Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA

Ich empfehle Ihnen vorher den Artikel “Grundlegendes einer Zertifizierungsstellen (CA)” zu lesen. In diesem Artikel beschreibe ich Ihnen wie Sie eine interne Zertifizierungsstelle unter Windows Server 2012R2 einrichten. Wie in dem Artikel über die Grundlagen von Zertifizierungsstellen beschrieben, richte auch ich zuerst eine Offline Root-CA ein. Dafür wird eine Virtuelle Windows Server 2012R2 Maschine benötigt. Diese sollte unter keinen Umständen Mitglied der Domäne sein.

Die Einrichtung der Offline-CA

Es schadet nichts die VM auf einen Aktuellen Updatestand zu bringen. Sobald das geschehen ist, kann die Installation beginnen. Als erstes wird die Rolle “Active Directory-Zertifikatdienste” installiert.

Hinzufügen der Rolle "Active Directory-Zertifikatdienste"
Hinzufügen der Rolle “Active Directory-Zertifikatdienste”

Wichtig ist das nach der Installation der Zertifizierungsstelle weder der Computername noch die Domänenzugehörigkeit geändert werden kann.

Die Active Directory-Zertifikatdienste (AD CS) bieten die Zertifikatinfrastruktur für Szenarien wie sichere Funknetzwerke, virtuelle private Netzwerke, Internetprotokollsicherheit (IPSec), Netnverkzugriffsschutz (NAP), verschlüsselndes Dateisystem (EFS) und Smartcardanmeldung.  Wichtige Hinweise: Name und Domäneneinstellungen dieses Computers können nach der Installation einer Zertifizierungsstelle nicht mehr geÉndert werden. Wenn Sie den Computernamen ändern, einer DomÉne beitreten oder den Server zu einem Domänencontroller höher stufen möchten, führen Sie diese Anderungen vor der Installation der Zertifizierungsstelle aus. Weitere Informationen finden Sie unter "Zertifizierungsstellenbenennung.
Wichtiger Hinweis für die Zertifizierungsstelle

Die benötigten Rollendienste sind bei der Root-CA lediglich die Rolle “Zertifizierungsstelle”

Hinzufügen der Rolle “Active Directory-Zertifikatdienste” – Auswahl der AD-CS Rollen

Nach der Installation der Zertifikatsdienste kann die Zertifizierungsstelle ohne Neustart des Computers installiert werden.

Nach dem Abschluss der Rollen Installation muss die Zertifizierungsstelle konfiguriert werden.

Als Anmeldeinformation für die Rollendienste der Offline CA muss das lokale Administrator Konto verwendet werden. Der zu konfigurierende Rollentyp ist hierbei die Zertifizierungsstelle selber.

Auswahl der zu konfigurierenden Zertifizierungsstellen Rolle

Da wir gewollter weise über keine Active Directory Mitgliedschaft verfügen, bleibt nur eine “Eigenständige Zertifizierungsstelle” übrig. Eine “Unternehmenszertifizierungsstelle” wird später als die untergeordnete Zertifizierungsstelle erstellt.

Konfiguration als Eigenständige Zertifizierungsstelle

Die Offline-CA wird als “Stammzertifizierungsstelle” eingerichtet. Für den privaten Schlüssel sollte ein neuer erstellt werden, und nicht ein vorhandener Verwendet werden.

Die Schlüssellänge sollte möglichst hoch sein. Als Standard wird 2048 Bit vorgegeben, aber es kann auch 4096 Bit ausgewählt werden. Da der Hashalgorithmus “SHA1” nicht mehr als sicher gilt, verwende ich in meiner Umgebung “SHA512” aus der Algorithmus Familie “SHA2”. Auch der MD5 Algorithmus der vielen aus der Linux Welt für Prüfsummen bekannt ist, ist nicht mehr sicher. Mehr dazu im Golem Artikel “Hash-Verfahren”.

Konfiguration der Kryptografieoptionen

Als nächstes sollte für die Offline CA ein vernünftiger Name gefunden werden, diesen sehen hinterher alle Clients in ihrem Zertifikatsspeicher. Sinnvoll wäre hier zum Beispiel “Unternehmensname Root-CA” oder vergleichbares.

Bei der Gültigkeitsdauer ist zu beachten, spätestens nach diesem Zeitraum benötigen sie die Offline-CA zu erneuern der Zertifizierungsstelle. Wichtig ist auch, je länger der Zeitraum, desto grösser ist die Gefahr wenn die Sub-CA kompromittiert wird und die Anwendung das Zertifikat nicht auf Gültigkeit überprüft. Hier sollten Sie genau überlegen wie das Risiko ist, und was Sie mit Ihrer CA vorhaben. Bei mir zuhause, kann ich bei den 5 Jahren die Standard sind bleiben.

Die Datenbankorte können ohne Probleme an dem vorgeschlagenen Ort belassen werden.

Zum Schluss kann alles nochmal geprüft werden, bevor die Zertifizierungsstelle eingerichtet wird. Prüfen Sie es sorgfältig, danach gibt es keinen Weg zurück, außer von vorne anzufangen.

Abschliessende Überprüfung der Konfiguration

Nach einem kurzen Moment ist die Zertifizierungsstelle eingerichtet.

Erfolgreiche Konfiguration

Nach der Einrichtung der CA müssen noch ein paar Einstellungen in der Zertifizierungsstelle vorgenommen werden. Dazu starten Sie die “Zertifizierungsstelle”-Konsole aus dem Server-Manager.

Starten der Verwaltungskonsole “Zertifizierungsstelle”

In den Eigenschaften der Root-CA sollten jetzt die “Certificate Revocation Lists (CRL)” bzw. im Deutschen die “Zertifikatsperrlisten” und die “Authority Information Access (AIA)” bzw. im Deutschen der “Zugriff auf Stelleninformationen” (Ich lasse die Übersetzung mal unkommentiert) gepflegt werden. Hier sollten Sie gut überlegen in welche Sperrlisten eingetragen werden, so mal ja der Server der Offline CA Offline sein wird. Sinnvoll ist es für die Root-CA dieselben Veröffentlichungspunkte zu Nutzen wie für die Untergeordnete CA. Dafür sollte man sich jetzt schon für einen Computernamen / DNS-Namen für die Sub-CA entscheiden. In kleinen Umgebungen wäre es möglich die Untergeordnete CA auf einen Domänen Controller zu installieren. Dieser würde aber bis zu einer Migration der CA auf seinem Betriebssystem Stand verbleiben und könnte auch nicht heruntergestuft werden. Dies könnte in Zukunft dazu führen das der Domänen Funktion Ebene nicht weiter angehoben werden kann. Ich werde in meiner Umgebung den DNS-Alias “CA” für die untergeordnete Zertifizierungsstelle verwenden, und trage ihn auch direkt in den DNS ein.

Entsprechend trage ich als Veröffentlichungspunkt “http://ca.adg.local/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crt” und Aktiviere für den hinzugefügten Punkt die Checkboxen “in Sperrlisten einbeziehen. Wird z. Suche von Deltasperrlisten verwendet” und “In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen”.

Konfiguration der Sperrlisten-Verteilungspunkte

Für den “Zugriff auf Stelleninformationen” trage ich entsprechend “http://ca.adg.local/certEnroll/<ServerDNSName>_<CaName><CertificateName>.crt” und aktiviere die Option “In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen”.

Konfiguration der Stelleninformationen

Damit die Offline-CA nicht jede Wochen zur Erzeugung einer neuen Sperrliste gestartet werden muss, müssen die folgenden Befehle in eine Eingabeaufforderung die im Administrativen Modus gestartet wurde:

C



ertutil -setreg CA\CRLPeriod Months
Certutil -setreg CA\CRLPeriodUnits 6
Certutil -setreg CA\CRLOverlapPeriod Weeks
Certutil -setreg CA\CRLOverlapUnit 4
Certutil -setreg CA\CRLDeltaPeriodUnit 0
Ergebnisse der Konfiguration über die Eingabeaufforderung

Als nächstes sollte die Liste der Gespeicherten Zertifikate veröffentlicht werden. Tragen Sie sich die Erneuerung der Sperrliste am besten direkt in den Kalender ein. Ohne eine Gültig Sperrliste verweigert die SUB-CA ihren Dienst.

Veröffentlichen der Sperrliste

Als nächstes solle der Inhalt des Ordners “C:\Windows\System32\Certsrv\CertEnroll” zusammen mit einem Export des Persönlichen Zertifikates (Ohne privaten Schlüssel) der Root-CA in einen Ordner, zur vereinfachten Einrichtung kann er auch über Netzwerk freigegeben werden.

Update:

Alle 3 Teile dieser Serie sind zusammen als PDF im Microsoft TechNet zum kostenlosen Download verfügbar.

Please wait...

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs und arbeitet bei der steep GmbH in Bonn. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte und Historische Lieder.

2 Gedanken zu „Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA“

  1. Hallo,

    der manuell erstellte Sperrlisten-Verteilungspunkt muss am Ende “.crl” stehen haben. Sie schreiben aber “.crt”; sicher ein Schreibfehler.

    Grüße
    A.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.