Windows 2012 PKI Part 2 : Sub CA - IT-professional Community Blog
Zoeken binnen blogs.microsoft.nl

IT-professional Community Blog

Windows 2012 PKI Part 2 : Sub CA

Feb 25 2013, 09:06 PM

In deel 2 gaan we de subordinate CA installeren. Ik ga er vanuit dat je beschikt over een Domain waarin we de CA kunnen installeren en een account voor de CA. Ik gebruik voor het gemak even het administrator account.

Herhaling

Het eerste gedeelte is gelijk aan wat we deden in deel 1, dus hierbij een herhaling ;-):

 

Active Directory Certificate Services is één van de rollen die je kunt installeren op een Windows 2012 server. We starten dan ook met het installeren van deze rol.

  • Na het opstarten van Add Roles and Features Wizard druk je op Next
  • Kies voor Role-based or feature-based installation en druk op Next
  • Selecteer je lokale server en druk op Next
  • Selecteer Active Directory Certificate Services en druk op Next
    • Accepteer de extra Roles and Features
  • Niks selecteren, druk op Next

Het is mogelijk om de Certification Authority uit te rusten met een web interface. Dit is erg handig om certificaten mee aan te vragen, dus installeren we hem.

  • Selecteer Certification Authority Web Enrollment en druk op next
    • Accepteer de extra Roles and Features
  • Druk op Next
  • Accepteer de default instellingen en druk op Next
  • Druk op Install

De Role wordt nu geïnstalleerd

Tijdens de installatie kun je er voor kiezen om een deployment configuration template te maken. Deze kun je dan gebruiken om de CA rol op andere servers uit te rollen.

  • Druk op Export configuration settings

image

  • Geef het bestand een naam en bewaar het ergens

image

Je hebt nu een XML file die je kunt gaan gebruiken als deployment template.

Configure Certification Authority (CA)

We gaan nu de Root CA configureren. Dit is anders dan bij 2008 R2. Daar werd tijdens de installatie van de Rol al een aantal vragen gesteld, zoals type CA.

  • Selecteer AD CS aan de linker kant van de console

image

  • Druk op More

image

  • Druk op Configure Active Directory Certificate Services
  • Selecteer nu het account dat je wilt gebruiken voor je PKI omgeving en druk op next.
  • Selecteer de beide rollen en druk op next

We gaan in de blog een Enterprise CA installeren. Dit betekent dat het dus mogelijk is om vanuit de ADDS certificaten uit te delen.

  • Selecteer Enterprise CA en druk op Next

We hebben al een Root CA geïnstalleerd, we gaan nu de subordinate CA installeren.

  • Selecteer Subordinate CA en druk op Next
  • Selecteer Create a new private key en druk op Next
  • Kies de standaard waarde en druk op Next
  • Controleer de waardes en druk op Next

We werken met een offline Root CA, dus we kunnen nu niet direct bij een CA het request (verzoek) inleveren. We slaan het dus op in een file. De default locatie is C:\.

  • Druk op Next
  • Kies een locatie voor de CA database en log files. Druk daarna op Next
  • Alle settings zijn gezet, druk op configure

Je krijgt nu de volgende melding:

image

Dit betekent dat de CA geconfigureerd is en een request file heeft aangemaakt. Met deze request file gaan we naar de Root CA toe.

Request a Subordinate CA certificate

Kopier de request file naar de C:\Request (deze directory moet wel eerst worden aangemaakt) op de root CA en login op de root CA.

  • Start Server Manager
  • In server manager ga naar tools, certification Authority
  • Selecteer in het console de server
  • Action, All tasks, submit a new request
  • Open de request file van de Subordinate CA. Deze staat op c:\request
  • Ga naar Pending Request en selecteert de openstaande request
  • Action, All tasks, issue
  • Ga naar Issue Certificates
  • Selecteer de certificaat die je net ge-issued hebt.

image

  • Open het certificaat
  • Ga naar het tabblad Details
  • Druk op Copy to File

image

  • Druk op Next
  • Kies de standaard waarde en druk op Next

Sla het bestand op in C:\request\antwoord.cer

  • Druk op Next
  • Druk op Finish

Naast dit certificaat zullen we ook het Root certificaat van de Root CA nodig hebben inclusief de CRL lijst. Dit vind je onder:

image

Kopieer deze bestanden en antword.cer naar de subordinate CA.

image

De eerste is de Root certificaat. De tweede is de CRL lijst van je Root CA. Deze twee moeten straks op alle clients en server in je domain worden geïnstalleerd.

De configuratie afmaken

  • Ga terug naar de Subordinate CA
  • Start Server Manager
  • In server manager ga naar tools, certification Authority
  • Selecteer in het console de CA server
  •  Action, All tasks, Install a CA certificate
  • Selecteer nu het certificaat die je gemaakt heb op de Root CA (antwoord.cer) en druk op Open

Nu kan het er op lijken dat je computer vast loopt, maar hij is bezig met het zoeken naar de root certificaat. Je krijgt de volgende melding:

image

Het probleem is dat je Subordinate de root CA niet vertrouwt. Druk Cancel

Domain klaar maken voor de Root CA

In onze vorig blog hebben we de Root CA vertelt dat zijn CRL lijst op de volgende locatie staat:

http://cert.test.local/CDP/

Als het goed is heb je IIS geïnstalleerd op je CA server. We gaan deze misbruiken om onze CRL te publiceren.

  • Onder tools open de IIS manager
  • Selecteer sites

image

  • Onder Actions (rechts), Add Website

Je krijgt nu de Add Website Wizard voor je neus.

  • Vul de juiste waardes in en druk op OK

image

Standaard staat IIS double Escapes niet toe. Nu zitten er in een CRL bestandsnaam vaak een + teken wat zorgt voor een double escape. We moeten dit dus wel toestaan op de CDP directory.

Maak de folder CDP aan onder C:\inetpub\CertServer

  • Selecteer de CDP folder vanuit IIS
  • Dubbel klik op Request Filter
  • Selecteer Rules
  • Druk op Edit Feature Settings
  • Selecteer Allow double escaping
  • Druk op OK

Plaats nu de twee bestanden van de Root CA in deze directory.

Als laatste publiceren we de certificaten in ADDS.

  • Open een command prompt als Administrator
  • Ga naar de locatie waar de je de twee bestanden hebt neergezet.
  • Run het volgende commando voor het installeren van de CRL lijst in de ADDS: certutil -dspublish -f "ROOTCA2012-CA.crl" RootCA
  • Run het volgende commando voor het installeren van het Root certificaat in de ADDS: certutil -dspublish -f "RootCA2012_ROOTCA2012-CA.crt" RootCA

Als laatste moet je er wel voor zorgen dat crl URL geregistreerd is in een DNS. Heb je er voor gekozen om de CRL ook beschikbaar te stellen op het internet dan moet je dit dus doen op een externe DNS, anders kun je dit doen op jeinterne DNS. In deze blog gebruik ik crl.test.local. Dit is per definitie een interne URL.

Je kunt de CRL en AIA locatie later aanpassen, zodat de CRL en CRT bestanden gevonden kunnen worden op een ander locatie. Waarom en hoe ga ik in een volgende blog bespreken.

Wat denkt u?

(Verplicht) 

(Verplicht) 

(Optioneel)

(Verplicht) 
CaptchaCube Vraag:


Antwoord: