Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.144 Nutzung der Windows 2000 CA - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.144 Nutzung der Windows 2000 CA

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Windows 2000 wird mit eigenen PKI-Komponenten ausgeliefert. Eine Hauptkomponente jeder PKI (Public Key Infrastruktur) bildet dabei die so genannte CA (Certificate Authority, Zertifikatsausgabestelle). Windows 2000 kann generell auch ganz ohne PKI bzw. CA betrieben werden, wenn spezielle Windows 2000 Funktionen, wie z. B. chipkartenbasiertes Logon und SSL-Kommunikation zwischen Betriebssystemkomponenten, nicht genutzt werden. Ist die Entscheidung für den Aufbau einer Windows 2000 PKI gefallen und wurde eine entsprechende PKI-Planung (siehe dazu M 2.232 Planung der Windows 2000 CA-Struktur) durchgeführt, so muss eine der Windows 2000 CAs (Enterprise-CA oder Stand-alone-CA) installiert und betrieben werden.

Aus Sicherheitssicht ergeben sich dabei folgende Aspekte, die zu berücksichtigen sind:

Beim Betrieb einer Stand-alone-CA wird das Ausstellen von Zertifikaten durch den CA-Administrator angestoßen, nachdem die Rechtmäßigkeit der Zertifikatsanforderung durch ihn überprüft wurde. Dieser Autorisierungsschritt fehlt, wenn eine Enterprise-CA eingesetzt wird, die Zertifikatsanfragen automatisch bearbeitet. Für die Enterprise-CA sind daher außerdem die folgenden Aspekte zu berücksichtigen:

Generell muss auch berücksichtigt werden, dass die Rückruflisten entsprechend dem CA-Konzept erstellt und verteilt werden müssen. Die aufgezeigten Maßnahmen müssen immer auf den konkreten Fall angepasst werden.

Ergänzende Kontrollfragen: