Archiv der Kategorie: Zertifikate

CA, Zertifikate, PKI

Teil 5g: Computerzertifikate mittels Auto-Enrollment registrieren

Veröffentlicht am von
2

Inhaltsverzeichnis

Auf meinen Clients möchte ich Computerzertifikate mittels Auto-Enrollment registrieren. Damit ist der Anfang für eine spätere DirectAccess-Implementierung schon gemacht. 🙂

Eine Zertifikatsvorlage für Computer erstellen und konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Cerification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage Computer rechts > Duplicate Template
  6. Properties of New Template:
    1. Reiter Compatibility:
      1. Certification Authority: Windows Server 2003
      2. Certificate recipient: Windows 8.1 / Windows Server 2012 R2
        AUTOENROLLMENT-001
    2. Reiter General:
      1. Template display name: CUSTOM – Computer
      2. Validity period: 5 years
        AUTOENROLLMENT-002
    3. Reiter Security:
      1. Domain Computers markieren > Allow Read, Enroll und Autoenroll
        AUTOENROLLMENT-003
    4. Reiter Subject Name:
      1. Subject name format: DNS Name
        AUTOENROLLMENT-004
  7. Fenster mit OK schließen
    AUTOENROLLMENT-005
  8. Certificate Templates-Konsole schließen
  9. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  10. In der Liste CUSTOM – Computer auswählen > OK
    AUTOENROLLMENT-006
  11. Zertifikatsvorlage Computer rechts anklicken > Delete anklicken
    AUTOENROLLMENT-007
  12. Alle Fenster schließen

Auto-Enrollment mittels Gruppenrichtlinen aktivieren

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies markieren
  6. Certificate Services Client – Auto-Enrollment doppelklicken
    AUTOENROLLMENT-008
  7. Certificate Services Client – Auto-Enrollment Properties
    1. Configuration Model: Enabled
    2. Renew expired certificates, update pending certificates, and remove revoked certificates aktivieren
    3. Update certificates that use certificate templates aktivieren (ermöglicht die automatische Registrierung für die Ausstellung von Zertifikaten, die ausgestellte Zertifikate ablösen) > OK
      AUTOENROLLMENT-009
  8. Alle Fenster schließen
    AUTOENROLLMENT-010

Weitere Informationen

Teil 5f: Einen Datenwiederherstellungs-Agent für BitLocker konfigurieren

Veröffentlicht am von
Antworten

Inhaltsverzeichnis

Meine Clients sollen später mit BitLocker verschlüsselt werden. Als Schlüsselschutzvorrichtung verwende ich TPM+PIN, ein nummerisches Kennwort und den Datenwiederherstellungs-Agent für BitLocker (zertifikatbasiert). Dazu später mehr.

  • Mit TPM+PIN startet der Benutzer den Rechner
  • Das nummerische Kennwort wird verwendet, wenn der PIN vergessen wurde oder sich die Startumgebung des Rechners verändert hat z.B. die Bootreihenfolge
  • Der BitLocker-DRA wird zum Entschlüsseln der Festplatte durch den Administrator auf einem anderen PC verwendet, wenn z.B. die Hardware defekt wurde und Windows nicht mehr gestartet werden kann

Das BitLocker Drive Encryption-Feature auf APP1 installieren

Damit unter den Application Policies der Zertifikatsvorlagen die Optionen BitLocker Data Recovery Agent und BitLocker Drive Encryption zur Verfügung stehen, muss das BitLocker Drive Encryption-Feature installiert werden.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard:
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Next
    5. Features: BitLocker Drive Encryption > Add Features > Next
      BitLocker_DRA-001
    6. Confirmation: Install > Close
  4. APP1 neu starten

Die Zertifikatsvorlage für den Datenwiederherstellungs-Agent für BitLocker erstellen und konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Den Ordner Certificate Templates rechts anklicken > Manage
  4. Das Template Key Recovery Agent rechts anklicken > Duplicate Template
  5. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – BitLocker Key Recovery Agent
      2. Validity period: 5 years
        BitLocker_DRA-002
    2. Reiter Extensions:
      1. Application Policies markieren > Edit…
      2. Add…
      3. BitLocker Data Recovery Agent und BitLocker Drive Encryption makieren > OK
        BitLocker_DRA-003
      4. OK
        BitLocker_DRA-004 
    3. Reiter Issuance Requirements:
      1. CA certificate manager approval deaktivieren
        BitLocker_DRA-005
    4. Fenster mit OK schließen
      BitLocker_DRA-006
  6. Certificate Templates-Konsole schließen
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  8. In der Liste CUSTOM – BitLocker Key Recovery Agent auswählen > OK
    BitLocker_DRA-007
  9. Alle Fenster schließen
    BitLocker_DRA-008

Das Zertifikat für den Datenwiederherstellungs-Agent für BitLocker anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – BitLocker Key Recovery Agent > Enroll
      BitLocker_DRA-009
    4. Results > Finish
      BitLocker_DRA-010
  5. Das Zertifikat rechts anklicken > All Tasks > Export…
    BitLocker_DRA-011
  6. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: No, do not export the private key > Next
    3. Export File Format: CER > Next
    4. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-012
    5. Next > Finish
  7. Das Zertifikat rechts anklicken > All Tasks > Export…
  8. Certificate Export Wizard
    1. Welcome… > Next
    2. Export Private Key: Yes, export the private key > Next
      BitLocker_DRA-013
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
    4. Security: Passwort Password1 > Next
      BitLocker_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk BitLocker-DRA.pfx > Next
      BitLocker_DRA-015
    6. Finish
  9. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Server Manager > Tools > Group Policy Management
  2. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Das GPO CUSTOM Client Standard Settings rechts anklicken> Edit…
  4. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  5. Den Ordner BitLocker Drive Encryption rechts anklicken > Add Data Recovery Agent…
    BitLocker_DRA-016
  6. Add Recovery Agent Wizard
    1. Welcome…  > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk BitLocker-DRA.cer > Next
      BitLocker_DRA-017
    3. Finish
      BitLocker_DRA-018
  7. Alle Fenster schließen
    BitLocker_DRA-019

Damit der Datenwiederherstellungs-Agent für BitLocker verwendet werden kann, muss mittels Gruppenrichtlinien der unique identifier for your organization konfiguriert werden. Dazu später mehr.

Weitere Informationen

Teil 5e: Einen Datenwiederherstellungs-Agent für EFS konfigurieren

Veröffentlicht am von
Antworten

Inhaltsverzeichnis

Sollte eine Sicherheitsrichtlinie im Unternehmen das Archivieren der privaten Schlüssel nicht gestatten, kann mit dem privaten Schlüssel des Zertifikats des Datenwiederherstellungs-Agent eine Wiederherstellung verschlüsselter Dateien durchgeführt werden.

Eine Zertifikatsvorlage für den Datenwiederherstellungs-Agent konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Den Ordner Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage EFS Recovery Agent rechts anklicken > Duplicate Template
  6. Properties of New Template
  7. Reiter General:
    1. Template display name: CUSTOM – EFS Recovery Agent
    2. Validity period: 5 years
      EFS_DRA-001
  8. Fenster mit OK schließen
    EFS_DRA-002
  9. Certificate Templates-Konsole schließen
  10. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  11. CUSTOM – EFS Recovery Agent markieren > OK
    EFS_DRA-003
  12. EFS Recovery Agent-Template rechts anklicken > Delete
    EFS_DRA-004
  13. Alle Fenster schließen

Das Zertifikat für den Data Recovery Agent anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – EFS Recovery Agent > Enroll
      EFS_DRA-005
  5. Finish
    EFS_DRA-006
  6. Das Zertifikat rechts anklicken > All Tasks > Export…
    EFS_DRA-007
  7. Certificate Export Wizard
    1. Welcome… : Next
    2. Export private key: No, do not export the private key > Next
      EFS_DRA-008
    3. Export File Format: DER > Next
      EFS_DRA-009
    4. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > Next
      EFS_DRA-010
    5. Finish
      EFS_DRA-011
  8. Das Zertifikat rechts anklicken > All Tasks > Export…
  9. Certificate Export Wizard
    1. Welcome… : Next
    2. Export Private Key: Yes, export the private key > Next
      EFS_DRA-012
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
      EFS_DRA-013
    4. Security: Passwort Password1 > Next
      EFS_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.pfx > Next
      EFS_DRA-015
    6. Finish
      EFS_DRA-016
  10. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domain\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Add Data Recovery Agent…
    EFS_DRA-017
  7. Add Recovery Agent Wizard:
    1. Welcome… > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > NextEFS_DRA-018
    3. Finish
      EFS_DRA-019
      EFS_DRA-020
  8. Alle Fenster schließen

Die Zertifikate für den EFS-DRA sollten auf einen externen Datenträger kopiert und im Safe aufbewahrt werden. Die Kopien auf dem Server anschließend löschen.

Weitere Informationen