Teil 5c: Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

Die Zertifikatsvorlage für den Key Recovery Agent konfigurieren

  1. Server Manager > Local Server > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Certificate Templates rechts anklicken > ManageKEYARCHIVAL-001
  4. Die Zertifikatsvorlage Key Recovery Agent rechts anklicken > Duplicate Template
    KEYARCHIVAL-002
  5. Properties of New Template
    1. Reiter General
      1. Template display name: CUSTOM – Key Recovery Agent
      2. Validity period: 5 years
        KEYARCHIVAL-003 
    2. Reiter Issuance Requirements
      1. CA certificate manager approval deaktivieren
        KEYARCHIVAL-004
  6. Mit OK schließen
    KEYARCHIVAL-005
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
    KEYARCHIVAL-006
  8. CUSTOM – Key Recovery Agent markieren > OK
    KEYARCHIVAL-007KEYARCHIVAL-020

Die Konfiguration für die Schlüsselarchivierung kann erst abgeschlossen werden, wenn der KRA das Zertifikat angefordert hat.

Das Zertifikat für den Key Recovery Agent anfordern

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Certificates erweitern
  4. Personal rechts anklicken > All Tasks > Request New Certificate…
    KEYARCHIVAL-008
  5. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy: Next
    3. Request Certificates: CUSTOM – Key Recovery Agent > Enroll
      KEYARCHIVAL-009
    4. Das Zertifikat wird angefordert > Finish
      KEYARCHIVAL-010
  6. Den Ordner Certificates anklicken > Fenster schließen
    KEYARCHIVAL-011

Jetzt kann die Schlüsselarchivierung (Key Archival) aktiviert werden.

Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

  1. In der Certification Authority-Konsole Einfaches-Netzwerk SubCA rechts anklicken > Properties
    KEYARCHIVAL-013
  2. Zum Reiter Recovery Agents wechseln
  3. Archive the key aktivieren > Add…
    KEYARCHIVAL-014
  4. Das Zertifikat KeyRecoveryAgent markieren > OK
    KEYARCHIVAL-015
  5. Das Zertifikat wird in der Liste Key recovery agent certificates mit dem Status Not Loaded angezeigt
    KEYARCHIVAL-016
  6. Auf Apply klicken
  7. Die Frage über den Neustart des CertSvc mit Yes beantworten
  8. Das Zertifikat hat jetzt den Status Valid
    KEYARCHIVAL-018
  9. Fenster mit OK schließen

Weitere Informationen

Teil 5b: Two-Tier PKI Hierachy SubCA konfigurieren

Nach der Vorbereitung der PKI Hierachy SubCA in Teil 5a installiere und konfiguriere ich die Two-Tier PKI Hierachy SubCA. Im Anschluss geht es schon ans Templates-Erstellen und Auto-Enrollment.

Das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern

In Teil 5 habe ich das Zertifikat und die CRL der Root CA nach C:\Temp kopiert. Die folgenden zwei Befehle speichern diese im lokalen Speicher von APP1, damit das Erstellen der SubCA ohne Probleme durchgeführt werden kann.

  1. Als Administrator an APP1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgenden Befehlen das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern
    certutil -f -addstore root "C:\Temp\ORCA1_Einfaches-Netzwerk Root CA.crt"
    certutil -f -addstore root "C:\Temp\Einfaches-Netzwerk Root CA.crl"

    SUBCA-013
    SUBCA-015

Certification Authority auf APP1 installieren

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Active Directory Certificate Services > Add Features > NextSUBCA-016
    5. Features > Next
    6. AD CS > Next
      1. Role Services: Certification Authority > Next
        SUBCA-017
    7. Confirmation > Next
    8. Results > Configure Active Directory Certificate Services on the destination server > Close
      SUBCA-018

Certification Authority auf APP1 konfigurieren

  1. AD CS Configuration
    1. Credentials > Next
    2. Role Services: Certification Authority > Next
      SUBCA-019
    3. Setup Type: Enterprise CA > Next
      SUBCA-020
    4. CA Type: Subordinate CA > Next
      SUBCA-021
    5. Private Key: Create a new private key > Next
      SUBCA-022

      1.  Cryptography
        1. Select a cryptographic provider: RSA#Microsoft Software Key Storage Provider
        2. Key length: 2048
        3. Hash algorithm: SHA256 > Next
          SUBCA-023
      2. CA Name
        1. Common name for this CA: Einfaches-Netzwerk SubCA > Next
          SUBCA-024
      3. Certificate Request > Next
        SUBCA-025
    6. Certificate Database > Next
    7. Confirmation > Configure
      SUBCA-026
    8. Results > Close
      SUBCA-027
  2. Die Datei C:\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req nach ORCA1 > C:\Temp kopieren

 Das Zertifikat für die SubCA ausstellen und installieren

  1. Als lokaler Administrator an ORCA1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl die Zertifikatsanforderung von APP1 an die Root CA senden
    certreq -submit C:\Temp\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req
  4. Certification Authority List > OK
    SUBCA-028
  5. Server Manager > Tools > Certification Authority
  6. Einfaches-Netzwerk Root CA\Pending Requests anklicken
  7. Die Anforderung rechts anklicken > All Tasks > Issue
    SUBCA-029
  8. Request ID notieren > hier die Nummer 2
  9. Fenster schließen
  10. Im Command Prompt (Admin) mit folgendem Befehl das Zertifikat erhalten
    certreq -retrieve 2 C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt
  11. Certification Authority List > OK
    SUBCA-031
  12. Die Datei C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt nach APP1 > C:\Temp kopieren
  13. ORCA1 herunterfahren
  14. Auf APP1 Command Prompt (Admin) starten
  15. Mit folgendem Befehl alle Dateien von C:\Temp nach C:\CertEnroll kopieren
    copy C:\Temp\*.cr* C:\CertEnroll\
  16. Mit folgendem Befehl das Zertifikat installieren
    certutil -installcert C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt
  17. Certificates Snap-In für Local Computer auf APP1
    SUBCA-033
  18. Mit folgendem Befehl den CertSvc starten
    net start certsvc

Die CDPs und AIAs von SubCA konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. SubCA1 rechts anklicken > Properties 
  3. Auf den Reiter Extensions wechseln
  4. Select extension: CDP
  5. Wie folgt konfigurieren:
    C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
    C:\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    SUBCA-034 SUBCA-035 SUBCA-036 SUBCA-037

  6. Select extension: AIA
  7. Wie folgt konfigurieren:
    C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt
    ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

    SUBCA-047 SUBCA-048 SUBCA-049

  8. Fenster schließen, der Dienst wird später neu gestartet
  9. Im Command Prompt (Admin) mit folgenden Befehlen die Gültigkeitsdauer der CRL und den Zertifikaten konfigurieren
    certutil.exe -setreg CA\CRLPeriodUnits 1 
    certutil.exe -setreg CA\CRLPeriod "Weeks" 
    certutil.exe -setreg CA\CRLDeltaPeriodUnits 1
    certutil.exe -setreg CA\CRLDeltaPeriod "Days"
    certutil.exe -setreg CA\CRLOverlapPeriodUnits 12
    certutil.exe -setreg CA\CRLOverlapPeriod "Hours"
    certutil.exe -setreg CA\ValidityPeriodUnits 5 
    certutil.exe -setreg CA\ValidityPeriod "Years"
  10. Mit folgenden Befehlen den CertSvc neu starten und die CRL erstellen
    net stop certsvc && net start certsvc
    certutil.exe -CRL

    SUBCA-043

  11. Der Ordner C:\CertEnroll
    SUBCA-050

Die Konfiguration überprüfen

  1. MMC (Admin) starten
  2. Das Snap-in Enterprise PKI hinzufügen
  3. Enterprise PKI rechts anklicken > Manage AD Containers…
    SUBCA-051
  4. Manage AD Containers
    1. Reiter NTAuthCertificates
      1. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
        SUBCA-052
    2. Reiter AIA Container
      1. Einfaches-Netzwerk Root CA-Zertifikat > Status OK
      2. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
        SUBCA-053
    3. Reiter CDP Container
      1. Einfaches-Netzwerk Root CA-CRL > Status OK
      2. Einfaches-Netzwerk SubCA-CRL > Status OK
      3. Einfaches-Netzwerk SubCA-Delta CRL > Status OK
        SUBCA-054
    4. Reiter Certification Authorities Container
      1. Einfaches-Netzwerk Root CA > Status OK
        SUBCA-055
    5. Reiter Enrollment Services Container
      1. Einfaches-Netzwerk SubCA > Status OK
        SUBCA-056
  5. Fenster mit OK schließen
  6. Pfade der Einfaches-Netzwerk Root CA sind alle erreichbar
    SUBCA-057
  7. Pfade der Einfaches-Netzwerk SubCA sind alle erreichbar
    SUBCA-058

Alles klar! 🙂

Teil 5a: Two-Tier PKI Hierachy SubCA vorbereiten

In Teil 5 habe ich die Offline Root CA konfiguriert. In diesem Teil werde ich die Two-Tier PKI Hierachy SubCA vorbereiten.

Den Ordner CertEnroll erstellen und Berechtigungen konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Windows Explorer starten
  3. Auf das Laufwerk C:\ wechseln
  4. Einen Ordner mit dem Namen CertEnroll erstellen
  5. Den Ordner CertEnroll rechts anklicken und im Kontextmenü auf Properties klicken
  6. Auf den Reiter Sharing wechseln > Advanced Sharing
  7. Share this folder anhaken > Permissions
  8. Auf Add… klicken
  9. Cert Publishers > Check Names > OK
  10. Cert Publishers markieren > Allow Full Control > OK
    SUBCA-002
  11. Auf den Reiter Security wechseln > Edit…
  12. Cert Publishers > Check Names > OK
  13. Cert Publishers markieren > Allow Full Control > OK
    SUBCA-003
  14. Alle Fenster mit Close schließen

Hinweis: Wird die ausstellende SubCA auf einem anderen Rechner installiert, zu den Berechtigungen das Computerkonto der SubCA ebenfalls hinzufügen.

Internet Information Services (IIS) installieren

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Web Server (IIS) > Add Features > Next
      SUBCA-001
    5. Features > Next
    6. Web Server Role (IIS) > Next
      1. Role Services > Next
    7. Confirmation > Install
    8. Results > Close

Am Web Server ein virtuelles Verzeichnis erstellen

  1. Server Manager > Local Server > Tools > Internet Information Services (IIS) Manager
  2. APP1\Sites erweitern
  3. Default Web Site rechts anklicken > Add Virtual DirectorySUBCA-004
  4. Add Virtual Directory
    1. Alias: CertEnroll
    2. Physical path: c:\CertEnroll > OK
      SUBCA-005

Directory Browsing aktivieren

  1. Im Bereich Connections das virtuelle Verzeichnis CertEnroll markieren
  2. Im Bereich CertEnroll Home Directory Browsing doppelklicken
    SUBCA-006
  3. Im Bereich Actions auf Enable klicken
    SUBCA-007

DoubleEscaping (für URLs mit +-Zeichen) aktivieren

  1. Command Promt (Admin) starten
  2. Mit folgendem Befehl in den Ordner inetsrv wechseln
    cd c:\Windows\System32\inetsrv
  3. Mit folgendem Befehl DoubleEscaping aktivieren
    appcmd set config "Default Web Site" /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True
  4. Den IIS-Dienst neu starten
    iisreset

    SUBCA-008

DNS-Alias für pki.intern.einfaches-netzwerk.at erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Local Server > Tools > DNS
  3. Forward Lookup Zones erweitern
  4. DC1\Forward Lookup Zones erweitern
  5. intern.einfaches-netzwerk.at rechts anklicken > New Alias (CNAME)…
    SUBCA-009

  6. New Resource Record
    1. Alias name: pki
    2. Fully qualified domain name: pki.intern.einfaches-netzwerk.at.
    3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at > OK
      SUBCA-010
  7. DNS Manager-Konsole schließen
  8. Internet Explorer starten
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/

SUBCA-012