Teil 27c: DirectAccess-Zertifikate und Web Server konfigurieren

Die Schritte für die Konfiguration von Zertifikaten und Web Server habe ich in den Teilen Teile 6ff, Teile 26ff detailliert beschrieben. Die Vorlagen für die Computer- und Web Server-Zertifikate können wie beschrieben verwendet werden, es sind keine Änderungen notwendig. Das Hinzufügen von Host (A)- und Alias (CNAME)-Einträgen am DNS Server habe ich ebenfalls schon öfter beschrieben (siehe z.B. Teil 12b: SSL mit WSUS verwenden). Deshalb habe ich in diesem Teil das Konfigurieren der DirectAccess-Zertifikate und Web Server etwas zusammengefasst.

DirectAccess-Zertifikate und Web Server konfigurieren – Schritte:

  • CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren
  • Am externen DNS Host (A oder AAAA)-Einträge für pki und da hinzufügen
  • Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen
  • Computer-Zertifikat auf den DirectAccess-Clients
  • Webseite für den NLS (Network Location Server) konfigurieren

CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren

Weil DA1 aus dem Internet erreichbar ist – Netzwerk-Adapter Extern1 mit 131.107.0.10 – muss ich die CRL hier verfügbar machen. Diese Schritte können bei einem Drittanbieter-Zertifikat übersprungen werden, weil die vorhandene Infrastruktur des Drittanbieters (z.B. StartSSL) verwendet wird.

  1. Als Administrator an DA1 anmelden
  2. Den Ordner C:\CertEnroll erstellen und freigeben
  3. Die Gruppe Cert Publishers und das Computerobjekt der SubCA1 (APP1) berechtigen (Ändern)
    DA_CERT-0001
  4. Die CA-Zertifikate nach C:\CertEnroll kopieren
    DA_CERT-0002
  5. Im IIS Manager ein virtuelles Verzeichnis CertEnroll anlegen
    DA_CERT-0003
  6. Directory Browsing und Double Escaping aktivieren (siehe Teil 6)
  7. In den Eigenschaften der SubCA1 die CDPs und AIAs hinzufügen
  8. Der CDP für http://pki.einfaches-netzwerk.at/CertEnroll und file:///da1.intern.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0004
  9. Der AIA-Eintrag für http://pki.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0005
  10. Den Dienst certsvc neu starten
  11. Die CRL neu veröffentlichen, diese wird sowohl auf APP1 > C:\CertEnroll als auch auf DA1 > C:\CertEnroll kopiert (für die interne Hochverfügbarkeit der CRL kann man diese zwei Server mittels Network Load Balancing zusammenführen, dazu mehr in einem späteren Teil)DA_CERT-0006
  12. Die interne Erreichbarkeit der CRL testen
    DA_CERT-0007

Am externen DNS Host (A)-Einträge für pki und da hinzufügen

  1. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für pki.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-010
  2. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für da.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-009
  3. Die externe Erreichbarkeit der CRL testen
    DA_CERT-011

Passt soweit! 🙂

Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen

Wie in Teil 27 beschrieben braucht DA1 für die IPsec-Verbindung das Computer-, für die IP-HTTPS-Verbindung das Web Server-Zertifikat.

  1. Eine MMC mit dem Snap-in Certificates für den Computer account starten
  2. Das Computer- und folgendes Web Server-Zertifikat ausstellen
    DA_CERT-004

    1. Subject name
      1. Type: Common name
      2. Value: da.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: da.einfaches-netzwerk.at
        DA_CERT-002
    3. Friendly name: IP-HTTPS Web Server Certificate
      DA_CERT-003
    4. MMC mit den ZertifikatenDA_CERT-006
  3. Alle Fenster schließen
  4. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-007
    DA_CERT-008
  5. Alle Fenster schließen

Computer-Zertifikat auf den DirectAccess-Clients

Weil ich die Computer-Zertifikate mittels Gruppenrichtlinen automatisch ausrolle (siehe Teil 6i), ist auf den Clients alles erledigt. 🙂
DA_CERT-012

Webseite für den NLS (Network Location Server) konfigurieren

Für die Webseite des NLS gilt als Best Practice nicht die IIS Standard Webseite zu verwenden. Aus diesem Grund erstelle ich eine einfache html-Datei.

  1. Als Administrator an APP1 anmelden
  2. Die Datei index.html mit folgendem Inhalt in C:\inetpub\wwwroot erstellen
    <html>
        <body>
            <a href="http://app1.intern.einfaches-netzwerk.at">www.einfaches-netzwerk.at</a>
        </body>
    </html>
  3. Am DNS Server einen neuen Host (A)-Eintrag für nls.intern.einfaches-netzwerk.at anlegen
    DA_SERVER-024
  4. Folgendes Web Server-Zertifikat ausstellen
    1. Subject name
      1. Type: Common name
      2. Value: nls.intern.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: nls.intern.einfaches-netzwerk.at
        DA_CERT-016
    3. Friendly name: NLS Web Server Certificate
      DA_CERT-017
  5. Fenster schließen
  6. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-018
  7. Der Aufruf mittels https://nls.intern.einfaches-netzwerk.at/DA_CERT-019

In diesem Teil ist viel geschehen: Ich habe die CRL für die DirectAccess-Clients aus dem Internet erreichbar gemacht. Außerdem habe ich für IP-HTTPS, IPsec und den NLS alle notwendigen Zertifikate installiert und die Web Server konfiguriert. Schon ist es soweit: Im nächsten Teil werde ich auf DA1 die Server-Rolle für DirectAccess installieren und konfigurieren.

Teil 5h: Eine Zertifikatsvorlage für Web Server erstellen

Damit ich die Kommunikation zu meinen Web Servern sichern kann, brauche ich eine Zertifikatsvorlage für Web Server.

Eine Active Directory-Sicherheitsgruppe für Web Server erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk\Sicherheitsgruppen rechts anklicken > New > Group
  4. New Object – Group
    1. Group name: Web Server > OK
      WEBSERVER_CERT-001
  5. Alle Fenster schließen
    WEBSERVER_CERT-002

Eine Zertifikatsvorlage für Web Server erstellen

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certificate Templates rechts anklicken > Manage
  5. Die Vorlage Web Server rechts anklicken > Duplicate Template
  6. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – Web Server
        WEBSERVER_CERT-003
    2. Reiter Security:
      1. Group or user names > Add… > Web Server > Check Names > OK
      2. Web Server markieren > Allow Read, Enroll > OK
        WEBSERVER_CERT-004
  7. Certificate Templates-Konsole schließen
    WEBSERVER_CERT-005
  8. In der Certification Authority-Konsole Certificate Templates rechts anklicken > Certificate Template to Issue
  9. CUSTOM – Web Server markieren > OK
    WEBSERVER_CERT-006
  10. Web Server-Vorlage rechts anklicken > Delete
    WEBSERVER_CERT-007
  11. Alle Fenster schließen

Weitere Informationen

Teil 5g: Computerzertifikate mittels Auto-Enrollment registrieren

Auf meinen Clients möchte ich Computerzertifikate mittels Auto-Enrollment registrieren. Damit ist der Anfang für eine spätere DirectAccess-Implementierung schon gemacht. 🙂

Eine Zertifikatsvorlage für Computer erstellen und konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Cerification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage Computer rechts > Duplicate Template
  6. Properties of New Template:
    1. Reiter Compatibility:
      1. Certification Authority: Windows Server 2003
      2. Certificate recipient: Windows 8.1 / Windows Server 2012 R2
        AUTOENROLLMENT-001
    2. Reiter General:
      1. Template display name: CUSTOM – Computer
      2. Validity period: 5 years
        AUTOENROLLMENT-002
    3. Reiter Security:
      1. Domain Computers markieren > Allow Read, Enroll und Autoenroll
        AUTOENROLLMENT-003
    4. Reiter Subject Name:
      1. Subject name format: DNS Name
        AUTOENROLLMENT-004
  7. Fenster mit OK schließen
    AUTOENROLLMENT-005
  8. Certificate Templates-Konsole schließen
  9. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  10. In der Liste CUSTOM – Computer auswählen > OK
    AUTOENROLLMENT-006
  11. Zertifikatsvorlage Computer rechts anklicken > Delete anklicken
    AUTOENROLLMENT-007
  12. Alle Fenster schließen

Auto-Enrollment mittels Gruppenrichtlinen aktivieren

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies markieren
  6. Certificate Services Client – Auto-Enrollment doppelklicken
    AUTOENROLLMENT-008
  7. Certificate Services Client – Auto-Enrollment Properties
    1. Configuration Model: Enabled
    2. Renew expired certificates, update pending certificates, and remove revoked certificates aktivieren
    3. Update certificates that use certificate templates aktivieren (ermöglicht die automatische Registrierung für die Ausstellung von Zertifikaten, die ausgestellte Zertifikate ablösen) > OK
      AUTOENROLLMENT-009
  8. Alle Fenster schließen
    AUTOENROLLMENT-010

Weitere Informationen