Bei der Konfiguration einer Zertifikatvorlage für die Registration Authority (RA) Zertifikate für den Registrierungsdienste für Netzwerkgeräte (Network Device Enrollment Service, NDES), kommt insbesondere bei der Verwendung von Hardware Security Modulen (HSM) die Frage auf, welcher Cryptographic Service Provider (CSP) des HSM-Herstellers verwendet werden sollte.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Ein Cryptograpic Service Provider (CSP) ist eine Abstraktion der Schlüsselspeicherung und -Verwendung für Anwendungen, die Zertifikate nutzen. CSP wurden mit Windows Server 2008 und Windows Vista durch Key Storage Provider abgelöst. Nähere Informationen befinden sich im Artikel „Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)„ .
Um diese Frage zu beantworten, ist es hilfreich, zunächst zu überprüfen, welcher CSP bei einer Installation ohne HSM in der Standardeinstellung verwendet wird.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Wie man sieht, handelt es sich hierbei in beiden Fällen um den „Microsoft Strong Cryptographic Provider“. Details zu diesem und anderen CSPs kann man mit folgendem Kommandozeilenbefehl einsehen:
certutil -csplist
Konfiguriert man eigene Zertifikatvorlagen für die Registration Authority Zertifikate ist für die CEP Encryption Zertifikatvorlage der „Microsoft RSA SChannel Cryptographic Provider ausgewählt.
Der Providertyp für den „Microsoft Strong Cryptographic Provider“ ist PROV_RSA_FULL.
Sieht man sich zu den Providertypen die Dokumentation von Microsoft an, findet man folgende Beschreibung.
| Providertyp | Beschreibung (Microsoft) |
|---|---|
| PROV_RSA_FULL | Supports both digital signatures and data encryption. It is considered a general purpose CSP. The RSA public key algorithm is used for all public key operations. |
| PROV_RSA_AES | Supports the same as PROV_RSA_FULL with additional AES encryption capability. |
| PROV_RSA_SCHANNEL | Supports both RSA and Schannel protocols. |
Für die Auswahl des korrekten CSP des HSM sieht man sich nun die Providertypen des jeweiligen HSM-Herstellers an.
Beispiel Gemalto (SafeNet) Luna:
Provider Name: Luna Cryptographic Services for Microsoft Windows
Provider Type: 1 - PROV_RSA_FULL
Provider Name: Luna enhanced RSA and AES provider for Microsoft Windows
Provider Type: 24 - PROV_RSA_AES
Provider Name: Luna SChannel Cryptographic Services for Microsoft Windows
Provider Type: 12 - PROV_RSA_SCHANNEL
Beispiel Utimaco CryptoServer:
Provider Name: Utimaco CryptoServer CSP
Provider Type: 1 - PROV_RSA_FULL
Provider Name: Utimaco CryptoServer RSA and AES CSP
Provider Type: 24 - PROV_RSA_AES
Die Dokumentation über die Providertypen lässt erkennen, dass der PROV_RSA_AES und der PROV_RSA_SCHANNEL beide mindestens die gleichen Funktionalität haben die der PROV_RSA_FULL.
Conclusion
Für die Registration Authority (RA) Zertifikate des Registrierungsdienstes für Netzwerkgeräte sollte mindestens ein CSP vom Typ PROV_RSA_FULL ausgewählt werden.
Für die gängigen Hardware Security Module wären das:
- Gemalto (SafeNet): Luna Cryptographic Services for Microsoft Windows
- Utimaco (CryptoServer): Utimaco CryptoServer CSP
- Thales (nCipher): nCipher Enhanced Cryptographic Provider
Die Verwendung von Key Storage Providern (KSP) ist mit dem Registrierungsdienst für Netzwerkgeräte nicht möglich. Siehe hierzu auch Artikel „Liste des cas d'utilisation des certificats nécessitant des fournisseurs de services cryptographiques (CSP) ou des fournisseurs de stockage de clés (KSP) spécifiques„ .
Autre durcissement de sécurité
Eine schlecht gesicherte NDES Installation kann ein erhebliches Risiko für das Unternehmen bergen.
Die Härtung der Registration Authority Zertifikate ist nur dann sinnvoll, wenn dessen Signaturen auch von der Geräte-Zertifikatvorlage verlangt werden.
Die Verwendung eines Hardware Security Moduls (HSM) ist zur Sicherheitshärtung einer NDES Installation nicht das einzige und nicht das effektivste Mittel.
Neben der Verwendung von HTTPS für die NDES-Administrations-Webseite ist es sehr empfehlenswert, die verbundene Zertifizierungsstelle aus den NTAuthCertificates Objekt im Active Directory zu entfernen und entweder Restrictions de nom (engl. „Name Constraints“) zu verwenden, oder den Umfang der Zertifikatbeantragung durch das Module de politique de TameMyCerts einzugrenzen.
Liens complémentaires :
Sources externes
- Cryptographic Provider Type (Microsoft)
- PROV_RSA_FULL (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.