[Server 2008] Certificate Authority

Allen,

Ik ben bezig om onze Certficiate Authority servers opnieuw op te zetten vanwege een nieuwe Lync / Exchange implementatie. Het gaat hierbij om een internationaal bedrijf en we zijn vanuit Europe verbonden met een site-to-site VPN met Amerika. Op dit moment draait er alleen een Enterprise Root CA in Amerika die ook alle requests afhandelt. Nou heb ik al begrepen uit TechNet documentatie dat dit vanwege security niet verstandig is. Vandaar dat ik ervoor heb gekozen om de complete CA omgeving opnieuw in te richten en dit keer volgens Microsoft Best Practise.

Wat ik wil bereiken is het volgende:
- 1 Offline Root CA
- 2 Subordinate CA's die de requests afhandelen. 1 in Europe en 1 in Amerika. Deze zullen ook als failover voor elkaar moeten dienen maar volgens mij gebeurt dit al automatisch.
Visio overzicht:


De Europe Lync appliance zal gebruik moeten maken van de Europese SubCA en de Amerikaanse Lync appliance van de Amerikaanse SubCA. Ik heb al de volgende URL gevonden om het e.e.a. te configureren:
http://marckean.wordpress...ca-with-a-subordinate-ca/

Ben ik op de juiste weg met het uitdenken van mijn CA topologie door bijv. per locatie een SubCA te installeren? Ik ben eigenlijk stiekem een beetje op zoek naar bevestiging dat ik de juiste weg aan het bewandelen ben.

Alvast bedankt!

[ Voor 3% gewijzigd door Snors op 26-02-2013 11:52 ]

Question Mark schreef op dinsdag 26 februari 2013 @ 13:08:
Het inrichten zal opzich het probleem nog niet zijn. Maar denk ook aan het uitfaseren/vervangen van je huidige Root-CA. En hoe ga je om met de huidig uitgegeven certificaten en crl's, het validatiepad bestaat straks immers niet meer.

Verder krijg je nog te maken met een hoop processen en andere vragen... Hoe gaat je root-CA offline gehouden worden. Op uitgeschakelde hardware die je na een x-periode aanzet in de hoop dat deze het doet? Wil je je offline root-CA ook voorzien van patches. Wie gaat fysiek toegang krijgen tot deze server, wie mag deze inschakelen, hoe ga je je CA's qua security "hardenen"?

De techniek is nog niet eens het meest spannende, de processen eromheen worden de grootste uitdaging...

Mee eens! Op dit momement draait onze Exchange server op publieke certificaten(welgeteld 5 uit me hoofd) hier hoef ik me dus geen zorgen over te maken. Eigenlijk draait alleen onze Lync omgeving op de CA server. Vorige week hebben we de CA server al vervangen voor een single Root CA + certificaten vervangen maar toen was dit alles nog niet uitgedacht. Inmiddels wel en vandaar deze post om niet weer de fout in te gaan. De offline Root-CA wordt een virtuele machine. Makkelijk te backupen en zo ben je niet afhankelijk van Hardware failures. De NIC kan hierdoor makkelijk uitgeschakeld worden en indien nodig af en toe in te schakelen voor Patches etc.

Wie krijgt hier dan toegang toe? Alleen onze IT-afdeling, al denk ik dat dit uiteindelijk alleen ik en de hoofd-manager IT zal worden. SubCA's zullen via een aantal extra firewall rules beschermt worden en uiteraard de laatste updates etc. We zijn op dit moment bezig met een groot Security project waarbij ook de CA servers in mee worden genomen.

Bedanklt voor het advies maar ik hoor dus nog graag of de uitgedachte techniek op deze manier gaat werken zoals ik het heb omschreven. Als een soort van extra bevestiging voordat ik weer de hele boel moet gaan demoten omdat er weer een kleine fout wordt gemaakt. Mijn eerste post is gebasseerd op TechNet documenten dus volgens mij zit ik goed maar het is nooit verkeerd om van 3den input te krijgen!

Thanks!

Question Mark schreef op dinsdag 26 februari 2013 @ 13:59:
[...]


[...]

Fout gedacht... Elke beheerder van de virtuele omgeving (en dan met name je datastores), elke storagebeheerder, en iedereen met toegang tot je backups heeft met deze opzet toegang tot de root-CA. De eerste de beste audit die je hopelijk laat uitvoeren zal je hierover gaan doorzagen...

Denk hier dus goed over na

Qua techniek klopt je insteek wel hoor. Je root wil je offline houden, en voor de rest gebruik je sub-CA's. Voor de rest zou je nog even na kunnen denken over OS-varianten, Windows Enterprise biedt wat meer opties voor CA's (zoals bv. online responders), of je de optie wilt om eigen templates te defineren en zoja welke, wil je auto-enrollment of moet elke aanvraag apart goedgekeurd worden, etc.

Pas als al dit soort vragen beantwoord zijn, kan pas begonnen worden met het ontwerp.

Goed punt en ook zeker dat zal meegenomen worden. We zijn bezig met het her-verdelen van de IT Roles etc / wellicht een aparte XenServer opzetten aangezien er binnen de IT afdeling nogal veel wordt gewisseld van IT medewerkers.

Wat ik wel vreemd vind is dat de partij die ons gaan assisteren met de Lync implementatie (KPN / StartReady) hier heel makkelijk over denken. Het antwoord wat je daar krijgt is "Oh als onze scripts geen CA herkennen binnen jou Site dan wordt er gewoon een Root CA geinstalleerd op de Lync Front-End server en zal deze gebruikt worden voor je Lync omgeving" Na 5 minuten googlen kom je er al achter dat dit voor hele benauwde situaties kan zorgen met oog op de toekomst en dit een totaal verkeerde benadering is voor het inrichten van een CA omgeving. Zeker van zo'n grote partij als KPN had ik anders verwacht maar OK blij dat ik zelf wat research heb gedaan.

Desalnietemin enorm bedankt voor de input! Hier kan ik zeker wat mee en ik ga het ontwerp nog eens bekijken en knopen door hakken.