Zertifikatsmanagement mit Dogtag

Richtig ausweisen

Auch die Kommunikation zu internen Diensten sollte verschlüsselt erfolgen. Selbstsignierte Zertifikate verursachen jedoch Warnmeldungen in den Anwendungen der Nutzer, allen voran Webbrowsern. Das Open-Source-Toolset FreeIPA mit dem integrierten Zertifikatsmanagement Dogtag erlaubt es Ihnen, mit wenig Aufwand SSL/TLS-Zertifikate für Intranetdienste zu erzeugen und im Netzwerk bekannt zu machen.
Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

Interne wie auch externe Dienste verwenden durch die Bank eine verschlüsselte Kommunikation mit SSL und TLS. Bei externen Services greifen die Administratoren auf offiziell signierte Zertifikate zurück, wobei vielerorts auch Let's Encrypt völlig ausreicht. Bei internen Diensten auf der anderen Seite kommen überwiegend selbstsignierte Zertifikate zum Einsatz, die bei den Webbrowsern im LAN stets für Unmut sorgen und Meldungen wie "Ihre Verbindung ist nicht sicher" hervorrufen.

Nun möchten Administratoren aber auch bei Intranetanwendungen ein schönes Schlosssymbol für eine vertraute TLS-Verbindung im Browser sehen, anstatt den Nutzern zuzumuten, dass sie für jede einzelne interne Anwendung eine individuelle Ausnahme im Browser anlegen. Das lässt dann auch striktere Sicherheits-Policies für Browser im Unternehmens-LAN zu, sodass diese unvertraute Verbindungen überhaupt nicht mehr öffnen und auch keine Ausnahmeregeln erstellen können. Auch andere interne Dienste sollten mit vertrauenswürdigen Zertifikaten und SSL kommunizieren.

Alles, was Sie dafür brauchen, ist eine eigene CA (Certificate Authority) im Intranet, die für die angebundenen Dienste Zertifikate verwaltet und signiert. Interne Rechner müssen dann nur dieser eigenen Root-CA vertrauen, damit alle von ihr signierten Schlüssel als gütig anerkannt werden.

Eine simple Methode, um eine interne CA zu verwalten, liefert das Open-Source-Zertifikatsystem Dogtag [1], das sich nahtlos in das Benutzer-Directory FreeIPA [2] integriert. FreeIPA ist für Linux, was das Active Directory (AD) in der Wind­ows-Welt darstellt. Es verwendet die gleiche Technologie mit einem LDAP-Backend und der Kerberos-Authentisierung. AD und IPA können einander via Cross Domain Trusts vertrauen, sodass Administratoren heterogener Netzwerke ein verbundenes Directory für Windows- und Linux-Maschinen betreiben können.

In diesem Artikel gehen wir auf die Basisfunktionen von FreeIPA ein und

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022