SubCA | Ein einfaches Netzwerk

Inhaltsverzeichnis

Nach der Vorbereitung der PKI Hierachy SubCA in Teil 5a installiere und konfiguriere ich die Two-Tier PKI Hierachy SubCA. Im Anschluss geht es schon ans Templates-Erstellen und Auto-Enrollment.

Das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern

In Teil 5 habe ich das Zertifikat und die CRL der Root CA nach C:\Temp kopiert. Die folgenden zwei Befehle speichern diese im lokalen Speicher von APP1, damit das Erstellen der SubCA ohne Probleme durchgeführt werden kann.

Als Administrator an APP1 anmelden
Command Prompt (Admin) starten

Mit folgenden Befehlen das Root CA-Zertifikat und die CRL im lokalen Speicher von APP1 speichern

certutil -f -addstore root "C:\Temp\ORCA1_Einfaches-Netzwerk Root CA.crt"
certutil -f -addstore root "C:\Temp\Einfaches-Netzwerk Root CA.crl"

Certification Authority auf APP1 installieren

Server Manager > Manage > Add Roles and Features
Add Roles and Features Wizard
1. Before You Begin > Next
2. Installation Type: Role-based or feature-based installation > Next
3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
4. Server Roles: Active Directory Certificate Services > Add Features > Next
5. Features > Next
6. AD CS > Next
  1. Role Services: Certification Authority > Next
7. Confirmation > Next
8. Results > Configure Active Directory Certificate Services on the destination server > Close

Certification Authority auf APP1 konfigurieren

AD CS Configuration
1. Credentials > Next
2. Role Services: Certification Authority > Next
3. Setup Type: Enterprise CA > Next
4. CA Type: Subordinate CA > Next
5. Private Key: Create a new private key > Next
  1. Cryptography
    1. Select a cryptographic provider: RSA#Microsoft Software Key Storage Provider
    2. Key length: 2048
    3. Hash algorithm: SHA256 > Next
  2. CA Name
    1. Common name for this CA: Einfaches-Netzwerk SubCA > Next
  3. Certificate Request > Next
6. Certificate Database > Next
7. Confirmation > Configure
8. Results > Close
Die Datei C:\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req nach ORCA1 > C:\Temp kopieren

Das Zertifikat für die SubCA ausstellen und installieren

Als lokaler Administrator an ORCA1 anmelden
Command Prompt (Admin) starten
Mit folgendem Befehl die Zertifikatsanforderung von APP1 an die Root CA senden
```
certreq -submit C:\Temp\APP1.intern.einfaches-netzwerk.at_intern-APP1-CA.req
```
Certification Authority List > OK
Server Manager > Tools > Certification Authority
Einfaches-Netzwerk Root CA\Pending Requests anklicken
Die Anforderung rechts anklicken > All Tasks > Issue
Request ID notieren > hier die Nummer 2
Fenster schließen

Im Command Prompt (Admin) mit folgendem Befehl das Zertifikat erhalten

certreq -retrieve 2 C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt

Certification Authority List > OK
Die Datei C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt nach APP1 > C:\Temp kopieren
ORCA1 herunterfahren
Auf APP1 Command Prompt (Admin) starten
Mit folgendem Befehl alle Dateien von C:\Temp nach C:\CertEnroll kopieren
```
copy C:\Temp\*.cr* C:\CertEnroll\
```

Mit folgendem Befehl das Zertifikat installieren

certutil -installcert C:\Temp\APP1.intern.einfaches-netzwerk.at_Einfaches-Netzwerk SubCA.crt

Certificates Snap-In für Local Computer auf APP1
Mit folgendem Befehl den CertSvc starten
```
net start certsvc
```

Die CDPs und AIAs von SubCA konfigurieren

Server Manager > Tools > Certification Authority
SubCA1 rechts anklicken > Properties
Auf den Reiter Extensions wechseln
Select extension: CDP

Wie folgt konfigurieren:

C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
C:\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://pki.intern.einfaches-netzwerk.at/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Select extension: AIA

Wie folgt konfigurieren:

C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>
http://pki.intern.einfaches-netzwerk.at/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

Fenster schließen, der Dienst wird später neu gestartet

Im Command Prompt (Admin) mit folgenden Befehlen die Gültigkeitsdauer der CRL und den Zertifikaten konfigurieren

certutil.exe -setreg CA\CRLPeriodUnits 1 
certutil.exe -setreg CA\CRLPeriod "Weeks" 
certutil.exe -setreg CA\CRLDeltaPeriodUnits 1
certutil.exe -setreg CA\CRLDeltaPeriod "Days"
certutil.exe -setreg CA\CRLOverlapPeriodUnits 12
certutil.exe -setreg CA\CRLOverlapPeriod "Hours"
certutil.exe -setreg CA\ValidityPeriodUnits 5 
certutil.exe -setreg CA\ValidityPeriod "Years"

Mit folgenden Befehlen den CertSvc neu starten und die CRL erstellen
```
net stop certsvc && net start certsvc
certutil.exe -CRL
```
Der Ordner C:\CertEnroll

Die Konfiguration überprüfen

MMC (Admin) starten
Das Snap-in Enterprise PKI hinzufügen
Enterprise PKI rechts anklicken > Manage AD Containers…
Manage AD Containers
1. Reiter NTAuthCertificates
  1. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
2. Reiter AIA Container
  1. Einfaches-Netzwerk Root CA-Zertifikat > Status OK
  2. Einfaches-Netzwerk SubCA-Zertifikat > Status OK
3. Reiter CDP Container
  1. Einfaches-Netzwerk Root CA-CRL > Status OK
  2. Einfaches-Netzwerk SubCA-CRL > Status OK
  3. Einfaches-Netzwerk SubCA-Delta CRL > Status OK
4. Reiter Certification Authorities Container
  1. Einfaches-Netzwerk Root CA > Status OK
5. Reiter Enrollment Services Container
  1. Einfaches-Netzwerk SubCA > Status OK
Fenster mit OK schließen
Pfade der Einfaches-Netzwerk Root CA sind alle erreichbar
Pfade der Einfaches-Netzwerk SubCA sind alle erreichbar