smartcards, https etc 42
Klicken Sie auf Ja Klicken Sie auf Benutzer auswählen Zertifikate, Smartcards, https etc 43
Geben Sie den Namen jenes Benutzers ein, für den die Smartcard eingerichtet werden soll Klicken Sie auf Registrieren Zertifikate, Smartcards, https etc 44
Geben Sie den PIN der Smartcard ein Die Smartcard kann verwendet werden, d.h. das X.509 Zertifikat wurde sowohl auf die Smartcard geschrieben als auch im Active Directory dem Benutzer zugeordnet. Um weitere Smartcards auszustellen, klicken Sie auf Neuer Benutzer und wiederholen die obigen Schritte. Zertifikate, Smartcards, https etc 45