Zertifikatsdienste

[diana]

Guten Morgen,

es geht um Verschlüsselung von Daten. Da habe ich erfahren, dass man solche Dinge wie Zertifikate und Authentifizierung auch auf Windows 2000 Server konfigurieren kann, ohne ein Programm mit asymmetrischer Verschlüsselung zu schreiben. Leider habe ich keinen blassen Schimmer und auch keine Literatur darüber. Wäre also schön, wenn jemand Bescheid weiß oder gar schonmal so was aufgebaut hat. Ich weiß nämlich nicht mal wo ich anfangen soll... :-(

[pepper]

Hallo!

Nun, ein Zertifikat bekommst Du entweder von einer im Web erreichbaren Zertifizierungsstelle (=CA) oder von einer solchen, die möglicherweise im Unternehmensnetz installiert ist.

Ab Windows 2000 besteht die Möglichkeit, über IPsec den Netzwerkverkehr zu verschlüsseln: Start, Ausführen: mmc

Dort: Konsole (Datei) Snap-In hinzufügen, hinzufügen: IP-Sicherheitsrichtlinienverwaltung -> beim Server "lokaler Computer" auswählen, Fenster schließen.

Du siehst innerhalb der MMC die drei Standardimplementierungen für IPsec-Verkehr:

1. Client (nur Antwort): bedeutet, dass der Client keinen IPsec-Verkehr initiieren kann; wenn er aber danach gefragt wird, kann er auf IPsec-Ebene antworten und eine verschlüsselte Kommunikation ist möglich.

2. Server (Sicherheit anfordern): bedeutet, dass dieser Rechner gerne IPsec machen würde; unterstützt der Kommunikationspartner dies, erfolgt die Kommunikation verschlüsselt, andernfalls eben nicht.

3. Sicherer Server (Sicherheit erforderlich): bedeutet, dass die Gegenseite IPsec unterstützen muss, andernfalls lehnt der Server die Kommunikation ab.

In der Standardeinstellung nutzt IPsec Kerberos als Authentifizierungsmethode; ist allerdings nur nützlich, wenn eine ActiveDirectory vorhanden ist (ActiveDirectory spricht Kerberos; wenn Du einen Client hast, der nicht in der Domäne ist, kann keine Authentifizierung desselben per Kerberos stattfinden und somit findet auch keine Kommunikation statt). Hier gibt es die Möglichkeit, Dein oben erworbenes Zertifikat als Authentifizierungsmethode anzugeben oder Du entscheidest Dich für einen sog. preshared key, der allerdings im Klartext innerhalb dieser IPsec-Richtlinie abgelegt wird und somit von jedermann mit Adminrechten ausgelesen werden kann (nicht soooo sicher).

Nach erfolgter Authentifizierung (via Kerberos, Zertifikat oder preshared key) erfolgt die Kommunikation verschlüsselt (ESP - Encapsulating Security Payload).

Noch Fragen?

Dran denken, dass wenn Du eine Richtlinie wie oben (1., 2. oder 3.) auf dem Server einrichtest, dass Du auf den Kommunikationspartnern (Clients) ebenfalls Richtlinien (evtl. per GPO) verteilst/erstellst....

Gruß,

pepper