Opmerking van de redactie: Dit artikel werd oorspronkelijk gepubliceerd in september 2016 en is bijgewerkt door GlobalSign Regional Product Manager, Sebastian Schulz, om extra informatie te geven over de voordelen van AD CS.
Ontelbare organisaties gebruiken Windows Server als basis voor hun IT-infrastructuur. Talloze organisaties gebruiken PKI ook voor verschillende beveiligingsbehoeften (zoals het beveiligen van webservers [SSL], op certificaten gebaseerde authenticatie, digitale handtekeningen voor documenten en het coderen van e-mails [S/MIME]). We zijn echter vaak verrast om te horen hoeveel mensen niet weten dat deze twee kunnen worden gekoppeld. Active Directory Certificate Services (AD CS) invoeren.
Wat is Active Directory Certificate Services (AD CS)?
Volgens Microsoft zelf is AD CS de "Server-functie waarmee u een openbare sleutelinfrastructuur (PKI) kunt opzetten en cryptografie van openbare sleutels, digitale certificaten en mogelijkheden van digitale ondertekening voor uw organisatie kunt leveren.”
We zullen hier nu wat dieper op ingaan. Als je met PKI hebt gepuzzeld is de kans groot dat je je realiseert dat je AD CS niet nodig hebt om een CA te bouwen en certificaten voor handtekeningen en zoveel andere toepassingen zijn ook online beschikbaar. Dus waarom zou je de moeite nemen om AD CS te gebruiken? De aanwijzing hier is het woord "verstrekken". De waarheid is dat het relatief eenvoudig is om je eigen CA te maken en een handvol certificaten te ondertekenen met tools zoals OpenSSL. Het is ook triviaal om een paar certificaten te kopen van een CA zoals GlobalSign en ze handmatig te installeren maar AD CS doet meer dan dat. Het stelt uw organisatie in staat om certificaten van een CA op grote schaal te verspreiden, voor organisaties met duizenden werknemers en mogelijk nog meer apparaten. Hoe werkt dat?
Active Directory is een directory-dienst voor Windows-domeinnetwerken. Daarom zijn de hoekstenen van elke Active Directory implementatie Active Directory Domain Services (AD DS). AD DS slaat informatie op over gebruikers, computers en groepen binnen een domein (zoals globalsign.com), maar controleert ook hun referenties en stelt toegangsrechten in. Zoals elke werknemer van een bedrijf geregistreerd is bij HR en een dossier heeft met al zijn relevante informatie, zo onderhoudt AD DS deze informatie voor de leden van het domein. Aangezien AD DS de fundamentele directory is, kan de informatie die in deze directory is geregistreerd, worden gebruikt door andere Active Directory diensten - zoals AD CS.
Voordelen van het Gebruik van Active Directory Certificate Services (AD CS)
Het gebruik van AD CS biedt een aantal voordelen, meestal betreffende certificaatbeheer.
- Extraheren uit Active Directory - U kunt de bestaande informatie over de identiteit van het eindpunt die in AD aanwezig is gebruiken om zich voor certificaten te registreren (om herregistratie te voorkomen). Dit betekent dat gebruikers en computers die bij uw AD zijn geregistreerd, hun informatie automatisch in de certificaten kunnen laten opnemen. Niemand zou dat allemaal handmatig willen aanvragen, toch?
- Gebruik maken van bestaand groepsbeleid - U kunt AD-Groepsbeleid configureren (regels voor groepen van bepaalde gebruikers die in het AD zijn gedefinieerd, bijvoorbeeld alle werknemers die in de boekhouding werken) om te bepalen welke gebruikers en apparaten welke soorten certificaten mogen gebruiken. Dit is geweldig om rol- of attributie gebaseerde toegangscontrole te implementeren.
- Automatiseren van certificatenuitgifte en levenscyclusbeheer - Zodra een eindpunt voor het eerst online gaat, wordt er een verzoek naar AD verzonden om te controleren tot welke soorten certificaten (templates genaamd) het eindpunt op basis van het Groepsbeleid toegang heeft. Op basis van de resultaten van dat verzoek vraagt het eindpunt de juiste certificaten aan, die vervolgens naar het eindpunt worden teruggestuurd en geïnstalleerd. Certificaten kunnen worden ingesteld om automatisch te worden verlengd zo vaak als je wilt. Dit laat u toe om korte termijn certificaten te gebruiken terwijl de zorgen over onverwacht verlopen en lacunes in de dekking worden geëlimineerd.
- Geruisloze Installatie - Zoals hierboven aangeduid, is het installatieproces automatisch en vereist het geen tussenkomst van de eindgebruiker (of IT). PKI kan een nachtmerrie op grote schaal zijn, tenzij uw automatisering goed zit. AD kan u daarmee helpen!
De Nadelen van Active Directory Certificate Services (AD CS): Uw Eigen CA Uitvoeren
Nu, na de hierboven beschreven voordelen, denkt u misschien: "meld me aan!" Maar we kunnen het niet echt hebben over AD CS zonder het andere kritieke element van dit type PKI-configuratie te bespreken - de interne CA (d.w.z. Microsoft CA) die de certificaten levert. AD CS in het hierboven besproken scenario is een soort ober die aanvragen van eindpunten opneemt en de juiste certificaten aflevert en het is een uitstekende ober! Het is de "keuken" (d.w.z. Microsoft CA) waarvan het beheer wat kopzorgen kan geven.
We hebben de nadelen van het uitvoeren van een interne CA in het verleden behandeld, maar in het algemeen komen ze neer op dezelfde argumenten die u altijd tegenkomt wanneer u probeert om tussen uitbesteding of interne afhandeling te kiezen. Denk erover na. Zou u tijd, geld en middelen aan de ontwikkeling van een interne CRM wijden? Of zou u één van de vele, gemakkelijk verkrijgbare SaaS-opties gebruiken die door experts zijn ontworpen?
En aangezien het veel complexer is dan een CRM, voegt PKI ook aanvullende overwegingen toe aan de discussie. Hier zijn slechts een paar voorbeelden:
- Hardwarekosten - U moet uw root en privésleutels voor ondertekening op beveiligde hardware beschermen en opslaan (bijv. Hardware Security Module).
- Validatie services onderhouden - U dient ervoor te zorgen dat u een manier heeft om de geldigheid van een certificaat te controleren, zoals het bijwerken van CRL's, het behouden van CRL's en het uitvoeren van OCSP-services. Deze kunnen een nog grotere uitdaging vormen dan de distributie en het beheer van de levenscyclus van certificaten. Als een andere partij de geldigheid van uw certificaten wil controleren, moeten CRL's en OCSP-respondenten 24/7 beschikbaar zijn over de hele wereld.
- Interne PKI-expertise - PKI is complex en de beste werkwijzen evolueren voortdurend. Senior PKI-professionals zijn moeilijk te vinden en zijn vaak niet goedkoop. Hoe zorgt u ervoor dat uw PKI veilig is? Hoe zorgt u ervoor dat u zich aan de regels houdt? Hoe past u zich aan, aan veranderingen in cryptografische standaarden?
Het Beste van Beide Werelden? Een Active Directory Integratie van een externe CA
Reeds geruime tijd, en sommige mensen denken dit waarschijnlijk nog steeds, was de enige manier om Active Directory voor PKI te gebruiken en al die geweldige voordelen te krijgen het gebruik van AD CS en het uitvoeren van uw eigen CA, maar de tijden zijn veranderd! Een paar openbare CA's (zoals GlobalSign) bieden nu integraties met AD aan die u dezelfde administratieve en automatiseringsvoordelen bieden zonder de noodzaak om een CA intern te beheren.
Met deze integraties kunt u AD en Groepsbeleid nog steeds gebruiken voor de registratie en toewijzing van certificaten, maar de aanvragen voor certificaten worden verzonden en beantwoord door de openbare SaaS-gebaseerde CA. Certificaten kunnen nog steeds automatisch worden verstrekt, vernieuwd en geruisloos worden geïnstalleerd.
Sommige organisaties willen de volledige controle behouden en over de interne middelen beschikken om een Microsoft CA te ondersteunen. Sommige niet, in welk geval het belangrijk is om te weten dat dit soort openbare CA-integraties bestaan. Het belangrijkste aandachtspunt hier is dat Active Directory een zeer krachtige tool kan zijn voor het gebruik van PKI, ongeacht hoe u dat doet.
Bezoek onze website voor meer informatie over het gebruik van Active Directory om PKI te automatiseren en het gebruik van grote volumes te vergemakkelijken
