Teil 5b: Two-Tier PKI Hierachy SubCA konfigurieren

Nach der Vorbereitung der PKI Hierachy SubCA in Teil 5a installiere und konfiguriere ich die Two-Tier PKI Hierachy SubCA. Im Anschluss geht es schon ans Templates-Erstellen und Auto-Enrollment.

Das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern

In Teil 5 habe ich das Zertifikat und die CRL der Root CA nach C:\Temp kopiert. Die folgenden zwei Befehle speichern diese im lokalen Speicher von APP1, damit das Erstellen der SubCA ohne Probleme durchgeführt werden kann.

  1. Als Administrator an APP1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgenden Befehlen das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern
    certutil -f -addstore root "C:\Temp\ORCA1_Einfaches-Netzwerk Root CA.crt"
    certutil -f -addstore root "C:\Temp\Einfaches-Netzwerk Root CA.crl"

    SUBCA-013
    SUBCA-015

Certification Authority auf APP1 installieren

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Active Directory Certificate Services > Add Features > NextSUBCA-016
    5. Features > Next
    6. AD CS > Next
      1. Role Services: Certification Authority > Next
        SUBCA-017
    7. Confirmation > Next
    8. Results > Configure Active Directory Certificate Services on the destination server > Close
      SUBCA-018

Certification Authority auf APP1 konfigurieren

  1. AD CS Configuration
    1. Credentials > Next
    2. Role Services: Certification Authority > Next
      SUBCA-019
    3. Setup Type: Enterprise CA > Next
      SUBCA-020
    4. CA Type: Subordinate CA > Next
      SUBCA-021
    5. Private Key: Create a new private key > Next
      SUBCA-022

      1.  Cryptography
        1. Select a cryptographic provider: RSA#Microsoft Software Key Storage Provider
        2. Key length: 2048
        3. Hash algorithm: SHA256 > Next
          SUBCA-023
      2. CA Name
        1. Common name for this CA: Einfaches-Netzwerk SubCA > Next
          SUBCA-024
      3. Certificate Request > Next
        SUBCA-025
    6. Certificate Database > Next
    7. Confirmation > Configure
      SUBCA-026
    8. Results > Close
      SUBCA-027
  2. Die Datei C:\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req nach ORCA1 > C:\Temp kopieren

 Das Zertifikat für die SubCA ausstellen und installieren

  1. Als lokaler Administrator an ORCA1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl die Zertifikatsanforderung von APP1 an die Root CA senden
    certreq -submit C:\Temp\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req
  4. Certification Authority List > OK
    SUBCA-028
  5. Server Manager > Tools > Certification Authority
  6. Einfaches-Netzwerk Root CA\Pending Requests anklicken
  7. Die Anforderung rechts anklicken > All Tasks > Issue
    SUBCA-029
  8. Request ID notieren > hier die Nummer 2
  9. Fenster schließen
  10. Im Command Prompt (Admin) mit folgendem Befehl das Zertifikat erhalten
    certreq -retrieve 2 C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt
  11. Certification Authority List > OK
    SUBCA-031
  12. Die Datei C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt nach APP1 > C:\Temp kopieren
  13. ORCA1 herunterfahren
  14. Auf APP1 Command Prompt (Admin) starten
  15. Mit folgendem Befehl alle Dateien von C:\Temp nach C:\CertEnroll kopieren
    copy C:\Temp\*.cr* C:\CertEnroll\
  16. Mit folgendem Befehl das Zertifikat installieren
    certutil -installcert C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt
  17. Certificates Snap-In für Local Computer auf APP1
    SUBCA-033
  18. Mit folgendem Befehl den CertSvc starten
    net start certsvc

Die CDPs und AIAs von SubCA konfigurieren

  1. Server Manager > Tools > Certification Authority
  2. SubCA1 rechts anklicken > Properties 
  3. Auf den Reiter Extensions wechseln
  4. Select extension: CDP
  5. Wie folgt konfigurieren:
    C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
    C:\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    SUBCA-034 SUBCA-035 SUBCA-036 SUBCA-037

  6. Select extension: AIA
  7. Wie folgt konfigurieren:
    C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt
    ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

    SUBCA-047 SUBCA-048 SUBCA-049

  8. Fenster schließen, der Dienst wird später neu gestartet
  9. Im Command Prompt (Admin) mit folgenden Befehlen die Gültigkeitsdauer der CRL und den Zertifikaten konfigurieren
    certutil.exe -setreg CA\CRLPeriodUnits 1 
    certutil.exe -setreg CA\CRLPeriod "Weeks" 
    certutil.exe -setreg CA\CRLDeltaPeriodUnits 1
    certutil.exe -setreg CA\CRLDeltaPeriod "Days"
    certutil.exe -setreg CA\CRLOverlapPeriodUnits 12
    certutil.exe -setreg CA\CRLOverlapPeriod "Hours"
    certutil.exe -setreg CA\ValidityPeriodUnits 5 
    certutil.exe -setreg CA\ValidityPeriod "Years"
  10. Mit folgenden Befehlen den CertSvc neu starten und die CRL erstellen
    net stop certsvc && net start certsvc
    certutil.exe -CRL

    SUBCA-043

  11. Der Ordner C:\CertEnroll
    SUBCA-050

Die Konfiguration überprüfen

  1. MMC (Admin) starten
  2. Das Snap-in Enterprise PKI hinzufügen
  3. Enterprise PKI rechts anklicken > Manage AD Containers…
    SUBCA-051
  4. Manage AD Containers
    1. Reiter NTAuthCertificates
      1. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
        SUBCA-052
    2. Reiter AIA Container
      1. Einfaches-Netzwerk Root CA-Zertifikat > Status OK
      2. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
        SUBCA-053
    3. Reiter CDP Container
      1. Einfaches-Netzwerk Root CA-CRL > Status OK
      2. Einfaches-Netzwerk SubCA-CRL > Status OK
      3. Einfaches-Netzwerk SubCA-Delta CRL > Status OK
        SUBCA-054
    4. Reiter Certification Authorities Container
      1. Einfaches-Netzwerk Root CA > Status OK
        SUBCA-055
    5. Reiter Enrollment Services Container
      1. Einfaches-Netzwerk SubCA > Status OK
        SUBCA-056
  5. Fenster mit OK schließen
  6. Pfade der Einfaches-Netzwerk Root CA sind alle erreichbar
    SUBCA-057
  7. Pfade der Einfaches-Netzwerk SubCA sind alle erreichbar
    SUBCA-058

Alles klar! 🙂