PKI von der Stange Secorvo White Paper Aufbau einer ...
PKI von der Stange Secorvo White Paper Aufbau einer ...
PKI von der Stange Secorvo White Paper Aufbau einer ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
© <strong>Secorvo</strong> Security Consulting GmbH<br />
Anhang A Konfigurationsdateien<br />
Einzelne Passagen in den nachfolgenden Konfigurationsdateien, die vor <strong>der</strong>en Einsatz noch<br />
entsprechend <strong>der</strong> in Kapitel 3 beschriebenen Namenskomponenten o<strong>der</strong> Konfigurationsparameter<br />
individuell angepasst werden müssen, sind grau hinterlegt.<br />
An den Stellen, an denen als Teil <strong>von</strong> LDAP-URLS, die sich auf das Active Directory<br />
beziehen, „DC=“<br />
aufgeführt ist, ist für jede Einzelkomponente des Root-Domänennamens jeweils ein eigenes,<br />
per Komma getrenntes DC-Element einzusetzen, also z. B.:<br />
� DC=secorvo,DC=de für die AD-Domäne secorvo.de<br />
� DC=ad-root,DC=acme,DC=us für die AD-Domäne ad-root.acme.us<br />
Als „“ sollte in dem Fall, dass die Gültigkeitsdauer <strong>von</strong><br />
Root-CA-Zertifikat und Issuing-CA-Zertifikat gleich gewählt werden (vgl. Abschnitti 3.4.3)<br />
eben diese Anzahl <strong>von</strong> Jahren eingesetzt werden, ansonsten die geplante Gültigkeitsdauer<br />
des Issuing-CA-Zertifikats. Die Werte im Konfigurationsskript für die Root-CA (Anhang A.1.2)<br />
legen direkt die Gültigkeitsdauer <strong>der</strong> <strong>von</strong> <strong>der</strong> Root-CA ausgestellten Zertifikate für Issuing-<br />
CAs fest. Im Konfigurationsskript für die Issuing-CA (Anhang A.2.2) wird damit eine<br />
Obergrenze für die Gültigkeitsdauer <strong>der</strong> <strong>von</strong> dieser CA ausgestellten Anwen<strong>der</strong>zertifikate<br />
vorgegeben. Maßgeblich für die tatsächlich verwendete Gültigkeitsdauer <strong>von</strong><br />
Anwen<strong>der</strong>zertifikaten ist jedoch die Vorgabe im jeweiligen Certificate Template, die allenfalls<br />
entsprechend dieser Obergrenze gekappt wird. An dieser Stelle in Anhang A.2.2 kann also<br />
ggf. auch ein kl<strong>einer</strong>er Wert als die Gültigkeitsdauer des Issuing-CA-Zertifikats eingetragen<br />
werden, um die Auswirkungen <strong>einer</strong> Fehlkonfiguration <strong>der</strong> Gültigkeitsdauer in einem<br />
Certificate Template für Anwen<strong>der</strong>zertifikate zu begrenzen.<br />
A.1 Konfigurationsdateien für die Root-CA<br />
A.1.1 Vor <strong>der</strong> Installation: capolicy.inf<br />
[Version]<br />
Signature="$Windows NT$"<br />
[Extensions]<br />
2.5.29.15=AwIBBg==<br />
critical=2.5.29.15<br />
<strong>Secorvo</strong> <strong>White</strong> <strong>Paper</strong> <strong>PKI</strong> <strong>von</strong> <strong>der</strong> <strong>Stange</strong> Seite 38 <strong>von</strong> 43<br />
WP17 <strong>PKI</strong> <strong>von</strong> <strong>der</strong> <strong>Stange</strong> 08 Stand 02. März 2011
Change language