Deel II PKI voor Direct Access, Config ADCS

Martijn Bellaard — Wed, 24 Feb 2010 19:01:54 GMT

Direct Access maakt gebruik van IPSec op basis van certificaten om de Direct Access IPv6 verkeer te beveiligen. Hiervoor heb je, in deel I, de ADCS geïnstalleerd, maar deze moet wel worden aangepast aan de eisen van Direct Access

IP-HTTPS custom certificate template (Optioneel)

Als eerste maken we een custom template aan voor de IP-HTTPS. Dit is alleen noodzakelijk als je een eigen SSL certificaat wil gebruiken voor IP-HTTPS

Aanmaken Custom certificaat:

Start de ADCS mmc
Ga naar certificate templates
Action => Manage
Selecteer de Web Server template
Action => Dubplicate Template
Windows Server 2008 Enterprise
Template display name: Web Server 2008
Ga naar de Security Tab
Voeg toe: Domain computer, Allow Enroll
Ga naar de Request Handling tab
Selecteer: Allow private key to be exported
OK en sluit de MMC

Je bent nu weer terug in de ADCS MMC

Ga naar certificate Templates
Action => new => Certificate Template To Issue
Selecteer de nieuw aangemaakte template Web Server 2008

Laat het console maar openstaan, we hebben hem direct weer nodig.

Aanpassen CRL locatie

Onze werkplekken zullen straks via Direct Access een connectie maken met het netwerk. Voordat ze dat kunnen zullen ze een 6over4 tunnel willen opzetten en het IPv6 verkeer beveiligen met IPSec op basis van een certificaat.

De Direct Access kent drie verschillende 6over4 tunnels:

ISATAP
6to4
Teredo
IP-HTTPS

De laatste tunnel techniek maakt gebruik van een SSL tunnel om IPv6 verkeer te routeren over het IPv4 internet. Windows 7 zal hiervoor eerst de CRL willen controleren. We moeten er dus voor zorgen dat onze CRL distributie locatie van buitenaf bereikbaar is. Hiervoor zul je dus een website moeten hebben op het internet waarnaar je de CRL zult publiceren. Je kunt dit automatisch laten verlopen. In dat geval moet je CA schrijfrechten hebben op de webserver. Je kunt het met de hand doen, dan zul je dus zelf de CRL lijsten moeten kopiëren.

Selecteer de server
Action => Properties
Ga naar de Extensions tab
Add
Location = http://externe.url/CRT/<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl
OK
Vink de volgende onderdelen aan:

Include in CRLs. Clients use this ti find delta CRL locations
Include in the CDP externsion issued Certificates

Apply

Nu hebben we de plek aangegeven waar de CRL lijst is te downloaden. Nu moeten we de CA vertellen hoe hij bij deze plek kan komen. Daarnaast zul je de CA toegang moeten geven tot deze plek. Dit doe je door de groep Cert Publishers schrijf- en leesrechten te geven.

Add
Location = file:\\server\CRT$\<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl
Ok
Vink de volgende onderdelen aan:

Publish CRLs to this location
Publish Delta CRLS to this location

Restart de ADCS service om de nieuwe aanpassing door te voeren.

Direct Access PKI policy

Als laatste moet je een policy maken die een computer certificaat automatisch uitdeelt. Deze is nodig voor IPSec.

Maak of edit een GPO
Ga naar Computer\Configuration\Policies\Windows Settings\Public Key Policies\Automatic Certificate Request Settings
Action => New
Next
Select Computer
Next
Finish

IIS configuren voor CRL distributie

We hebben aan de CA vertelt om zijn CRLs te distribueren via http://externe.url/CRT/<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl. De Direct Access server is een internet facing server dus kan goed gebruikt worden om de CRL lijst te distribueren. Heb je dus niet voor een andere server gekozen dan kun je hem dus daarvoor gaan gebruiken.

Aanmaken CRL share

Als eerste gaan we een plek maken waar de CRL lijsten kunnen worden opgeslagen. Maak hiervoor de directory C:\Inetpub\wwwroot\crl Een ander locatie mag ook, maar dan zul je hem moeten toevoegen aan de website.

Select de folder die je net hebt aangemaakt, (C:\Inetpub\wwwroot\crl)
Rechtermuis knop => Properties
Sharing
Advanced Sharing
Selecteer: Share this folder
Share naam: CRL$
Permissions
Add
Cert Publisher
OK
Geef Cert Publisher Full Control
OK
OK
Ga naar de Security tab
Edit
Add
Cert Publisher
OK
Geef Cert Publisher Full Control
OK
OK

Aanpassen CRL website

Het opvragen van de certificaten vanaf een website kan alleen maar als de website Double Escaping toestaat. Default staat IIS 7.0 dat niet toe.

Open IIS Manager

Open de default website
Open CRL
In de contents pane zie je de Configuration Editor staan. Dubbel klik deze
Bovenin zie je section staan. Vul het volgende in: system.webServer/security/requestFiltering.
Zorg dat allowDoubleEscaping op True komt te staan
Action => Apply

Voordat je de IIS manager sluit controleer je een aantal zaken:

De website moet “anonymous access” toestaan
Zit de website achter een reverse proxy moet deze ook anonymous access toestaan.
Op NTFS niveau moet “everyone” toegang hebben tot de CRL lijsten.

Publiceer de CRL lijst

Nu de CRL locatie klaar is kun je de CRL lijst distribueren naar deze nieuwe locatie. Log hiervoor aan op de ADCS server.

Open de ADCS mmc
Selecteer Revoked Certificates
Action => All tasks => Publish
New CRL
OK

Als alles goed gegaan is zie je nu twee CRLs staan in de CRL directory. Direct Access gaat niet werken als de client de CRL lijsten niet kan downloaden. Controleer dit met PKIView. Hierin mogen geen foutmeldingen of waarschuwing voor komen. Heb je wel meldingen of waarschuwing los deze dan eerst op.

Aanvragen SSL certificaat voor de IP-HTTPS server

Als laatste gaan we een SSL certificaat aanvragen voor IP-HTTPS. Dit kun je doen bij je eigen CA of bij een online CA. In deze blog doe ik het bij mijn eigen CA. De template hebben we eerder in deze blog aangemaakt.

Start, type MMC
Enter
File => Add/Remove Snap-in
Selecteer Certificaten
Add
Computer Account
Next
Local Computer
Finish
Ga naar de Certificates (Local Computer)\Personal
Action => All Task => New Certificate
Select Web Server 2008
Druk op More Information is required to enroll for this certificate
Op de subject tab van de Certificate Properties zie je het veld Subject Name staan. Hier kun je verschillende typen kiezen. Selecteer Common Name
Vul zowel je interne als je externe URL in.
Onder Alternative name selecteer DNS
Vul opnieuw je interne en externe URL in.
OK
Enroll
Finish

Je hebt nu een certificaat aangevraagd voor IP-HTTPS.

In mijn volgende blog gaan we direct access configureren.

Search results matching tags 'Windows 7', 'IPv6', 'UAG', 'Connect', 'Windows Server 2008 R2', 'Active Directory', 'Forefront Unified Access Gateway', and 'Certificaat'