Als Öffentlicher-Schlüssel-Infrastruktur bzw. Public-Key-Infrastruktur (PKI, engl.: public key infrastructure) bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI ausgestellten Zertifikate sind meist auf Personen oder Maschinen festgelegt und werden zur Absicherung computergestützter Kommunikation verwendet.

Das Windows Server System bietet Ihnen die Möglichkeit eine solche PKI für Ihre Infrastruktur bereit zu stellen. Vor der Implementierung einer PKI sollte man in jedem Fall ein Verständnis für die Grundlagen der Kryptografie und der Infrastruktur öffentlicher Schlüssel mitbringen. Des weiteren kann ich das Whitepaper meiner Kollegen Carsten Kinder und David Cross als vertiefende Lektüre empfehlen: Optimale Methoden zum Implementieren einer Infrastruktur mit öffentlichem Schlüssel (PKI) unter Microsoft Windows Server 2003.

Nach erfolgreicher Installation der PKI ist der nächste Schritt das aktiveren der Protokollierung/Überwachung. Sie können unter Windows Server 2003 die Überwachung einer Zertifizierungsstelle aktivieren und erhalten dann für alle Verwaltungsaufgaben der Zertifikatdienste ein Überwachungsprotokoll. Zur Aktivierung der Überwachung müssen Sie bei einer Offline-Zertifizierungsstelle darauf achten, das in der lokalen Sicherheitsrichtlinie die Protokollierung von Erfolgen und Fehlern aktiviert ist, und bei einer Online-Zertifizierungsstelle, dass diese Protokollierung in einem Gruppenrichtlinienobjekt aktiviert ist, das mit der Organisationseinheit verknüpft ist, in der das Computerkonto der Zertifizierungsstelle liegt. Alle Überwachungsmeldungen der Zertifikatdienste werden im Sicherheitsprotokoll eingetragen und lassen sich in der Ereignisanzeige nachlesen.

Die folgenden Überwachungskriterien lassen sich für eine Zertifizierungsstelle aktivieren oder deaktivieren.

• Datenbank der Zertifizierungsstelle sichern/wiederherstellen. Jeder Versuch die Datenbank der Zertifizierungsstelle zu sichern oder wiederherzustellen, wird im Windows-Sicherheitsprotokoll protokolliert.
• Zertifizierungsstellenkonfiguration ändern. Jeder Versuch, die Konfiguration einer Zertifizierungsstelle zu ändern, wird protokolliert. Dazu können Versuche gehören, AIA- und CDP-URLs oder einen Schlüsselwiederherstellungs-Agenten zu definieren.
• Sicherheitseinstellungen der Zertifizierungsstelle ändern. Jeder Versuch, die Befugnisse in einer Zertifizierungsstelle zu ändern, wird protokolliert. Dazu kann die Aufnahme von Zertifizierungsstellenadministratoren oder Zertifikatmanagern gehören.
• Zertifikatanforderungen verwalten und ausstellen. Protokolliert jeden Versuch eines Zertifikatmanagers, eine Zertifikatanforderung zu bestätigen oder abzulehnen, während der Antragsteller noch überprüft wird.
• Zertifikate sperren und Sperrlisten veröffentlichen. Protokolliert jeden Versuch eines Zertifikatmanagers, ein ausgestelltes Zertifikat zu sperren, oder eines Administrators, eine aktualisierte Sperrliste zu veröffentlichen.
• Archivierte Schlüssel sichern und abrufen. Protokolliert jeden Versuch des Registrierungsprozesses, private Schlüssel in der Datenbank der Zertifizierungsstelle zu archivieren, oder eines Zertifikatmanagers, archivierte private Schlüssel aus der Datenbank auszulesen.
• Zertifikatdienste starten/beenden. Jeder Versuch des Zertifizierungsstellenadministrators, die Zertifikatdienste zu starten oder zu beenden, wird protokolliert.

Hier eine Übersicht der Sicherheitsprotokolleinträge die bei der Überwachung der Zertifikatdienste anfallen:

772 - Die Zertifikatverwaltung hat eine anstehende Zertifikatanforderung abgelehnt.
773 - Die Zertifikatdienste haben eine erneut eingereichte Zertifikatanforderung erhalten. [Das bedeutet, dass ein Zertifikatmanager ein Zertifikat ausgestellt hat, bei dem die Überprüfung des Antragstellers noch nicht abgeschlossen war.]
774 - Die Zertifikatdienste haben ein Zertifikat gesperrt.
775 - Die Zertifikatdienste haben eine Anforderung zur Veröffentlichung der Zertifikatsperrliste erhalten.
776 - Die Zertifikatdienste haben die Zertifikatsperrliste veröffentlicht.
777 - Eine Zertifikatanforderungserweiterung wurde geändert.
778 - Ein oder mehrere Zertifikatanforderungsattribute wurden geändert.
779 - Die Zertifikatdienste haben eine Anforderung zum Herunterfahren erhalten.
780 - Die Sicherung der Zertifikatdienste wurde gestartet.
781 - Die Sicherung der Zertifikatdienste wurde beendet.
782 - Die Wiederherstellung der Zertifikatdienste wurde gestartet.
783 - Die Wiederherstellung der Zertifikatdienste wurde beendet.
784 - Die Zertifikatdienste wurden gestartet.
785 - Die Zertifikatdienste wurden beendet.
786 - Die Sicherheitsberechtigungen für die Zertifikatdienste wurden geändert.
787 - Die Zertifikatdienste haben einen archivierten Schlüssel wiedergefunden.
788 - Die Zertifikatdienste haben ein Zertifikat in die Datenbank importiert.
789 - Der Überwachungsfilter für die Zertifikatdienste wurden geändert.
790 - Die Zertifikatdienste haben eine Zertifikatanforderung erhalten.
791 - Die Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt.
792 - Die Zertifikatdienste haben eine Zertifikatanforderung abgelehnt.
793 - Die Zertifikatdienste haben den Status einer Zertifikatanforderung als >anstehend<< festgelegt.
794 - Die Zertifikatsverwaltungseinstellungen für die Zertifikatdienste wurden geändert.
795 - Es wurde ein Konfigurationseintrag in den Zertifikatdiensten geändert.
796 - Es wurde ein Eigenschaft der Zertifikatdienste geändert.
797 - Die Zertifikatdienste haben einen Schlüssel archiviert.
798 - Die Zertifikatdienste haben einen Schlüssel importiert und archiviert.
799 - Die Zertifikatdienste haben das Zertifizierungsstellenzertifikat veröffentlicht.
800 - Eine oder mehrere Zeilen wurden von der Zertifikatdatenbank gelöscht.
801 - Die Rollentrennung wurde aktiviert.
[Wenn die Rollentrennung aktiviert ist, lautet der Eintrag im Ereignisprotokoll Ja. Wenn sie deaktiviert ist, lautet der Eintrag Nein.]

Sobald Sie die Überwachung von Objektzugriffen bei Erfolg und Fehlschlag aktiviert haben, sorgt die folgende Zeile in einem Nachinstallationsskript dafür, das alle Überwachungskategorien aktiviert sind: certutil -setreg CA\AuditFilter 127

Protokollieren von Zertifikatsdiensten
Die Zertifikatsdienste und zugehörigen Tools (wie z.B. Certificate Authority Monitor) generieren eine Reihe von Protokollen, die von unschätzbarem Wert für die Problembehandlung sind.

• Die Zertifikatsdienste speichern ihre Protokolle unter %SystemRoot%\certsrv.log (bei aktivierter Debug-Protokollierung).
• Certutil.exe speichert unter %SystemRoot%\certutil.log.
• Die CA-MMC speichert unter %windir%\certmmc.log.

So aktivieren Sie die Debug-Protokollierung von Zertifikatsdiensten:

Führen Sie folgenden Befehl aus: certutil -setreg CA\Debug 0xffffffe3
Die Protokolleinträge werden in %windir%\certsrv.log gespeichert.

So deaktivieren Sie die Debug-Protokollierung:

Führen Sie folgenden Befehl aus: certutil -delreg CA\Debug

Protokollieren der Autoregistrierung
Für die Aktivierung der Protokollierung von Autoregistrierungsereignissen müssen Sie einen Wert in der Registrierung hinzufügen. Die verbesserte Protokollierung wird bei der Autoregistrierung für Benutzer und Computer unabhängig aktiviert.

So aktivieren Sie die Autoregistrierungsprotokollierung für Benutzer:
1. Erstellen Sie in der Registrierung einen neuen DWORD-Wert mit dem Namen AEEventLogLevel im Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment.
2. Setzen Sie den Wert auf 0.

So aktivieren Sie die Autoregistrierungsprotokollierung für Computer:
1. Erstellen Sie in der Registrierung einen neuen DWORD-Wert mit dem Namen AEEventLogLevel im
Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment.
2. Setzen Sie den Wert auf 0.

Hinweis: Alle Fehler werden automatisch protokolliert. Sie müssen die Registrierungsschlüssel für die Fehlerprotokollierung nicht aktivieren.

Weitere Informationen sind in den folgenden Dokumenten verfügbar:

• Vertrauenswürdige Stammzertifikate, die von Windows Server 2003, Windows XP und Windows 2000 benötigt werden
• Festlegen von Sperrlisten-Verteilungspunkten in ausgestellten Zertifikaten
• Certificate Authority Monitor ermöglicht es den Status des Certificate Authority (CA) Server zu überwachen.
• Eine Beschreibung der verbesserten PKI-Funktionen von Windows Server 2003 und Windows XP finden Sie in "PKI Enhancements in Windows XP Professional and Windows Server 2003".
• Public Key Infrastructure for Windows Server 2003
• Windows Server 2003 PKI Operations Guide
• Managing a Windows Server 2003 Public Key Infrastructure
• Deploying PKI Inside Microsoft
• How to make an Enterprise certification authority that is running Windows Server 2003 with Service Pack 1 or an x64-based version of Windows Server 2003 compliant with ISIS-MTT version 1.1

Die Präsentation zum TechNet Seminar: "Aufbau einer Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure)" steht ab sofort zum Download bereit.

cu
//.<