Inhaltsverzeichnis
Werbung
Referenzhandbuch
10 Virtual Private Networks - VPN
10.9 Zertifikatsenrollment über SCEP
Zur Sicherung der Kommunikation über öffentlich zugängliche Netzwerke werden immer mehr zertifikatsbasierte
VPN-Verbindungen eingesetzt. Dem hohen Sicherheitsanspruch der digitalen Zertifikate steht dabei ein deutlicher
Mehraufwand für die Verwaltung und Verteilung der Zertifikate gegenüber. Dieser Aufwand entsteht dabei überwiegend
in den Filialen oder Home-Offices einer verteilten Netzwerkstruktur.
Zum Aufbau einer zertifikatsbasierten VPN- Verbindung von einer Außenstelle zum Netzwerk einer Zentrale benötigt ein
VPN-Router die folgenden Komponenten:
1
Zertifikat der Root-CA mit dem Public Key der CA. In der Zentrale muss ebenfalls ein Zertifikat vorliegen, welches
von derselben CA ausgestellt worden ist.
1
Eigenes Geräte-Zertifikat mit dem eigenen Public Key. Dieses Zertifikat ist mit dem Private Key der CA signiert und
stellt die Bestätigung der Identität dar.
1
Eigenen privaten Schlüssel (Private Key).
5
Der SCEP-Client unterstützt ein Zertifikat pro Verwendungszweck (VPN, WLAN-Controller). Bei den CAs kann
neben dem konkreten Verwendungszweck auch die Einstellung 'Allgemein' gewählt werden. Wenn eine allgemeine
CA eingetragen wird, wird diese CA für alle Zertifikate verwendet.
Beim herkömmlichen Aufbau einer VPN-Struktur mit Zertifikaten müssen die Schlüssel und Zertifikate manuell in die
einzelnen Geräte geladen werden und rechtzeitig vor Ablauf getauscht werden. Das Simple Certificate Enrollment Protocol
(SCEP) erlaubt die sichere und automatisierte Verteilung von Zertifikaten über einen entsprechenden Server und reduziert
so den Aufwand für den Roll-Out und die Pflege von zertifikatsbasierten Netzwerkstrukturen. Dabei wird u.a. das
Schlüsselpaar für das Gerät nicht in einer externen Anwendung erstellt und später in das Gerät übertragen, sondern das
Schlüsselpaar wird direkt im VPN-Router selbst erzeugt – der private Teil des Schlüssels muss also niemals das Gerät
verlassen, was einen deutlichen Sicherheitsgewinn darstellt. Sowohl das Root-Zertifikat der CA als auch das eigene
Geräte-Zertifikat kann ein VPN-Router über SCEP automatisiert von einer zentralen Stelle abrufen.
10.9.1 SCEP-Server und SCEP-Client
Die Bereitstellung und Verwaltung der Zertifikate wird von einem SCEP-Server vorgenommen, der neben der Funktion
einer üblichen Certification Authority (CA) um die SCEP-Funktionalität erweitert ist. Dieser Server kann z. B. als Windows
2003 Server CA mit einem speziellen Plug-In (der mscep.dll) realisiert werden. Es existieren daneben eine Vielzahl von
CA-Lösungen die SCEP beherrschen, so beispielsweise die OpenSource-Lösung OpenCA (www.openca.org).
Die SCEP-Erweiterung, also z. B. die mscep.dll, bildet eine zusätzliche Instanz auf dem Server, welche die Anfragen der
SCEP-Clients bearbeitet und an die eigentliche CA weiterreicht. Diese Instanz wird als Registration Authority (RA)
bezeichnet.
Als SCEP-Clients treten die VPN-Router auf, die vom zentralen Server die benötigten Zertifikate automatisiert abrufen
wollen. Für den SCEP-Vorgang werden i.d.R. auch die von der CA signierten Zertifikate der RA (Registration Authority)
benötigt. Für den eigentlichen VPN-Betrieb benötigen die VPN-Router dabei vor allem gültige Systemzertifikate
(Gerätezertifikate). Die anderen ggf. genutzten Zertifikate werden nur für den SCEP-Vorgang benötigt.
10.9.2 Der Ablauf einer Zertifikatsverteilung
Im Überblick verläuft die Verteilung von Zertifikaten über SCEP nach folgendem Schema ab:
614
Werbung
Inhaltsverzeichnis
