Windows 2012 PKI Part 1 : Root CA - IT-professional Community Blog
Zoeken binnen blogs.microsoft.nl

IT-professional Community Blog

Windows 2012 PKI Part 1 : Root CA

Feb 10 2013, 08:54 PM

In deze aankomende blogs ga PKI configureren op Windows 2012. Ik zal hierbij een two-tier PKI omgeving opbouwen. Deze bestaat uit een offline root CA en een online Subordinatie CA.

Add roles and Features

Active Directory Certificate Services is één van de rollen die je kunt installeren op een Windows 2012 server. We starten dan ook met het installeren van deze rol.

  • Na het opstarten van Add Roles and Features Wizard druk je op Next
  • Kies voor Role-based or feature-based installation en druk op Next
  • Selecteer je lokale server en druk op Next
  • Selecteer Active Directory Certificate Services en druk op Next
    • Accepteer de extra Roles and Features
  • Niks selecteren, druk op Next

Het is mogelijk om de Certification Authority uit te rusten met een web interface. Dit is erg handig om certificaten mee aan te vragen, dus installeren we hem.

  • Selecteer (ook) Certification Authority Web Enrollment en druk op next
    • Accepteer de extra Roles and Features
  • Druk op Next
  • Accepteer de default instellingen en druk op Next
  • Druk op Install

De Role wordt nu geïnstalleerd.

Configure Certification Authority (CA)

We gaan nu de Root CA configureren. Dit is anders dan bij 2008 R2. Daar werd tijdens de installatie van de Rol al een aantal vragen gesteld, zoals type CA. In 2012 komt dit na de installatie van de rol.

  • Selecteer AD CS aan de linker kant

clip_image002

  • Druk op More

clip_image004

  • Druk op Configure Active Directory Certificate Services

We kunnen dus nu een aparte user account aangeven die we gebruiken voor de CA. Aangezien dit de Offline Root CA wordt gaan we verder.

  • Druk op Next
  • Selecteer de beide services en druk op Next

We hebben nu niet veel keus, omdat deze server geen Lid is van een AD DS.

  • Druk op Next
  • Kies voor Root CA en druk op Next
  • Kies voor Create a new private key en druk op Next

In deze blog kies ik voor de standaard waarde, SHA1. SHA1 wordt door de meeste Operating Systems ondersteund, SHA2 (SHA256 t/m SHA512) worden ondersteund door Windows XP SP3 en hoger.

http://nl.wikipedia.org/wiki/SHA-familie

  • Druk op Next
  • Vul een Distinguished name suffix in en druk op Next

Geef aan hoe lang het certificaat geldig is. Hierbij geldt hoe korter hoe veiliger, maar meer beheer. Hoe langer hoe onveiliger, maar minder beheer.

  • Druk op Next
  • Kies een plek waar de database van de CA geplaatst wordt en druk op Next
  • Controleer je settings en druk op Configure
  • Als hij klaar is druk op Close

Finish installation

Ø Ga naar Tools, Certification Authority

clip_image006

  • Selecteer de CA en ga naar Action, Properties
  • Ga naar Tabblad Extensions
  • Verwijder alle CRL Distribution Points
  • Druk op Add
  • Als locatie geef je het volgende op: http://cert.test.local/CDP/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Vervang hierbij http://cert.test.local door je eigen URL

  • Druk op OK
  • Selecteer de volgende extra settings:

clip_image008

  • Druk Add
  • Als locatie geef je het volgende op: C:\CDP\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Vervang hierbij C:\CDP door je eigen folder. Je zult deze wel eerst moeten aanmaken. De CA doet dit niet voor je.

  • Druk op OK
  • Set volgende extra settings:

clip_image010

We hebben nu verteld waar de CRL gedownload kan worden. We moeten ook nog vertellen waar de AIA gedownload kan worden.

  • Onder Select extensions kies voor Authority Information Access

clip_image012

  • Verwijder alle bestaande setttings
  • Druk op Add
  • Tik in http://cert.test.local/CDP/<ServerDNSName>_<CaName><CertificateName>.crt
  • Selecteer Include in the AIA extension of issued certificates
  • Druk op Add
  • Tik in C:\CDP\<ServerDNSName>_<CaName><CertificateName>.crt
  • Apply

Je kunt nu nog eventuele extra settings doen mocht dat nodig zijn. Ben je klaar druk dan op OK en restart de CA service of server. Je Root CA is klaar. De volgende keer gaan we de online CA installeren.

Commentaar:

Windows 2012 PKI Part 1 : Root CA zei:

PingBack vanaf  Windows 2012 PKI Part 1 : Root CA

# September 7, 2013 5:58 PM

Fatshark's Personal Blog zei:

In deze aankomende blogs ga PKI configureren op Windows 2012. Ik zal hierbij een two-tier PKI omgeving opbouwen. Deze bestaat uit een offline root CA en een online Subordinatie CA. Root CA In deel 2 gaan we de subordinate CA installeren. Ik ga er vanu

# January 3, 2014 10:40 AM
Wat denkt u?

(Verplicht) 

(Verplicht) 

(Optioneel)

(Verplicht) 
CaptchaCube Vraag:


Antwoord: