4
Handlungsempfehlung PKI
Hallo zusammen,
Ich suche u.a. beim BSI, NISI oder Cert usw. eine Empfehlung, wie eine PKI mehrstufig auszusehen hat.
Wie ich das technisch unter Windows aufbaue , kann ich googeln und es gibt genug Tutorials dazu.
Ich suche ein offizielles Dokument, wie man mit der Root CA zu verfahren hat und diese absichert.
Vielen Dank
Mit freundlichen Grüßen
Nemesis
Ich suche u.a. beim BSI, NISI oder Cert usw. eine Empfehlung, wie eine PKI mehrstufig auszusehen hat.
Wie ich das technisch unter Windows aufbaue , kann ich googeln und es gibt genug Tutorials dazu.
Ich suche ein offizielles Dokument, wie man mit der Root CA zu verfahren hat und diese absichert.
Vielen Dank
Mit freundlichen Grüßen
Nemesis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5897957036
Url: https://administrator.de/contentid/5897957036
Printed on: April 27, 2024 at 08:04 o'clock
4 Comments
Latest comment
Moin Nemesis,
sehr allgemein formulierte Frage auf Grund dessen könnte ich dir jetzt 20-30 Links zu Dokumenten zu kommen lassen. Dann könntest du die nächsten 4-6 Wochen lesen, lesen, lesen.
RootCA ist nicht gleich RootCA. Es hängt doch schlussendlich davon ab, welche Aufgaben, Zwecke und Ziele ihr mit der CA verfolgt. Soll es eine
Dazu kommen Themen wie ISO Zertifizierungen, Anforderungen durch geltende Gesetze (z.B. KRITIS), mögliche Auftraggeber und Partner und/oder interne IT Policy.
Gruß,
Dani
sehr allgemein formulierte Frage auf Grund dessen könnte ich dir jetzt 20-30 Links zu Dokumenten zu kommen lassen. Dann könntest du die nächsten 4-6 Wochen lesen, lesen, lesen.
RootCA ist nicht gleich RootCA. Es hängt doch schlussendlich davon ab, welche Aufgaben, Zwecke und Ziele ihr mit der CA verfolgt. Soll es eine
- interne CA sein die ausschließlich für interne Zwecke genutzt wird?
- hybrid CA sein, die sowohl interne als auch externe Zwecke genutzt wird?
- öffentliche CA sein, die Zertifikate ausstellt, die auf der ganzen Welt anerkannt werden (Cross-Signing)?
Dazu kommen Themen wie ISO Zertifizierungen, Anforderungen durch geltende Gesetze (z.B. KRITIS), mögliche Auftraggeber und Partner und/oder interne IT Policy.
Gruß,
Dani
Hallo Dani,
Vielen Dank für deine Antwort.
Momentan handelt es sich um eine interne CA.
Mir geht es um so Punkte wie:
- Root-CA nur für den renew Prozess der Sub-CAs anschalten.
- Gültigkeitsdauer des Root-CA Zerts
- Root-CA Domain Member oder nicht
Etc.
Hintergrund ist der, dass mein Vorgesetzter gerne eine offizielle Empfehlung hätte um diese Maßnahmen dann zu genehmigen.
Gerne auch Kritis aktuell noch nicht betroffen aber ggf. Bald.
Mit freundlichen Grüßen Nemesis
Vielen Dank für deine Antwort.
Momentan handelt es sich um eine interne CA.
Mir geht es um so Punkte wie:
- Root-CA nur für den renew Prozess der Sub-CAs anschalten.
- Gültigkeitsdauer des Root-CA Zerts
- Root-CA Domain Member oder nicht
Etc.
Hintergrund ist der, dass mein Vorgesetzter gerne eine offizielle Empfehlung hätte um diese Maßnahmen dann zu genehmigen.
Gerne auch Kritis aktuell noch nicht betroffen aber ggf. Bald.
Mit freundlichen Grüßen Nemesis
Moin,
seitens BSI wird du keine offizielle Empfehlung finden und vor allem erhalten. Außer ihr seit eine Bundesbehörde. Dann gibt's dafür seitens BSI weitere Dokumente und vor allem Vorgaben.
Vom BSI gibt es diesbezüglich technische Richtlinien, wenn es um Sicherheitsthemen geht:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
https://datatracker.ietf.org/doc/html/rfc5280
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Techni ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Techni ...
Das Ganze zu formen und in ein Konzept zu packen obliegt euch. Weil wenn man eine PKI wirklich gewissenhaft und ordentlich betreiben möchte, muss im Vorfeld sehr viel Hirnschmalz investiert werden.
Vielmehr gelten hier die internationalen Standards aus den verschiedenen Konzernen, die sich im CA Browser Forum organisiert haben. Dazu gibt es auch weitere Dokumente von den Beteiltigen:
https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.8.6.pdf
https://wiki.mozilla.org/CA/Required_or_Recommended_Practices
Die Frage die sich mir stellt ist, ob sich der ganze Aufwand für eure vermeidlich überschaubare Umgebung lohnt. Weil ich kann mir gerade nicht vorstellen, dass ihr die Personalressourcen und Wissen dafür habt?!
Gruß,
Dani
seitens BSI wird du keine offizielle Empfehlung finden und vor allem erhalten. Außer ihr seit eine Bundesbehörde. Dann gibt's dafür seitens BSI weitere Dokumente und vor allem Vorgaben.
Vom BSI gibt es diesbezüglich technische Richtlinien, wenn es um Sicherheitsthemen geht:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
https://datatracker.ietf.org/doc/html/rfc5280
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Techni ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Techni ...
Das Ganze zu formen und in ein Konzept zu packen obliegt euch. Weil wenn man eine PKI wirklich gewissenhaft und ordentlich betreiben möchte, muss im Vorfeld sehr viel Hirnschmalz investiert werden.
Vielmehr gelten hier die internationalen Standards aus den verschiedenen Konzernen, die sich im CA Browser Forum organisiert haben. Dazu gibt es auch weitere Dokumente von den Beteiltigen:
https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.8.6.pdf
https://wiki.mozilla.org/CA/Required_or_Recommended_Practices
Die Frage die sich mir stellt ist, ob sich der ganze Aufwand für eure vermeidlich überschaubare Umgebung lohnt. Weil ich kann mir gerade nicht vorstellen, dass ihr die Personalressourcen und Wissen dafür habt?!
Gruß,
Dani
Gibt es nicht.
Es gibt Whitepapers zur Orientierung.
Gucke dir Mal an wie das Root des Internets signiert wird. Ein fast zeremoniellen Prozess mit ganz vielen Nerds die anreisen und nichts online machen.
Unsere eigentliche Root PKI ist fast immer offline. Wenn sie hochgefahren wird ist die nur isoliert am Netz, heißt man muss vor Ort sein. Nur wenige Systeme genießen bei uns so hohen Schutz.
Eine Komprimierung würde unsere Hard- und Software betreffen.
Es gibt Whitepapers zur Orientierung.
Gucke dir Mal an wie das Root des Internets signiert wird. Ein fast zeremoniellen Prozess mit ganz vielen Nerds die anreisen und nichts online machen.
Unsere eigentliche Root PKI ist fast immer offline. Wenn sie hochgefahren wird ist die nur isoliert am Netz, heißt man muss vor Ort sein. Nur wenige Systeme genießen bei uns so hohen Schutz.
Eine Komprimierung würde unsere Hard- und Software betreffen.