Windows Server Summit 2026 | Teil 16: Zukunftsfähige PKI mit AD CS in Windows Server 2025

20.05.2026 Last updated : 20.05.2026 Mein Avatar für die Krähe mit Hut. Man sieht eine Krähe mit einem Doktorhut.Krähe mit Hut
Lesedauer 3 Minuten

Serie

Übersicht: Windows Server Summit 2026 - kurz und knackig!
Vorheriger Artikel: Windows Server Summit 2026 | Teil 15: Netzwerkfunktionen in Windows Server 2025
Nächster Artikel:


Die Active Directory-Zertifizierungsstelle (AD CS) ist eine der zentralen Dienste eines Active Directory. Sie ermöglicht die Verwendung von Zertifikaten für die unterschiedlichsten Anwendungsszenarien. Beispielsweise kann so die Verwendung von Kennwörtern für die Benutzeranmeldung vollständig abgeschafft werden.

Gleichzeitig ist AD CS ein sehr statisches Konstrukt und muss bereits von Anfang an sorgfältig für einen langen Betriebszeitraum (z.B. 20-30 Jahre) geplant werden. Daher erhält diese Rolle eher selten neue Funktionen. Dennoch ist AD CS keine aussterbende Technologie, im Gegenteil - sie erhält jetzt eine wesentliche Erweiterung, die ihren sicheren Einsatz auch für die nächsten Jahre (und Jahrzehnte) ermöglichen wird.

Dieser Artikel geht auf die Neuerungen in AD CS ein.

PKI und Veränderungen des Ökosystems

Mit dem Aufkommen von Quanten-Computing haben sich erhebliche Sicherheitsrisiken für klassische Verschlüsselungsalgorithmen ergeben. Diese können nun innerhalb kürzester Zeit geknackt werden. Es wird damit gerechnet, dass um das Jahr 2030 herum solche Quantencomputer verfügbar sein werden. Dementsprechend wurden bereits quantenresiliente Algorithmen entwickelt, die zum Einsatz gebracht werden können.

Darüber hinaus nimmt der Einsatz von Zertifikaten kontinuierlich zu. Ein Verzicht auf Zertifikate zur Umgehung der vorgenannten Sicherheitsrisiken kommt also nicht infrage.

Für existierende Infrastrukturen entsteht also Handlungsbedarf, um die Entwicklungen angemessen zu betrachten - auch unter dem Aspekt, dass gerade PKI-Strukturen aufgrund von langen Laufzeiten und Gültigkeiten nur sehr langsam verändert werden können.

Microsoft peilt daher mit seiner QSP-Strategie an, eine frühe Einführung von quantenresilienter PKI im Jahr 2029 zu ermöglichen und im Jahr 2033 einen vollständigen Übergang zu realisieren.

PQC in AD CS

Dementsprechend wird die AD CS-Rolle in Windows Server mit quantenresilienten Algorithmen aufgerüstet. Dies wird in 2 Phasen geschehen:

  • Phase 1: Unterstützung für ML-DSA (Algorithmus für digitale Signaturen wie z.B. Codesignatur und Authentifizierung; bereits verfügbar)
    • Varianten: 44/65/87
    • Signierungsmodus: Purer Modus (kein Hash)
  • Phase 2: Zusammengesetzte Zertifikate und Unterstützung für ML-KEM (Algorithmus für Schlüsselkapselung, wie z.B. für TLS und S/MIME)

Da Phase 1 bereits erreicht ist, können bereits neue Zertifizierungsstellen unter Verwendung von quantenresilienten Algorithmen aufgebaut werden. Dies ermöglicht einen schrittweisen Übergang von der bisherigen zur neuen Plattform. Es muss lediglich die Aktualisierung von Mai für Windows Server 2025 installiert werden. Windows Client unterstützt solche Zertifikate seit dem Build 24H2.

Was hierbei zu beachten ist: die Schlüssel sind wesentlich größer als bisher (1-2 KB bzw. 2-4 KB im Vergleich zu 256 Bytes bei RSA und 96 Bytes bei ECC). Dies muss bei der Planung von Speicher und Bandbreite entsprechend berücksichtigt werden.

Zusammengesetzte Zertifikate werden eine Kombination von klassischen und quantenresilienten Algorithmen erlauben. Bei der Prüfung müssen beide erfolgreich validiert werden, was somit den Schutz gegenüber der Einzelvalidierung erhöht.

AD CS über Post-Quantum hinaus

Microsoft gibt einige Tipps wie die eigene Infrastruktur für die Einführung von quantenresilienten Zertifikaten vorbereitet werden kann:

  1. Alle Zertifikate auf CNG-Anbieter umstellen und keine Legacy-Anbieter mehr erlauben
  2. Durchgängig Windows 11 und Windows Server 2025 einsetzen bzw. darauf umstellen
  3. .NET 10 für die Unterstützung von quantenresilienten Algorithmen verteilen
  4. TLS 1.3 freischalten bzw. wo möglich erzwingen (Voraussetzung für den Einsatz quantenresilienter Zertifikate)

Bewährte Methoden in AD CS

Zum Schluss nennt Microsoft noch einige bewährte Methoden für den Betrieb einer PKI:

  • Erweiterte Überwachung - PKI mit geeigneten Mitteln überwachen und die Ausstellung als kritisch erachteter Zertifikate engmaschig kontrollieren, um die Sicherheit zu gewährleisten und auch die neuen Ereignis-IDs nutzen
  • Skalierbare Zertifikatsperrung - CRL-Partitionierung nutzen, um die Leistung besonders in großen Umgebungen zu steigern
  • Zugriff auf CPS-Richtlinie - den Zugriff auf die sogenannte Erklärung zur Verwendung von Zertifikaten aus allen Netzwerksegmenten und Bereichen ermöglichen und sicherstellen


Hat Dir der Beitrag gefallen? Lass es andere wissen!

Kategorien
Hybride Infrastruktur
Tags

One thought on “Windows Server Summit 2026 | Teil 16: Zukunftsfähige PKI mit AD CS in Windows Server 2025

  1. Pingback: Windows Server Summit 2026 | Teil 15: Netzwerkfunktionen in Windows Server 2025 - Crow In The Cloud
Previous article
Windows Server Summit 2026 | Teil 15: Netzwerkfunktionen in Windows Server 2025
20.05.2026
Next article
Windows Server Summit 2026 | Teil 17: Modernisierung von Active Directory für hybride Identitäten in Windows Server 2025
20.05.2026