Teil 5a: Two-Tier PKI Hierachy SubCA vorbereiten

In Teil 5 habe ich die Offline Root CA konfiguriert. In diesem Teil werde ich die Two-Tier PKI Hierachy SubCA vorbereiten.

Den Ordner CertEnroll erstellen und Berechtigungen konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Windows Explorer starten
  3. Auf das Laufwerk C:\ wechseln
  4. Einen Ordner mit dem Namen CertEnroll erstellen
  5. Den Ordner CertEnroll rechts anklicken und im Kontextmenü auf Properties klicken
  6. Auf den Reiter Sharing wechseln > Advanced Sharing
  7. Share this folder anhaken > Permissions
  8. Auf Add… klicken
  9. Cert Publishers > Check Names > OK
  10. Cert Publishers markieren > Allow Full Control > OK
    SUBCA-002
  11. Auf den Reiter Security wechseln > Edit…
  12. Cert Publishers > Check Names > OK
  13. Cert Publishers markieren > Allow Full Control > OK
    SUBCA-003
  14. Alle Fenster mit Close schließen

Hinweis: Wird die ausstellende SubCA auf einem anderen Rechner installiert, zu den Berechtigungen das Computerkonto der SubCA ebenfalls hinzufügen.

Internet Information Services (IIS) installieren

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Web Server (IIS) > Add Features > Next
      SUBCA-001
    5. Features > Next
    6. Web Server Role (IIS) > Next
      1. Role Services > Next
    7. Confirmation > Install
    8. Results > Close

Am Web Server ein virtuelles Verzeichnis erstellen

  1. Server Manager > Local Server > Tools > Internet Information Services (IIS) Manager
  2. APP1\Sites erweitern
  3. Default Web Site rechts anklicken > Add Virtual DirectorySUBCA-004
  4. Add Virtual Directory
    1. Alias: CertEnroll
    2. Physical path: c:\CertEnroll > OK
      SUBCA-005

Directory Browsing aktivieren

  1. Im Bereich Connections das virtuelle Verzeichnis CertEnroll markieren
  2. Im Bereich CertEnroll Home Directory Browsing doppelklicken
    SUBCA-006
  3. Im Bereich Actions auf Enable klicken
    SUBCA-007

DoubleEscaping (für URLs mit +-Zeichen) aktivieren

  1. Command Promt (Admin) starten
  2. Mit folgendem Befehl in den Ordner inetsrv wechseln
    cd c:\Windows\System32\inetsrv
  3. Mit folgendem Befehl DoubleEscaping aktivieren
    appcmd set config "Default Web Site" /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True
  4. Den IIS-Dienst neu starten
    iisreset

    SUBCA-008

DNS-Alias für pki.intern.einfaches-netzwerk.at erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Local Server > Tools > DNS
  3. Forward Lookup Zones erweitern
  4. DC1\Forward Lookup Zones erweitern
  5. intern.einfaches-netzwerk.at rechts anklicken > New Alias (CNAME)…
    SUBCA-009

  6. New Resource Record
    1. Alias name: pki
    2. Fully qualified domain name: pki.intern.einfaches-netzwerk.at.
    3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at > OK
      SUBCA-010
  7. DNS Manager-Konsole schließen
  8. Internet Explorer starten
    http://pki.intern.einfaches-netzwerk.at/CertEnroll/

SUBCA-012

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert