Interne wie auch externe Dienste verwenden durch die Bank eine verschlüsselte Kommunikation mit SSL und TLS. Bei externen Services greifen die Administratoren auf offiziell signierte Zertifikate zurück, wobei vielerorts auch Let's Encrypt völlig ausreicht. Bei internen Diensten auf der anderen Seite kommen überwiegend selbstsignierte Zertifikate zum Einsatz, die bei den Webbrowsern im LAN stets für Unmut sorgen und Meldungen wie "Ihre Verbindung ist nicht sicher" hervorrufen.
Nun möchten Administratoren aber auch bei Intranetanwendungen ein schönes Schlosssymbol für eine vertraute TLS-Verbindung im Browser sehen, anstatt den Nutzern zuzumuten, dass sie für jede einzelne interne Anwendung eine individuelle Ausnahme im Browser anlegen. Das lässt dann auch striktere Sicherheits-Policies für Browser im Unternehmens-LAN zu, sodass diese unvertraute Verbindungen überhaupt nicht mehr öffnen und auch keine Ausnahmeregeln erstellen können. Auch andere interne Dienste sollten mit vertrauenswürdigen Zertifikaten und SSL kommunizieren.
Alles, was Sie dafür brauchen, ist eine eigene CA (Certificate Authority) im Intranet, die für die angebundenen Dienste Zertifikate verwaltet und signiert. Interne Rechner müssen dann nur dieser eigenen Root-CA vertrauen, damit alle von ihr signierten Schlüssel als gütig anerkannt werden.
Eine simple Methode, um eine interne CA zu verwalten, liefert das Open-Source-Zertifikatsystem Dogtag [1], das sich nahtlos in das Benutzer-Directory FreeIPA [2] integriert. FreeIPA ist für Linux, was das Active Directory (AD) in der Windows-Welt darstellt. Es verwendet die gleiche Technologie mit einem LDAP-Backend und der Kerberos-Authentisierung. AD und IPA können einander via Cross Domain Trusts vertrauen, sodass Administratoren heterogener Netzwerke ein verbundenes Directory für Windows- und Linux-Maschinen betreiben können.
In diesem Artikel gehen wir auf die Basisfunktionen von FreeIPA ein und
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.