Archiv der Kategorie: Zertifikate

CA, Zertifikate, PKI

Teil 5a: Two-Tier PKI Hierachy SubCA vorbereiten

Veröffentlicht am von
Antworten

Inhaltsverzeichnis

In Teil 5 habe ich die Offline Root CA konfiguriert. In diesem Teil werde ich die Two-Tier PKI Hierachy SubCA vorbereiten.

Den Ordner CertEnroll erstellen und Berechtigungen konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Windows Explorer starten
  3. Auf das Laufwerk C:\ wechseln
  4. Einen Ordner mit dem Namen CertEnroll erstellen
  5. Den Ordner CertEnroll rechts anklicken und im Kontextmenü auf Properties klicken
  6. Auf den Reiter Sharing wechseln > Advanced Sharing
  7. Share this folder anhaken > Permissions
  8. Auf Add… klicken
  9. Cert Publishers > Check Names > OK
  10. Cert Publishers markieren > Allow Full Control > OK
    SUBCA-002
  11. Auf den Reiter Security wechseln > Edit…
  12. Cert Publishers > Check Names > OK
  13. Cert Publishers markieren > Allow Full Control > OK
    SUBCA-003
  14. Alle Fenster mit Close schließen

Hinweis: Wird die ausstellende SubCA auf einem anderen Rechner installiert, zu den Berechtigungen das Computerkonto der SubCA ebenfalls hinzufügen.

Internet Information Services (IIS) installieren

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Web Server (IIS) > Add Features > Next
      SUBCA-001
    5. Features > Next
    6. Web Server Role (IIS) > Next
      1. Role Services > Next
    7. Confirmation > Install
    8. Results > Close

Am Web Server ein virtuelles Verzeichnis erstellen

  1. Server Manager > Local Server > Tools > Internet Information Services (IIS) Manager
  2. APP1\Sites erweitern
  3. Default Web Site rechts anklicken > Add Virtual DirectorySUBCA-004
  4. Add Virtual Directory
    1. Alias: CertEnroll
    2. Physical path: c:\CertEnroll > OK
      SUBCA-005

Directory Browsing aktivieren

  1. Im Bereich Connections das virtuelle Verzeichnis CertEnroll markieren
  2. Im Bereich CertEnroll Home Directory Browsing doppelklicken
    SUBCA-006
  3. Im Bereich Actions auf Enable klicken
    SUBCA-007

DoubleEscaping (für URLs mit +-Zeichen) aktivieren

  1. Command Promt (Admin) starten
  2. Mit folgendem Befehl in den Ordner inetsrv wechseln 
    cd c:\Windows\System32\inetsrv
  3. Mit folgendem Befehl DoubleEscaping aktivieren 
    appcmd set config "Default Web Site" /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True
  4. Den IIS-Dienst neu starten 
    iisreset

    SUBCA-008

DNS-Alias für pki.intern.einfaches-netzwerk.at erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Local Server > Tools > DNS
  3. Forward Lookup Zones erweitern
  4. DC1\Forward Lookup Zones erweitern
  5. intern.einfaches-netzwerk.at rechts anklicken > New Alias (CNAME)…
    SUBCA-009
  6. New Resource Record
    1. Alias name: pki
    2. Fully qualified domain name: pki.intern.einfaches-netzwerk.at.
    3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at > OK
      SUBCA-010
  7. DNS Manager-Konsole schließen
  8. Internet Explorer starten 
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/

SUBCA-012

Teil 5: Two-Tier PKI Hierachy Offline Root CA konfigurieren

Veröffentlicht am von
1

Inhaltsverzeichnis

Two-Tier PKI Hierachy Offline Root CA konfigurieren: Die Root CA wird auf einem Server installiert, welcher nicht Mitglied der Domäne ist. Der Server ist mit keinem Netzwerk verbunden, daher auch Offline-Root CA (ORCA1). Die SubCA wird auf einem Server in der Domäne installiert (APP1). Das Aufwendige dabei ist, das Root CA-Zertifikat und die CRL in Active Directory zu veröffentlichen und das SubCA-Zertifikat offline mittels Root CA zu erstellen.

Als Grundlage verwende ich Active Directory Certificate Services.

ORCA1 installieren

In Teil 4a habe ich ORCA1 als virtuellen Server erstellt und installiert. Der Server hat alle aktuellen Updates installiert.

Certification Authority auf ORCA1 installieren und konfigurieren

  1. Als lokaler Administrator an ORCA1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: ORCA1 > Next
    4. Server Roles: Active Directory Certificate Services > Add Features > Next
      ORCA1-001
    5. Features > Next
    6. AD CS > Next
    7. Role Services: Certification Authority > Next
      ORCA1-002
    8. Confirmation > Install
    9. Results > Configure Active Directory Certificate Services on the destination server > Close
      ORCA1-003
  4. AD CS Configuration
    1. Credentials
      1. Credentials: ORCA1\Administrator > Next
        ORCA1-004
    2. Role Services: Certification Authority > Next
      ORCA1-005
    3. Setup Type: Standalone CA > Next
      ORCA1-006
    4. CA Type: Root CA > Next
      ORCA1-007
    5. Private Key: Create a new private key > Next
      ORCA1-008
    6. Cryptography:
      1. Select a cryptographic provider: RSA#Microsoft Software Key Storage Provider
      2. Key length: 2048
      3. Hash algorithm: SHA256 > Next
        ORCA1-009
    7. CA Name:
      1. Common name for this CA: Einfaches-Netzwerk Root CA > Next
        ORCA1-010
    8. Validity Period: 20 Years > Next
      ORCA1-011
    9. Certificate Database > Next
    10. Confirmation > Configure
      ORCA1-012
    11. Results > Close
      ORCA1-013

CDP (CRL Distribution Point) und AIA (Authority Information Access) der Root CA konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. Einfaches-Netzwerk Root CA rechts anklicken > Properties
  3. Auf den Reiter Extensions wechseln
  4. Select extension: CDP
  5. Wie folgt konfigurieren: 
    C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix>.crl
http://pki.intern.einfaches-netzwerk.at/CertEnroll/<CaName><CRLNameSuffix>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

    ORCA1-016 ORCA1-017 ORCA1-018

  6. Select extension: AIA
  7. Wie folgt konfigurieren: 
    C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>
http://pki.intern.einfaches-netzwerk.at/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

    ORCA1-027 ORCA1-028 ORCA1-029

Konfigurationspartition von Active Directory und Gültigkeitsdauer der CRL und den Zertifikaten konfigurieren

Die CA muss so konfiguriert werden, dass die Konfigurationspartition von Active Directory zum Speichern der CDP und AIA-Informationen verwendet wird. Weil der DistiguishedName (DN) der CDP und AIA-Container den Root-Forest-Namen der CA enthalten, muss dieser in der Registry mittels certutil zur Verfügung gestellt werden – ORCA1 ist ja kein Domänenmitglied. Im Anschluss konfiguriere ich die Gültigkeitsdauer der CRL und die der ausgestellten Zertifikate.

  1. Command Prompt (Admin) starten
  2. Mit folgendem Befehl die Konfigurationspartition von Active Directory konfigurieren 
    certutil.exe -setreg CA\DSConfigDN "CN=Configuration,DC=intern,DC=einfaches-netzwerk,DC=at"
  3. Mit folgenden Befehlen die Gültigkeitsdauer der CRL und den Zertifikaten konfigurieren 
    certutil.exe -setreg CA\CRLPeriodUnits 52
certutil.exe -setreg CA\CRLPeriod "Weeks"
certutil.exe -setreg CA\CRLOverlapPeriodUnits 12
certutil.exe -setreg CA\CRLOverlapPeriod "Hours"
certutil.exe -setreg CA\ValidityPeriodUnits 10 
certutil.exe -setreg CA\ValidityPeriod "Years"

    ORCA1-022

  4. Mit folgenden Befehlen den CertSvc neu starten und die CRL erstellen 
    net stop certsvc && net start certsvc
certutil.exe -CRL
  5. Alle Dateien von C:\Windows\System32\CertSrv\CertEnroll\ nach DC1 und APP1 > C:\Temp kopieren
    ORCA1-023

Das Root CA-Zertifikat und die CRL in Active Directory veröffentlichen

Der Befehl speichert das Root CA-Zertifikat in der Konfigurationspartition von Active Directory. Das erlaubt den Domänen-Computern diesem Zertifikat automatisch zu vertrauen, ohne weitere Konfiguration mittels Gruppenrichtlinien.

  1. Als Administrator an DC1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl das Root CA-Zertifikat  und CRL in AD veröffentlichen 
    certutil -f -dspublish "C:\Temp\ORCA1_Einfaches-Netzwerk Root CA.crt" RootCA
certutil -f -dspublish "C:\Temp\Einfaches-Netzwerk Root CA.crl" ORCA1
  4. Die Konfigurationspartition von Active Directory
    ORCA1-025

Weiter gehts mit der SubCA auf APP1 im nächsten Teil.