AD CS Hygiene: So bleibt Ihre Microsoft-PKI gesund

Die Active Directory Certificate Services (AD CS) sind das Herzstück der Sicherheit in vielen Windows-Umgebungen. Doch oft wird die PKI einmal aufgesetzt und dann vergessen — bis Zertifikate ablaufen oder die CRL nicht mehr erreichbar ist. Eine regelmäßige Wartung ist essenziell.

Die größten Risiken einer vernachlässigten PKI

Wenn eine PKI nicht gepflegt wird, schleichen sich gefährliche Fehlkonfigurationen ein. Angreifer nutzen oft “ESC”-Schwachstellen (Enrollment Service Challenges), um sich Domänen-Admin-Rechte zu erschleichen. Aber auch technische Ausfälle können den Betrieb lähmen: Wenn die Sperrliste (CRL) abläuft, vertrauen Rechner den Zertifikaten nicht mehr — WLAN, VPN und Smartcards streiken.

Checkliste für die regelmäßige Wartung

1. Sperrlisten (CRLs) prüfen: Laufen die Sperrlisten noch? Sind die Verteilungspunkte (CDPs) für alle Clients erreichbar (auch von extern)?
2. Zertifikatsvorlagen auditieren: Wer darf welche Zertifikate anfordern? Haben wir Vorlagen mit “Enrollee Supplies Subject” (großes Sicherheitsrisiko!)?
3. Datenbank aufräumen: Abgelaufene oder abgelehnte Zertifikatsanforderungen sollten regelmäßig gelöscht werden, um die CA-Datenbank performant zu halten.
4. Backup, Backup, Backup: Sichern Sie den privaten Schlüssel der CA und die Datenbank regelmäßig an einem sicheren (offline) Ort.

Ein nützliches Tool: PKIView

Windows liefert ein kleines, oft übersehenes Tool mit: pkiview.msc. Es zeigt auf einen Blick den Status aller CAs im Forest, deren Zertifikate und vor allem den Status der CRLs. Wenn hier etwas rot ist, besteht sofortiger Handlungsbedarf.

Ausblick

Eine saubere PKI ist kein Selbstläufer. In meinem nächsten Beitrag zeige ich, wie man eine “Offline Root CA” richtig aufsetzt und warum das für die Sicherheit so entscheidend ist. Bleibt sicher!