SICHERHEIT AUF DEM PRÜFSTANDStellen Sie eine global vertrauenswürdige PKI bereit

John Morello

Dieser Artikel enthält vorläufige Informationen, die geändert werden können.

Eine Public Key-Infrastruktur (PKI) ist ein grundlegendes Element beim Aufbau von Vertrauen zwischen unterschiedlichen Anwendungen, Betriebssystemen und Identitätsbereichen. Es baut auf einem hierarchischen Vertrauensmodell auf, in dem Endeinheiten einem allgemeinen Schlüssel auf höchster Stammebene vertrauen, und daher wird allen anderen Schlüsseln, die von diesem Stamm signiert werden, implizit vertraut.

Aufgrund dieser Struktur kann eine gut entworfene PKI einfach skaliert werden, indem zusätzliche Zertifizierungsstellen (CAs) ohne eine Änderung der Endeinheiten hinzugefügt werden.

PKIs werden normalerweise auf eine von zwei Arten implementiert. Die gebräuchlichste Methode ist der Erwerb erforderlicher Zertifikate von einem der implizit vertrauenswürdigen globalen Stammanbieter, wie z. B. Cybertrust oder VeriSign. Diese Zertifikate werden häufig für die Sicherung von Datenverkehr auf Websites verwendet, können jedoch auch für die Verschlüsselung von virtuellen privaten Netzwerken (VPNs), die Signierung von E-Mail und ähnliche Aufgaben verwendet werden. Da diese globalen Stämme in jeden modernen Webbrowser und in jedes Betriebssystem integriert sind, kann diese Methode leicht eine Vertrauensstellung über Organisationsgrenzen hinweg schaffen. Da diese Zertifikate jedoch auf einer Bedarfsbasis erworben werden, kann dieser Ansatz für eine weit verbreitete Implementierung innerhalb einer großen Organisation kostspielig sein.

Das interne PKI-Modell ist in letzter Zeit immer häufiger verwendet. Wie der Name sagt, wird einer internen PKI nur innerhalb eines organisationseigenen Netzwerks vertraut. Dieses Modell bietet eine kostengünstigere Lösung für eine Organisation, um jeden Benutzer und Computer im Netzwerk mit Zertifikaten auszustatten. Dieser Ansatz wird häufig verwendet, um Technologien wie Smartcard-Anmeldung, verschlüsselndes Dateisystem (EFS, Encrypting File System) und sicheres, drahtloses Netzwerk zu ermöglichen. Der Nachteil ist, dass diese Zertifikate nicht für nach außen gerichtete Anwendungen geeignet sind, da sie nicht global vertrauenswürdig sind. Folglich setzen die meisten Organisationen, die interne PKIs implementieren, einen kombinierten Ansatz ein und erwerben Zertifikate für öffentliche Anwendungen von einem der global vertrauenswürdigen Stämme.

Aber wie wäre es, wenn Sie das Beste beider Ansätze haben könnten? Was wäre, wenn Ihre Organisation ihre eigene PKI ausführen könnte – mit der Kostenersparnis, die Sie durch Ausgabe interner Zertifikate erzielen können – und gleichzeitig öffentlich vertrauenswürdige Zertifikate bereitstellen kann, und das alles von Ihrem lokalen System aus? So eine Lösung würde die Vorteile von einer internen PKI bieten (wie Active Directory®-Integration, automatische Registrierung und lokalisierten IT-Support), während der Kernvorteil eines global vertrauenswürdigen Stamms zur Verfügung gestellt wird. Die Louisiana State University (LSU) verfügt über genau so ein System. In dieser Ausgabe von „Sicherheit auf dem Prüfstand“ wird die Lösung, die an der LSU implementiert wurde, genau unter die Lupe genommen, das technische Design wird diskutiert, und die Best Practices für die Bereitstellung eines ähnlichen Systems werden vorgestellt. Dabei sollte beachtet werden, dass die hier beschriebene Lösung die speziellen Anforderungen der gegebenen Umgebung, Ressourcen und Geschäftsanforderungen erfüllt. Untersuchen Sie alle Aspekte Ihres Geschäfts im Voraus, um den Lösungstyp zu bestimmen, der für Sie geeignet ist.

Verwendung der PKI an der LSU

Die LSU ist eine wichtige Forschungsuniversität mit über 40.000 Studenten, Lehrenden und sonstigen Mitarbeitern. Es verfügt über zahlreiche öffentliche Websites, von denen viele Transport Layer Security erfordern, der ordnungsgemäße Begriff für SSL-Zertifikate (Secure Sockets Layer). Die LSU gab jedes Jahr tausende von Dollar für Zertifikate der global vertrauenswürdigen Stammanbieter aus.

Abgesehen davon hatte die LSU weitere IT-Sicherheitsziele, die von einer optimal entworfenen, internen PKI profitieren konnten. In Anbetracht der Ziele und Anforderungen der LSU hätten Sie vielleicht erwartet, dass wir ein Hybridmodell ausgewählt hätten. Stattdessen haben wir uns für einen innovativeren Ansatz entschieden.

Wir haben gemeinsam mit einem der global vertrauenswürdigen Stämme, Cybertrust, eine Zertifizierungsstelle auf dem LSU-Gelände bereitgestellt, die einer Cybertrust-Stammzertifizierungsstelle untergeordnet ist (siehe Abbildung 1). Cybertrust bietet diesen Dienst in seinem OmniRoot-Programm an. In diesem Szenario erstellt und betreibt die LSU eine Zertifizierungsstelle, die lokal auf LSU-eigener Technik ausgeführt wird. Im Unterschied zum an früherer Stelle beschriebenen, internen Modell ist die Zertifizierungsstelle von LSU nicht selbst signiert, und ihrem Schlüssel (einschließlich aller, die sie signiert) wird von nahezu allen modernen Betriebssystemen und Browsern implizit vertraut. Genau genommen ist dieses Design eine logische Erweiterung der Offenheit der x.509-Standards. Da eine PKI auf diesen Standards aufbaut, ist es möglich, von verschiedenen Herstellern erstellte Systeme in dieselbe Gesamthierarchie zu integrieren. Besonders interessant bei der OmniRoot-Lösung sind dabei die Nutzungebedingungen für den Dienst.

Abbildung 1** Globales Cybertrust-Stammzertifikat **(Klicken Sie zum Vergrößern auf das Bild)

Der OmniRoot-Dienst ist speziell für die Art von PKI-Bereitstellung entworfen, die an der LSU implementiert wurde. Im OmniRoot-Programm zahlen Organisationen eine festgelegte jährliche Gebühr an Cybertrust für die Beteiligung am Programm und zahlen zusätzlich eine Gebühr pro Zertifikat für die Zertifikate, die für die öffentliche Verwendung erstellt werden. Anders gesagt kann die LSU so viele Zertifikate ausstellen, wie für die interne Verwendung erforderlich sind, ohne sich Sorgen über die auflaufenden Kosten pro Zertifikat zu machen. Mittlerweile sind die Kosten der öffentlichen Zertifikate nun erheblich günstiger als zu dem Zeitpunkt, als die Universität Zertifikate nach Bedarf erwerben musste.

Um jegliche Verwirrung zu vermeiden – die internen Zertifikate und die öffentlichen Zertifikate sind vom technischen Standpunkt aus gesehen identisch. Sie werden von derselben Zertifizierungsstellenkette ausgestellt, verfügen über dieselben kryptografischen Stärken und werden von demselben Registrierungsstellensystem bereitgestellt. Der einzige Unterschied zwischen den beiden Zertifikaten liegt in den Bestimmungen des Lizenzvertrags.

Es war uns letzten Endes möglich, die IT-Sicherheitsplattform der LSU zu geringeren Kosten zu erweitern und zu verbessern. Diese Art von PKI-Lösung war für die LSU ein großer geschäftlicher Erfolg. Im Folgenden finden Sie eine genauere Betrachtung der technischen Einzelheiten der Bereitstellung.

PKI-Hierarchie

Die PKI-Hierarchie der LSU baut auf einem zweistufigen Design auf, wobei die Stammstufe von Cybertrust verwaltet wird und sich die ausstellenden Onlinezertifizierungsstelle an der LSU befindet (siehe Abbildung 2). Die Stammstufe bildet den Kern des Vertrauens in der Hierarchie. Mit anderen Worten, die Vertrauensstellung aller Zertifikate, die von einer beliebigen Zertifizierungsstelle in der Hierarchie ausgestellt werden, fällt unter die Stammzertifizierungsstelle (siehe Abbildung 3). Folglich bildet die Stammzertifizierungsstelle die gemeinsame Verbindung zwischen allen Zertifizierungsstellen, Zertifikaten und Endeinheiten in der Hierarchie. Da der globale Cybertrust-Stamm bereits in Windows® und praktisch jedes sonstige moderne Computersystem integriert ist, geht diese gemeinsame Verbindung automatisch über das LSU-Netzwerk hinaus.

Figure 2 Zweistufige PKI-Hierarchie

Abbildung 3** Von der ausstellenden Zertifizierungsstelle der LSU ausgestelltes Zertifikat **(Klicken Sie zum Vergrößern auf das Bild)

Cybertrust verwaltet die Stammzertifizierungsstelle in einer seiner sicheren Hosteinrichtungen. Die Hosteinrichtung verwendet leistungsstarke physische Sicherheitseinrichtungen, einschließlich Schleusen, biometrischer Schlösser und eines vollständig mit Kupfer ummantelten Speichertresors. Cybertrust stellt Zertifikate nur für die ausstellenden Zertifizierungsstellen von Organisationen aus, die eine Kompatibilität mit seinen Sicherheits- und Zertifikatrichtlinien demonstriert haben.

Die ausstellende Zertifizierungsstelle der LSU ist ein auf die Endeinheit ausgerichtetes System, das verantwortlich ist für die Bereitstellung von Zertifikaten für die Benutzer und Computer der LSU. Ihr Zertifikat wird von der in der Hierarchie übergeordneten Cybertrust-Zertifizierungsstelle signiert und gibt Zertifikate aus, die bis zur Cybertrust-Stammzertifizierungsstelle verkettet sind (siehe Abbildung 3).

Ausstellendes Betriebssystem und ausstellende Hardware

Die LSU verwendet Windows Server® 2003 Enterprise Edition mit Service Pack 1 für seine ausstellende Zertifizierungsstelle. Der Windows Server 2003-Zertifizierungsstellendienst bietet zahlreiche neue Funktionen, einschließlich Schlüsselarchivierung, Deltazertifikatssperrlisten (CRLs) und "Version 2"-Vorlagen. Die Instanz von Windows, die als die ausstellende Zertifizierungsstelle verwendet wird, ist gemäß der Windows Server-Standardbuildrichtlinie der LSU aufgebaut. Sie ist mit allen relevanten Sicherheitsupdates aktualisiert und wird mithilfe der standardmäßigen LSU-Änderungsverwaltungsmethoden und Softwareinventur- und Aktualisierungstools verwaltet. Kurz gesagt, während es bestimmte einmalige Aspekte für die Verwaltung des Zertifizierungsstellendienstes an sich gibt, werden die grundlegende Serverhardware und das Betriebssystem einfach in die in der Organisation vorhandenen IT-Vorgänge integriert.

Abgesehen vom Befolgen der standardmäßigen Best Practices der LSU für eine Serverinstallation wurden die Vorteile des Sicherheitskonfigurations-Assistenten (SCW) genutzt, der in Windows Server 2003 Service Pack 1 verfügbar ist. Der SCW verwendet eine Datenbank, die Abhängigkeitsmatrizen der verschiedenen Arbeitslasten enthält, die unter Windows Server ausgeführt werden können, sowie die Sicherheitseinstellungen, die diese Arbeitslasten erfordern. Diese Datenbank enthält die zwei primären Rollen, die die Zertifizierungsstelle bereitstellen wird – den Zertifizierungsstellendienst selbst und IIS (das die PKI-benutzerverantwortliche Website enthält).

Mithilfe des SCW wurde ganz einfach eine Sicherheitsvorlage erstellt, die alle Dienste außer denen deaktiviert hat, die für die Ausführung dieser Arbeitslasten erforderlich sind, und der Netzwerkstapel des Servers wurde abgesichert. Daraufhin wurde scwcmd.exe verwendet, um diese Vorlage in ein Gruppenrichtlinienobjekt (GPO) zu verwandeln, sodass es auf den Server auf Organisationseinheitsebene angewendet werden konnte. Diese Methode vereinfacht das Skalieren und die Notfallwiederherstellung, seit die rollenbasierte Sicherheitskonfiguration für eine LSU-Zertifizierungsstelle in Active Directory gespeichert wird, statt computerspezifisch zu sein.

Die ausstellende Zertifizierungsstelle der LSU basiert auf einem IBM xSeries 346-Server mit doppelten 3,2 GHz-Intel Xeon-Prozessoren, 4 GB Arbeitsspeicher und fünf 146 GB-SCSI-Festplatten. In Anbetracht der Leistungsanforderungen des Zertifizierungsstellendienstes und der Tatsache, dass LSU ein Hardwaresicherheitsmodul verwendet, bietet diese Plattform große Langlebigkeit und Wachstumsspielraum.

Es wurden standardmäßige Best Practices für eine Trennung der Datenbanken und Protokolldateien in separate physische Spindles befolgt, indem zwei RAID 1-Arrays erstellt wurden. Die fünfte Festplatte wird als „Hot Spare“ aufgehoben und ist für eines dieser beiden Arrays verfügbar. Das erste Array wurde als Systemvolume installiert, auf dem die Zertifizierungsstellendatenbank aufbewahrt wird. Das zweite Array wird für Protokolldateien und zahlreiche andere Datendateien wie die CRLs verwendet. Die Zertifizierungsstellendatenbank basiert auf derselben Jet-Technologie, die in anderen Bereichen von Windows gefunden werden kann, wie Active Directory. Deshalb finden werden hier dieselben Best Practices wie für Verwaltung und Datenträgerkonfiguration anderer Jet-basierter Speicherlösungen angewendet.

Ein Hardwaresicherheitsmodul (HSM) ist ein dediziertes Hardwaregerät, das getrennt vom Betriebssystem verwaltet wird. HSMs werden normalerweise als PCI-Adapter zur Verfügung gestellt, sind jedoch auch als netzwerkbasierte Geräte verfügbar. Diese Module stellen einen sicheren Hardwarespeicher für Zertifizierungsstellenschlüssel sowie einen dedizierten kryptografischen Prozessor zur Beschleunigung von Signier- und Verschlüsselungsvorgängen zur Verfügung. Windows verwendet das HSM über die CryptoAPI-Schnittstellen. Das HSM wird als kryptografisches Dienstanbieter (CSP)-Gerät betrachtet. Das OmniRoot-Programm erfordert, dass jede Zertifizierungsstelle mindestens ein FIPS 140-2-zertifiziertes HSM der Ebene 3 (Geräte der Ebene 4 sind ziemlich selten) für Schlüsselgenerierung und Speicherung verwendet. Als einmaliges und extrem sicheres Gerät erfordert ein HSM eine beachtliche finanzielle Investition. Katalogpreise für PCI-basierte HSMs liegen gewöhnlich im Bereich von 10.000 bis 15.000 $.

Im LSU-Design wird ein nCipher nShield 500 TPS (Modell mit 500 Transaktionen pro Sekunde) als ein direkt verbundenes HSM verwendet. ("Direkt verbunden" bedeutet, dass es in den Server integriert ist und nur von diesem Server verwendet werden kann, im Vergleich zu einem netzwerkbasierten HSM, das von mehreren Hosts verwendet werden kann. Das HSM ist ein FIPS 140-2-Gerät der Ebene 3 und bietet K-von-N-Schutz des Schlüsselmaterials. Das HSM bietet erheblichen Schutz gegen eine Gefährdung der privaten Schlüssel. Ein Angreifer müsste sowohl den HSM-Speicher als auch eine festgelegte Anzahl an Zugriffstoken und deren PINs für einen Zugriff auf den Schlüssel besitzen.

Es ist wichtig anzumerken, dass HSMs so entworfen sind, dass ihr Inhalt vor Angriffen geschützt ist. Folglich erzwingen HSMs strenge Beschränkungen für wiederholt fehlgeschlagene Anmeldeversuche. Im LSU-Design wird der Speicher unwiderruflich nach 10 wiederholt fehlgeschlagenen Versuchen gelöscht.

In diesem Setup ist eine einzige Zertifizierungsstelle vorhanden. Daher ist der Aufpreis für ein netzwerkbasiertes HSM nicht gerechtfertigt. Wenn eine Organisation jedoch die Implementierung von zwei oder mehr Zertifizierungsstellen plant, kann es erheblich billiger sein, einzelnes netzwerkbasiertes HSM zu erwerben und für mehrere Zertifizierungsstellen zu verwenden. Durch diese Methode wird auch die Tokenverwaltung einfacher, da alle Schlüsselspeicher durch denselben Tokensatz geschützt werden können.

Active Directory und Registrierung

Einer der Hauptvorteile einer Windows-basierten PKI-Lösung ist, dass die Zertifikatbereitstellung erreicht werden kann, ohne zusätzliche Software auf Entitäten installieren zu müssen, die an der PKI beteiligt sind. Durch eine Kombination von automatischer Registrierung und Gruppenrichtlinien kann der Großteil der Zertifikatbereitstellung autonom und für den Endbenutzer unsichtbar verwaltet werden. Die LSU verwendet diese Technologie, um Computerzertifikate automatisch an Computer zu verteilen, die Mitglieder des Active Directory sind. Des Weiteren wird eine benutzerdefinierte Website verwendet, um Funktionen für benutzerverantwortliche Zertifikatanforderung für Nicht-Windows-Hosts bereitzustellen.

Wie zuvor erwähnt, unterscheidet das OmniRoot-Programm zwischen öffentlich verwendeten und intern verwendeten Zertifikaten. Zertifikate werden als öffentlich betrachtet, wenn sie von Systemen und Benutzern verwendet werden, die nicht Teil der LSU-Organisation sind (zum Beispiel, wenn ein potenzieller Student eine Bewerbung über eine SSL-geschützte Website einreicht). Zertifikate, die innerhalb der LSU Organisation verwendet werden (wie z. B. solche, die für die Verschlüsselung von Daten auf den LSU-Servern verwendet werden), werden als intern betrachtet.

Da die Kosten des OmniRoot-Programms auf der Anzahl öffentlich ausgerichteter Zertifikate basieren, muss es möglich sein, nachzuverfolgen, wie viele öffentliche Zertifikate ausgegeben werden und an wen. Folglich beginnt der eindeutige Name der Vorlage für alle Zertifikate, deren Zweck öffentlich ist, mit "PublicCertificate" und der Anzeigename beginnt mit "Public Certificate". Die öffentlich ausgerichtete LSU-TLS-Zertifikatvorlage basiert z. B. auf der Standard-Windows-Webservervorlage und wird „Public Certificate LSU Web Server“ genannt. Für intern verwendete Webserver ist eine zweite Vorlage verfügbar, die „Internal Certificate LSU Web Server“ genannt wird. Genau genommen sind beide Vorlagen identisch. Die Benennungsunterschiede dienen nur dazu, die Zuordnung zu erleichtern.

Für Massenregistrierungsanforderungen, wie die Registrierung ganzer Abteilungen für Zertifikate, die mit IPSec verwendet werden sollen, wird die automatische Registrierung vorausgesetzt. Dies ist ein einfaches, sehr wirksames Tool, das in Windows integriert ist. Vom Standpunkt eines PKI-Administrators ist die einzige erforderliche Aktion, die Zugriffssteuerungsliste auf der Vorlage zu ändern, und damit allen Benutzergruppen oder Computern, die Zertifikate benötigen, das Recht zur automatischen Registrierung zu gewähren. Diese Entitäten überprüfen daraufhin automatisch Active Directory, bestimmen, auf welche Vorlagen sie für die automatische Registrierung zugreifen können, finden die Zertifizierungsstellen mit diesen Vorlagen und registrieren sich automatisch für Zertifikate. Das Feature für die automatische Registrierung stellt außerdem sicher, dass Zertifikate ersetzt werden, wenn eine Vorlage überflüssig ist und vor Ablaufdatum automatisch erneuert wird.

Bei Zwecken, die keine Masseanforderungen betreffen, wie der Bereitstellung von Zertifikaten für Webserver, wird eine benutzerverantwortliche Website verwendet, mit der Benutzer Zertifikate über einen Webbrowser anfordern können. Bei dieser Site handelt es sich um eine benutzerdefinierte Version der Webregistrierungsseiten, die mit Windows Server 2003 geliefert werden (das virtuelle Verzeichnis /certsrv). Zur Implementierung gehört das Standardwebbranding, das den korrekten Standardeinträgen auf der Anforderungsseite vorausgeht. Weiterhin wird das Standardbeendigungsmodul im Windows-Zertifizierungsstellendienst verwendet, um dem PKI-Verwaltungsteam automatisch per E-Mail mitzuteilen, wenn eine Anforderung, die durch diese Site gesendet wird, eine Genehmigung erfordert.

Sperrungsdesign

Jedes Zertifikat verfügt über eine Gültigkeitsdauer. Von Zeit zu Zeit muss die LSU bestimmte Zertifikate vor Ablauf ihrer Gültigkeitsdauer für ungültig erklären (z. B. wenn ein Arbeitnehmer ein Zertifikat mit einer Gültigkeitsdauer erhält, das im Mai 2007 abläuft, dieser Arbeitnehmer die LSU jedoch im Januar 2007 verlässt). Diese Art der Sperrung wird mit CRLs erreicht, bei denen es sich um Dateien handelt, die eine Liste mit Zertifikatsseriennummern enthalten, die von einer Zertifizierungsstelle signiert wurden. Die Seriennummern, die in einer CRL enthalten sind, beziehen sich auf Zertifikate, deren Gültigkeitsdauer nicht abgelaufen ist, die die LSU jedoch nicht länger für vertrauenswürdig hält. Clients können diese CRL daraufhin herunterladen, um damit die Gültigkeit der Zertifikate zu bestimmen.

Ein x.509 v3-Zertifikat (abgesehen vom Stammzertifizierungsstellen-Zertifikat selbst) sollte über einen Zeiger auf eine gültige CRL verfügen. Dieser Zeiger ist auch als ein CRL-Verteilungspunkt (CDP) bekannt. Der CRL-Verteilungspunkt ist im Zertifikat selbst enthalten (siehe Abbildung 4) und kann nicht geändert werden, nachdem ein Zertifikat ausgegeben wurde. Die CRL ist ein wesentlicher Bestandteil der Bestätigung, dass Zertifikate von einer Zertifizierungsstelle gültig sind. So wird sichergestellt, dass die LSU-CRLs physisch redundant, hochgradig verfügbar und für externe Parteien zugänglich sind.

Abbildung 4** Der CRL-Verteilungspunkt der LSU **(Klicken Sie zum Vergrößern auf das Bild)

Eine Windows Server-basierte Zertifizierungsstelle, die in Active Directory (wie das von LSU) integriert ist, veröffentlicht ihre CRL automatisch in Active Directory und macht sie dadurch über das Lightweight Directory Access-Protokoll (LDAP) zugänglich. Der Standardveröffentlichungsort ist der CDP-Container (siehe Abbildung 5) innerhalb des Public Key Services-Containers in der Gesamtstruktur. Dieser Veröffentlichungsort ist eine ausgezeichnete Option, da er automatische Replikation, Fehlertoleranz und einen Ort für CDP-Suchen bereitstellt.

Abbildung 5** Der CDP-Container **(Klicken Sie zum Vergrößern auf das Bild)

Im LSU-Design gibt es allerdings zahlreiche Nicht-Windows und Nicht-Active Directory-Computer, die die PKI einsetzen. Und während es sich bei der LSU um eine große Organisation handelt, befindet sich der Hauptteil ihrer Benutzers in demselben Campusnetzwerk mit einem 10 Gbps-Backbone, der die Vorteile von Active Directory-basierter CDP-Veröffentlichung minimiert.

So wird unsere CRL nur in einem HTTP-Pfad veröffentlicht, was die Erstellung einer redundanten Hostingplattform erleichtert (unsere primäre Website wird bereits gespiegelt). Dies entfernt auch potenzielle Komplexitäten, die mit dem Aktivieren von Client-LDAP-Suchen verbunden sind. Wir veröffentlichen unsere CRL täglich und Delta-CRLs stündlich.

Blick in die Zukunft

Während unsere aktuelle PKI hohe Sicherheit für die Universitätscommunity bietet, planen wir eine Verbesserung ihrer Funktionen. Windows Vista™ und die nächste Version von Windows Server (mit dem Codenamen "Longhorn") werden zahlreiche neue wichtige Verwaltungsmöglichkeiten bereitstellen, die genau unter die Lupe genommen werden. Wir sind insbesondere an den geplanten Funktionen für OCSP-Clients und Responder (Online Certificate Status-Protokoll) interessiert, dem Support für elliptische Kurvenkryptografie- und SHA-256-Algorithmen sowie einer extrem verbesserten Schnittstelle für die automatische Registrierung. Zusätzlich ist für Windows XP Service Pack 3 die Integration eines Features namens „Credential Roaming“ (Roaming von Anmeldedaten) geplant, die sicheres Roaming von Schlüsselpaaren ohne den mit Roamingprofilen verbundenen Verwaltungsaufwand bieten wird. Schließlich wird der Nutzen des Certificate Lifecycle Managers (derzeit als Betaversion verfügbar) untersucht, um die Berichterstattungs- und Verwaltungsfunktionen zu verbessern.

Alles in allem bietet die PKI der LSU der Universität einen grundlegenden Sicherheitsdienst, der für zahlreiche wichtige IT-Funktionen eingesetzt wird. Durch die Verwendung des OmniRoot-Dienstes von Cybertrust kann eine PKI ausgeführt werden, die problemlos in die anderen IT-Systeme der LSU integriert werden kann, deren Vertrauenswürdigkeit jedoch global ist. Und durch die Erstellung der Lösung auf dem Windows-Zertifizierungsstellendienst bietet sie wirksame Funktionen zur Bereitstellung und Verwaltung von Zertifikaten und eine ausgezeichnete Integration in das bereits vorhandene Verzeichnis- und Identitätsverwaltungssystem. Kurz gesagt, wird die PKI-Vision von leistungsstarker Sicherheit und nahtlosem Vertrauens bereits zur Realität an der LSU.

John Morello hat sein Studium an der Louisiana State University mit Auszeichnung abgeschlossen und war sechs Jahre lang für Microsoft als Senior Consultant im Bereich Microsoft Consulting Services tätig. Mit MCS hat er PKIs für strategische Clients wie Deloitte, GE und verschiedene staatliche Organisationen entworfen. Er ist jetzt stellvertretender CISO bei LSU.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.