Teil 5d: Eine Zertifikatsvorlage für die EFS-Verschlüsselung konfigurieren

Inhaltsverzeichnis

Eine Zertifikatsvorlage für die EFS-Verschlüsselung konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certification Templates rechts anklicken > Manage
  5. Die Vorlage Basic EFS rechts anklicken > Duplicate Template
  6. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – Basic EFS
      2. Validity period: 5 years
        KEYARCHIVAL-021
    2. Reiter Request Handling:
      1. Häkchen bei Archive subject’s encryption private key (Schlüsselarchivierung, siehe Teil 5c) aktivieren
        KEYARCHIVAL-022
    3. Reiter Security:
      1. Domain Users markieren > Allow Read, Enroll
        KEYARCHIVAL-023
  7. Template mit OK schließen
    KEYARCHIVAL-025
  8. Certificate Template Console schließen
  9. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  10. CUSTOM – Basic EFS markieren > OK
    KEYARCHIVAL-026
  11. Die Zertifikatsvorlage Basic EFS rechts anlicken > DeleteKEYARCHIVAL-027

Das Gruppenrichtlinienobjekt CUSTOM – Client Standard Settings für EFS konfigurieren

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings (siehe Teil 2c) rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Properties
    KEYARCHIVAL-029
  7. Encrypting File System Properties:
  8. Reiter General:
    1. File encryption unsing EFS: Allow
      KEYARCHIVAL-030
    2. Reiter Certificates:
      1. EFS Template: Browse… > CUSTOM – Basic EFS
      2. Allow EFS to generate self-signed certificates…: deaktivieren > OK
        KEYARCHIVAL-031
  9. Das GPO schließen
    KEYARCHIVAL-032

Weitere Informationen

Teil 5c: Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

Inhaltsverzeichnis

Die Zertifikatsvorlage für den Key Recovery Agent konfigurieren

  1. Server Manager > Local Server > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Certificate Templates rechts anklicken > ManageKEYARCHIVAL-001
  4. Die Zertifikatsvorlage Key Recovery Agent rechts anklicken > Duplicate Template
    KEYARCHIVAL-002
  5. Properties of New Template
    1. Reiter General
      1. Template display name: CUSTOM – Key Recovery Agent
      2. Validity period: 5 years
        KEYARCHIVAL-003 
    2. Reiter Issuance Requirements
      1. CA certificate manager approval deaktivieren
        KEYARCHIVAL-004
  6. Mit OK schließen
    KEYARCHIVAL-005
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
    KEYARCHIVAL-006
  8. CUSTOM – Key Recovery Agent markieren > OK
    KEYARCHIVAL-007KEYARCHIVAL-020

Die Konfiguration für die Schlüsselarchivierung kann erst abgeschlossen werden, wenn der KRA das Zertifikat angefordert hat.

Das Zertifikat für den Key Recovery Agent anfordern

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Certificates erweitern
  4. Personal rechts anklicken > All Tasks > Request New Certificate…
    KEYARCHIVAL-008
  5. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy: Next
    3. Request Certificates: CUSTOM – Key Recovery Agent > Enroll
      KEYARCHIVAL-009
    4. Das Zertifikat wird angefordert > Finish
      KEYARCHIVAL-010
  6. Den Ordner Certificates anklicken > Fenster schließen
    KEYARCHIVAL-011

Jetzt kann die Schlüsselarchivierung (Key Archival) aktiviert werden.

Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

  1. In der Certification Authority-Konsole Einfaches-Netzwerk SubCA rechts anklicken > Properties
    KEYARCHIVAL-013
  2. Zum Reiter Recovery Agents wechseln
  3. Archive the key aktivieren > Add…
    KEYARCHIVAL-014
  4. Das Zertifikat KeyRecoveryAgent markieren > OK
    KEYARCHIVAL-015
  5. Das Zertifikat wird in der Liste Key recovery agent certificates mit dem Status Not Loaded angezeigt
    KEYARCHIVAL-016
  6. Auf Apply klicken
  7. Die Frage über den Neustart des CertSvc mit Yes beantworten
  8. Das Zertifikat hat jetzt den Status Valid
    KEYARCHIVAL-018
  9. Fenster mit OK schließen

Weitere Informationen

Teil 5b: Two-Tier PKI Hierachy SubCA konfigurieren

Inhaltsverzeichnis

Nach der Vorbereitung der PKI Hierachy SubCA in Teil 5a installiere und konfiguriere ich die Two-Tier PKI Hierachy SubCA. Im Anschluss geht es schon ans Templates-Erstellen und Auto-Enrollment.

Das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern

In Teil 5 habe ich das Zertifikat und die CRL der Root CA nach C:\Temp kopiert. Die folgenden zwei Befehle speichern diese im lokalen Speicher von APP1, damit das Erstellen der SubCA ohne Probleme durchgeführt werden kann.

  1. Als Administrator an APP1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgenden Befehlen das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern
    certutil -f -addstore root "C:\Temp\ORCA1_Einfaches-Netzwerk Root CA.crt"
    certutil -f -addstore root "C:\Temp\Einfaches-Netzwerk Root CA.crl"

    SUBCA-013
    SUBCA-015

Certification Authority auf APP1 installieren

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Active Directory Certificate Services > Add Features > NextSUBCA-016
    5. Features > Next
    6. AD CS > Next
      1. Role Services: Certification Authority > Next
        SUBCA-017
    7. Confirmation > Next
    8. Results > Configure Active Directory Certificate Services on the destination server > Close
      SUBCA-018

Certification Authority auf APP1 konfigurieren

  1. AD CS Configuration
    1. Credentials > Next
    2. Role Services: Certification Authority > Next
      SUBCA-019
    3. Setup Type: Enterprise CA > Next
      SUBCA-020
    4. CA Type: Subordinate CA > Next
      SUBCA-021
    5. Private Key: Create a new private key > Next
      SUBCA-022

      1.  Cryptography
        1. Select a cryptographic provider: RSA#Microsoft Software Key Storage Provider
        2. Key length: 2048
        3. Hash algorithm: SHA256 > Next
          SUBCA-023
      2. CA Name
        1. Common name for this CA: Einfaches-Netzwerk SubCA > Next
          SUBCA-024
      3. Certificate Request > Next
        SUBCA-025
    6. Certificate Database > Next
    7. Confirmation > Configure
      SUBCA-026
    8. Results > Close
      SUBCA-027
  2. Die Datei C:\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req nach ORCA1 > C:\Temp kopieren

 Das Zertifikat für die SubCA ausstellen und installieren

  1. Als lokaler Administrator an ORCA1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl die Zertifikatsanforderung von APP1 an die Root CA senden
    certreq -submit C:\Temp\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req
  4. Certification Authority List > OK
    SUBCA-028
  5. Server Manager > Tools > Certification Authority
  6. Einfaches-Netzwerk Root CA\Pending Requests anklicken
  7. Die Anforderung rechts anklicken > All Tasks > Issue
    SUBCA-029
  8. Request ID notieren > hier die Nummer 2
  9. Fenster schließen
  10. Im Command Prompt (Admin) mit folgendem Befehl das Zertifikat erhalten
    certreq -retrieve 2 C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt
  11. Certification Authority List > OK
    SUBCA-031
  12. Die Datei C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt nach APP1 > C:\Temp kopieren
  13. ORCA1 herunterfahren
  14. Auf APP1 Command Prompt (Admin) starten
  15. Mit folgendem Befehl alle Dateien von C:\Temp nach C:\CertEnroll kopieren
    copy C:\Temp\*.cr* C:\CertEnroll\
  16. Mit folgendem Befehl das Zertifikat installieren
    certutil -installcert C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt
  17. Certificates Snap-In für Local Computer auf APP1
    SUBCA-033
  18. Mit folgendem Befehl den CertSvc starten
    net start certsvc

Die CDPs und AIAs von SubCA konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. SubCA1 rechts anklicken > Properties 
  3. Auf den Reiter Extensions wechseln
  4. Select extension: CDP
  5. Wie folgt konfigurieren:
    C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
    C:\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    SUBCA-034 SUBCA-035 SUBCA-036 SUBCA-037

  6. Select extension: AIA
  7. Wie folgt konfigurieren:
    C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt
    ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

    SUBCA-047 SUBCA-048 SUBCA-049

  8. Fenster schließen, der Dienst wird später neu gestartet
  9. Im Command Prompt (Admin) mit folgenden Befehlen die Gültigkeitsdauer der CRL und den Zertifikaten konfigurieren
    certutil.exe -setreg CA\CRLPeriodUnits 1 
    certutil.exe -setreg CA\CRLPeriod "Weeks" 
    certutil.exe -setreg CA\CRLDeltaPeriodUnits 1
    certutil.exe -setreg CA\CRLDeltaPeriod "Days"
    certutil.exe -setreg CA\CRLOverlapPeriodUnits 12
    certutil.exe -setreg CA\CRLOverlapPeriod "Hours"
    certutil.exe -setreg CA\ValidityPeriodUnits 5 
    certutil.exe -setreg CA\ValidityPeriod "Years"
  10. Mit folgenden Befehlen den CertSvc neu starten und die CRL erstellen
    net stop certsvc && net start certsvc
    certutil.exe -CRL

    SUBCA-043

  11. Der Ordner C:\CertEnroll
    SUBCA-050

Die Konfiguration überprüfen

  1. MMC (Admin) starten
  2. Das Snap-in Enterprise PKI hinzufügen
  3. Enterprise PKI rechts anklicken > Manage AD Containers…
    SUBCA-051
  4. Manage AD Containers
    1. Reiter NTAuthCertificates
      1. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
        SUBCA-052
    2. Reiter AIA Container
      1. Einfaches-Netzwerk Root CA-Zertifikat > Status OK
      2. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
        SUBCA-053
    3. Reiter CDP Container
      1. Einfaches-Netzwerk Root CA-CRL > Status OK
      2. Einfaches-Netzwerk SubCA-CRL > Status OK
      3. Einfaches-Netzwerk SubCA-Delta CRL > Status OK
        SUBCA-054
    4. Reiter Certification Authorities Container
      1. Einfaches-Netzwerk Root CA > Status OK
        SUBCA-055
    5. Reiter Enrollment Services Container
      1. Einfaches-Netzwerk SubCA > Status OK
        SUBCA-056
  5. Fenster mit OK schließen
  6. Pfade der Einfaches-Netzwerk Root CA sind alle erreichbar
    SUBCA-057
  7. Pfade der Einfaches-Netzwerk SubCA sind alle erreichbar
    SUBCA-058

Alles klar! 🙂