Denne artikkelen tar for seg mange av nyhetene som er tilgjengelig i Windows Server 2008 PKI, sammenlignet med Windows Server 2003 PKI. Det er ikke en forutsetning at man jobber med PKI for å ha nytte av denne artikkelen, men kjennskap til Windows Server 2003 PKI er en fordel.
Merk at denne artikkelen ikke omhandler Windows Server 2008 R2.
Ny funksjonalitet
Windows Server 2008 PKI gir en del ny funksjonalitet og forbedringer, sammenliknet med Windows Server 2003 PKI. Spesielt kan nevnes:
CNG (Cryptography Next Generation)
- En erstatning for Windows CryptoAPI
- CNG tillater bruk av nye, sterkere krypterings og signatur algorytmer
- CNG gir større fleksibilitet og sørger for at 2008 PKI er klar til å “møte fremtiden”
OCSP Responder (Online Certificate Status Protocol)
- Et alternativ til tradisjonelle CRL (Certificate Revocation List). OCSP validerer sertifikater i sanntid, mens CRL benytter intervaller for publisering av revokerte sertifikater. Sertifikater som blir revokert etter publisering av CRL vil være gyldig til ny CRL eller Delta CRL publiseres. Med OCSP blir sertifikater oppfattet ugyldige fra det øyeblikk de revokeres på sertifikattjenesten
NDES (Network Device Enrollment Service)
- Utrulling av sertifikater med SCEP (Simple Certificate Enrollment Protocoll) til nettverksutstyr som er SCEP-kompatible
- Ikke den første implementeringen av SCEP hos MS, men tidligere har det vært plug-ins, nå er det integrert i Certificate Services og har en rekke forbedringer
Clustering
- Failover Clustering i Active/Passive cluster, begrenset til 2 noder. Det er kun selve sertifikattjenesten (Active Directory Certificate Services) som støtter clustering, dvs andre omkringliggende tjenester som “Online Responder” og “Web Enrollment” ikke støttes av clustering
Domeneinfrastruktur
Windows Server 2008 PKI er ikke avhengig av en domeneinfrastruktur på 2008-nivå, hverken på domene eller forest nivå. Dvs at selv et Windows 2000 domene kan benytte 2008 PKI.
Den eneste forutsetningen er at “Active Directory Schema” oppgraderes til versjon 44
(Et Windows 2000/2003 domene benytter versjon 30, mens Windows 2003R2 domene benytter versjon 31).
Det er ikke nødvendig med ytterligere oppgraderinger for å benytte 2008 PKI, men for å nyttiggjøre seg forbedringene i schemaversjon 44 kan man “preparere” domenet i etterkant av skjemaoppgraderingen.
Oppgradering av Windows Server 2003 PKI til Windows Server 2008 PKI
Det er noen forutsetninger å ta høyde for i de tilfellene hvor man vurderer en oppgradering av eksisterende 2003 PKI til 2008 PKI. Hovedregelen er at en direkte oppgradering fra 2003 til 2008 kun støttes av Windows Server 2003 SP1 (eller senere) og Windows Server 2003 R2.
Merk også at 2008 PKI ikke er supportert på Itanium-baserte systemer.
32-Bit vs 64-Bit
Ved oppgradering til 2008 ønsker man kanskje samtidig å oppgradere fra 32-Bit til 64-Bit arkitektur. Dette er ikke mulig i en ren oppgradering, da må man kjøre et migreringsløp.
Hovedpoenget ved å flytte fra 32-Bit til 64-Bits systemer vil som regel være basert på prosesseringskraft. Det betyr at offline-servere (Root CA, Policy CA) ikke vil ha noen nytteverdi av å kjøre 64-Bit operativsystem. Det er altså kun servere som utsteder sertifikater (issuing CA) som først og fremst har reell nytteverdi av 64-Bit operativsystem. Det foreligger ingen eksakt “grense” for når man bør velge 64-Bit fremfor 32-Bit på PKI, som oftest legges ytelsesmålinger til grunn for dette.
Det er forskjellige metoder for migrering fra 32-Bit til 64-Bit.
- Rulle ut ny CA for å erstatte den eksisterende
- Oppgradere den eksisterende CA til Windows Server 2008 og deretter migrere den eksisterende CA-databasen, CA-sertifikatet og nøkkelparet til en server som kjører 64-Bit versjon av Windows Server 2008.
- Migrere den eksisterende Windows Server 2003 CA-databasen, CA-sertifikatet og nøkkelparet til en 64-Bit versjon av Windows Server 2003. Deretter oppgradere denne til Windows Server 2008.
Certificate Templates
Windows Server 2008 støtter tre versjoner av sertifikatmaler.
Version 1
- Introdusert med Windows 2000 CA
- Tilgjengelig også for 2003 Enterprise CA og 2008 Enterprise CA
- Ingen attributter kan redigeres, foruten rettighetsstyringen (permission assignments)
Version 2
- Utvidede muligheter, attributter kan redigeres etter behov
- Tilgjengelig på Enterprise CA som kjører på Windows Server 2003/2008 Enterprise/Datacenter Edition
Version 3
- Kompatibel med CNG (Cryptography Next Generation)
- Tilgjengelig kun på 2008 Enterprise CA som kjører på Enterprise/Datacenter Edition
Det er viktig å merke seg at en Enterprise CA som kjører på Windows Server 2003/2008 Standard Edition kun kan benytte versjon 1 av sertifikatmaler. Dette er det mange som ikke er klar over og den eneste måten å benytte versjon 2 og 3 av sertifikatmaler er å oppgradere til Enterprise Edition på operativsystemet.
Default Certificate Templates
Tabellen viser hvilke standard maler som tilgjengeliggjøres både på Windows Server 2003 og Windows Server 2008 Enterprise CA som kjører på Enterprise eller Datacenter Edition av operativsystemet.
Som man legger merke til er ikke “Domain Controller Authentication” tilgjengelig på Windows Server 2008. Den er erstattet med “Kerberos Authentication” og tabellen nedenfor viser hvilke maler som benyttes på hvilke DCèr avhengig av CA-versjoner.
Kilde: “Windows Server 2008 PKI and Certificate Security” av Brian Komar, utgitt av Microsoft Press.
