Zertifikatsstelle installieren

Ich möchte euch zeigen, wie man eine Root Zertifikatsstelle installiert zeigen. Dies ist nur die Basis, wir werden, bei weiteren Beiträgen diesen Beitrag als Grundlage benutzen. Damit beim Windows Server alles einwandfrei funktioniert.

Ein Active-Directory-Zertifikatsdienst ist nicht zwingend, zu einem Domain Controller hinzu zu installieren, nur der Server muss ein Mitglied einer Domäne sein.


Inhaltsverzeichnis

  1. Installation
  2. Konfigurieren
  3. System
  4. Überprüfen
    1. Server
    2. Client

Installation

Typisch bei Windows Server, starten wir den Server-Manager, wir werden eine Rolle hinzufügen, die keinen Neustart benötigt, ausgenommen die Deinstallation wird einen Neustart benötigen.

Wir werden “Rollenbasierte oder featurebasierte Installation” wählen, dies ist zu meist die Standardwahl, ausgenommen wir möchten einen Terminalserver installieren.

An diesem Punkt, werden wir vom Server-Pool installieren. Man könnte über den Server-Manager andere Windows Server einbinden und danach Rollen und Features so auf einem anderen Server installieren bzw. konfigurieren, dies ist ehrlich gesagt nicht schlecht, so hat man den Überblick über seine Server Landschaft, auf nur einem Server, dies ist für mich ein Managementserver.

Wir werden die Rolle “Active-Directory-Zertifikatsdienst” aktivieren. Dies lässt sich nur aktivieren, wenn der Server

Die Zusatzfeatures bleibt aktivieren, die werden ausnahmslos benötigt, für einen sauberen Ablauf bzw. für das administrieren, es wird nur, ein Snap-In hinzugefügt für die Microsoft Management Console. Daher werden wir die Checkbox “Management-Tools einschließen” nicht deaktivieren.

Wir benötigen keine Features, die wurden passend durch das hinzufügen der Rolle aktiviert.

Wir werden die Zertifizierungsstelle aktivieren, alle anderen Feature werde ich in einem anderen Beitrag näher darauf eingehen. Ich werde daher die anderen Features nicht aktivieren, die Installation werden wir zu einem anderen Beitrag durchführen.

Ich werde euch kurz Erklären, um welche Feature es sich handelt.

FeatureBeschreibung
ZertifizierungsstelleHierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatsdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt.
Online-ResponderOnline-Responder – Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7.5 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt.
Registrierungsdienst für NetzwerkgeräteDiese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst ist es möglich, Zertifikate an Netzwerkgeräte automatisch auszustellen.
Zertifikatregistrierungsrichtlinie-WebdienstDer Zertifikatregistrierungsrichtlinien-Webdienst verwendet das HTTPS-Protokoll, um Informationen zur Zertifikatrichtlinie an Netzwerkclientcomputern weiterzuleiten. Der Webdienst ruft mithilfe des LDAP-Protokolls Informationen zur Zertifikatrichtlinie von den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) ab und speichert die Richtlinieninformationen zur Verarbeitung von Clientanforderungen zwischen. In früheren Versionen von AD CS konnten nur Domänenclientcomputer, die das LDAP-Protokoll verwenden, auf die Informationen zur Zertifikatrichtlinie zugreifen. Dadurch wird die Ausstellung von richtlinienbasierten Zertifikaten auf die von den Gesamtstrukturen der Active Directory-Domänendienste festgelegten Vertrauensstellungsgrenzen beschränkt.
Zertikatsregistierungs-WebdienstDer Zertifikatregistrierungs-Webdienst verwendet das HTTPS-Protokoll, um Zertifikatanforderungen von Netzwerkclientcomputern anzunehmen und ausgestellte Zertifikate an Netzwerkclientcomputer zurückzuschicken. Der Zertifikatregistrierungs-Webdienst verwendet das DCOM-Protokoll, um eine Verbindung mit der Zertifizierungsstelle (Certification Authority, CA) herzustellen und die Zertifikatregistrierung im Namen des Antragstellers auszuführen. In früheren Versionen von AD CS konnte die richtlinienbasierte Zertifikatregistrierung nur von Mitgliedsclientcomputern ausgeführt werden, die das DCOM-Protokoll verwenden. Dadurch wird die Ausstellung von Zertifikaten auf die von Active Directory-Domänen und Gesamtstrukturen festgelegten Vertrauensstellungsgrenzen beschränkt.
Zertifizierungsstellen-WebregistrierungWird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse https://<Servername>/certsrv angefordert werden. Hierbei handelt es sich um die Webschnittstelle der Zertifizierungsdienste.

Wir werden nun die Rolle installieren, es wird kein Neustart benötigt.


Konfigurieren

Wir müssen die Zertifizierungsstelle noch konfigurieren, es funktioniert über den Server-Manager, es wird ein oranges Rufzeichen erscheinen im Manager oder direkt aus dem Installation-Wizard. Ich werde es euch zeigen über den Installation-Wizard.

Es muss sichergestellt werden, das genügend Rechte, vorhanden sind, man benötigt einen Benutzer mit mindestens dem Recht Organisations-Administrator. Es empfehlt sich den Benutzer Domain-Administrator oder einen eigene erstellten Domain-Admin zu benutzen. Zu beachten ist, dass ein lokaler Administrator keine solchen Schreibrechte besitzt.

Wir können nur die Zertifizierungsstelle aktivieren, da wir dieses Feature nur installiert haben. Die anderen Feature sind nicht möglich zu dem Zeitpunkt zu wählen aus zwei Gründen. Der erste Grund ist wir haben Sie nicht installiert und er zweite Grund ist wir haben die Basis noch nicht konfiguriert und somit kann man die advanced Einstellungen noch nicht wählen.

Wir werden die Unternehmenszertifizierungsstelle wählen, da wir keine Public-Key-Infrastruktur aufbauen möchten. Unser Ziel ist eine in Active-Directory integrierte Zertifizierungsstelle zu bauen.

Wir haben noch keine Root-Zertifizierungsstelle, daher müssen wir erst eine erstellen, solltet Ihr einen weiteren Server Planen, es ist nur ein Root-Zertifizierungsstelle im System möglich, alle anderen Server sind “Untergeordnete Zertifizierungsstellen”.

Im Normalfall besitzen wir noch keinen eigenen privaten Schlüssel (Achtung!!! Denn privaten Schlüssel muss privat sein, da man ansonsten in eigenem Namen Zertifikate ausstellen kann und es ein großes Sicherheitsproblem gibt) , also werden wir uns einen erstellen.

Standardmäßig ist zu empfehlen “RSA#Microsoft Software Key Storage Provider” zu verwenden.

Eine Schlüssellänge von unter 2048 zu verwenden ist aus der Sicht der Sicherheit zu unterlassen, wenn die Geräte diesen Schlüssel überhaupt noch akzeptieren, eine Empfehlung von mir ist 4096. Höher als 4096 kann es sein, dass gewisse Geräte, Software, Appliance,… damit nicht umgehen können und daher nicht zu empfehlen.

Der Hast von SHA256 würde ich benutzen, da höher ebenso nicht funktionieren können, insbesondere ältere Geräte, könnten Probleme erhalten.

Diese Einstellungen würde ich so belassen, da der Allgemein Name genau sagt von welchem Server, das Zertifikat erstellt wurde und alle Informationen enthalten sind. Aber auf Wunsch kann der Allgemeine Name nach belieben geändert werden.

Beim “Destinguished Name” darf nicht geändert werden, da ansonsten das Zertifikat nicht mehr einwandfrei funktioniert.

Länger als 5 Jahre würde ich nicht nehmen um die Lebensdauer des Zertifikat. Wobei zu beachten ist das Google bzw. auch andere Mitanbieter, mittlerweile alle Zertifikat als untrusted ansieht, die Länger als 1 Jahr sind. Es hat zwar einen erhöhten Administrativen, aufwand das Root Zertifikat zu verlängern, aber aus der Sicht der Sicherheit, ist es empfehlenswert.

Hier wird nur festgelegt wo der Speicherort der Datenbank für die Zertifikate ist. Man kann Ihn anpassen, würde ich aber belassen um keine weiteren Problem zu erzeugen.

Nun werden alle Konfigurationseinstellungen übernommen, der Private Schlüssel erzeugt und das Root Zertifikat erstellt.

Wir haben nun fertig die Zertifizierungsstelle installiert und konfiguriert.


System

Wir werden nun das Programm “Ausführen” öffnen oder über den Server-Manager können wir die Zertifizierungsstelle öffnen.

certsrv.msc

Überprüfen

Server

Wir können nun das Root-Zertifikat im ANSI-Editor finden, wenn wir das Programm “Ausführen” öffnet.

adsiedit.msc

Der Pfad lautet:

CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local

Client

Das Root-Zertifikat können wir am Client oder Member-Server im Zertifikatsmanager, des eigenen Benutzerkonto finden. Es befindet sich unter dem vertrauenswürdigen Stammzertifikate. Wir öffnen wieder das Programm “Ausführen”.

certmgr.msc

Schreibe einen Kommentar

%d Bloggern gefällt das: