Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA

Ich empfehle Ihnen vorher den Artikel „Grundlegendes einer Zertifizierungsstellen (CA)“ zu lesen. In diesem Artikel beschreibe ich Ihnen wie Sie eine interne Zertifizierungsstelle unter Windows Server 2012R2 einrichten. Wie in dem Artikel über die Grundlagen von Zertifizierungsstellen beschrieben, richte auch ich zuerst eine Offline Root-CA ein. Dafür wird eine Virtuelle Windows Server 2012R2 Maschine benötigt. Diese sollte unter keinen Umständen Mitglied der Domäne sein.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 29a41d8f5bc74a098b89152e41f71f0a - 1

Die Einrichtung der Offline-CA

Es schadet nichts die VM auf einen Aktuellen Updatestand zu bringen. Sobald das geschehen ist, kann die Installation beginnen. Als erstes wird die Rolle „Active Directory-Zertifikatdienste“ installiert.

Hinzufügen der Rolle "Active Directory-Zertifikatdienste"
Hinzufügen der Rolle „Active Directory-Zertifikatdienste“

Wichtig ist das nach der Installation der Zertifizierungsstelle weder der Computername noch die Domänenzugehörigkeit geändert werden kann.

Die Active Directory-Zertifikatdienste (AD CS) bieten die Zertifikatinfrastruktur für Szenarien wie sichere Funknetzwerke, virtuelle private Netzwerke, Internetprotokollsicherheit (IPSec), Netnverkzugriffsschutz (NAP), verschlüsselndes Dateisystem (EFS) und Smartcardanmeldung.  Wichtige Hinweise: Name und Domäneneinstellungen dieses Computers können nach der Installation einer Zertifizierungsstelle nicht mehr geÉndert werden. Wenn Sie den Computernamen ändern, einer DomÉne beitreten oder den Server zu einem Domänencontroller höher stufen möchten, führen Sie diese Anderungen vor der Installation der Zertifizierungsstelle aus. Weitere Informationen finden Sie unter "Zertifizierungsstellenbenennung.
Wichtiger Hinweis für die Zertifizierungsstelle

Die benötigten Rollendienste sind bei der Root-CA lediglich die Rolle „Zertifizierungsstelle“

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio3 - 2
Hinzufügen der Rolle „Active Directory-Zertifikatdienste“ – Auswahl der AD-CS Rollen

Nach der Installation der Zertifikatsdienste kann die Zertifizierungsstelle ohne Neustart des Computers installiert werden.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio4 - 3
Nach dem Abschluss der Rollen Installation muss die Zertifizierungsstelle konfiguriert werden.

Als Anmeldeinformation für die Rollendienste der Offline CA muss das lokale Administrator Konto verwendet werden. Der zu konfigurierende Rollentyp ist hierbei die Zertifizierungsstelle selber.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio5 - 4
Auswahl der zu konfigurierenden Zertifizierungsstellen Rolle

Da wir gewollter weise über keine Active Directory Mitgliedschaft verfügen, bleibt nur eine „Eigenständige Zertifizierungsstelle“ übrig. Eine „Unternehmenszertifizierungsstelle“ wird später als die untergeordnete Zertifizierungsstelle erstellt.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio6 - 5
Konfiguration als Eigenständige Zertifizierungsstelle

Die Offline-CA wird als „Stammzertifizierungsstelle“ eingerichtet. Für den privaten Schlüssel sollte ein neuer erstellt werden, und nicht ein vorhandener Verwendet werden.

Die Schlüssellänge sollte möglichst hoch sein. Als Standard wird 2048 Bit vorgegeben, aber es kann auch 4096 Bit ausgewählt werden. Da der Hashalgorithmus „SHA1“ nicht mehr als sicher gilt, verwende ich in meiner Umgebung „SHA512“ aus der Algorithmus Familie „SHA2“. Auch der MD5 Algorithmus der vielen aus der Linux Welt für Prüfsummen bekannt ist, ist nicht mehr sicher. Mehr dazu im Golem Artikel „Hash-Verfahren“.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio7 - 6
Konfiguration der Kryptografieoptionen

Als nächstes sollte für die Offline CA ein vernünftiger Name gefunden werden, diesen sehen hinterher alle Clients in ihrem Zertifikatsspeicher. Sinnvoll wäre hier zum Beispiel „Unternehmensname Root-CA“ oder vergleichbares.

Bei der Gültigkeitsdauer ist zu beachten, spätestens nach diesem Zeitraum benötigen sie die Offline-CA zu erneuern der Zertifizierungsstelle. Wichtig ist auch, je länger der Zeitraum, desto grösser ist die Gefahr wenn die Sub-CA kompromittiert wird und die Anwendung das Zertifikat nicht auf Gültigkeit überprüft. Hier sollten Sie genau überlegen wie das Risiko ist, und was Sie mit Ihrer CA vorhaben. Bei mir zuhause, kann ich bei den 5 Jahren die Standard sind bleiben.

Die Datenbankorte können ohne Probleme an dem vorgeschlagenen Ort belassen werden.

Zum Schluss kann alles nochmal geprüft werden, bevor die Zertifizierungsstelle eingerichtet wird. Prüfen Sie es sorgfältig, danach gibt es keinen Weg zurück, außer von vorne anzufangen.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio8 - 7
Abschliessende Überprüfung der Konfiguration

Nach einem kurzen Moment ist die Zertifizierungsstelle eingerichtet.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio9 - 8
Erfolgreiche Konfiguration

Nach der Einrichtung der CA müssen noch ein paar Einstellungen in der Zertifizierungsstelle vorgenommen werden. Dazu starten Sie die „Zertifizierungsstelle“-Konsole aus dem Server-Manager.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio10 - 9
Starten der Verwaltungskonsole „Zertifizierungsstelle“

In den Eigenschaften der Root-CA sollten jetzt die „Certificate Revocation Lists (CRL)“ bzw. im Deutschen die „Zertifikatsperrlisten“ und die „Authority Information Access (AIA)“ bzw. im Deutschen der „Zugriff auf Stelleninformationen“ (Ich lasse die Übersetzung mal unkommentiert) gepflegt werden. Hier sollten Sie gut überlegen in welche Sperrlisten eingetragen werden, so mal ja der Server der Offline CA Offline sein wird. Sinnvoll ist es für die Root-CA dieselben Veröffentlichungspunkte zu Nutzen wie für die Untergeordnete CA. Dafür sollte man sich jetzt schon für einen Computernamen / DNS-Namen für die Sub-CA entscheiden. In kleinen Umgebungen wäre es möglich die Untergeordnete CA auf einen Domänen Controller zu installieren. Dieser würde aber bis zu einer Migration der CA auf seinem Betriebssystem Stand verbleiben und könnte auch nicht heruntergestuft werden. Dies könnte in Zukunft dazu führen das der Domänen Funktion Ebene nicht weiter angehoben werden kann. Ich werde in meiner Umgebung den DNS-Alias „CA“ für die untergeordnete Zertifizierungsstelle verwenden, und trage ihn auch direkt in den DNS ein.

Entsprechend trage ich als Veröffentlichungspunkt „http://ca.adg.local/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crt“ und Aktiviere für den hinzugefügten Punkt die Checkboxen „in Sperrlisten einbeziehen. Wird z. Suche von Deltasperrlisten verwendet“ und „In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen“.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio11 - 10
Konfiguration der Sperrlisten-Verteilungspunkte

Für den „Zugriff auf Stelleninformationen“ trage ich entsprechend „http://ca.adg.local/certEnroll/<ServerDNSName>_<CaName><CertificateName>.crt“ und aktiviere die Option „In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen“.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio12 - 11
Konfiguration der Stelleninformationen

Damit die Offline-CA nicht jede Wochen zur Erzeugung einer neuen Sperrliste gestartet werden muss, müssen die folgenden Befehle in eine Eingabeaufforderung die im Administrativen Modus gestartet wurde:

Certutil -setreg CA\CRLPeriod Months
Certutil -setreg CA\CRLPeriodUnits 6
Certutil -setreg CA\CRLOverlapPeriod Weeks
Certutil -setreg CA\CRLOverlapUnit 4
Certutil -setreg CA\CRLDeltaPeriodUnit 0
Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio13 - 12
Ergebnisse der Konfiguration über die Eingabeaufforderung

Als nächstes sollte die Liste der Gespeicherten Zertifikate veröffentlicht werden. Tragen Sie sich die Erneuerung der Sperrliste am besten direkt in den Kalender ein. Ohne eine Gültig Sperrliste verweigert die SUB-CA ihren Dienst.

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 - Die Offline Root-CA - 060914 1319 Installatio14 - 13
Veröffentlichen der Sperrliste

Als nächstes solle der Inhalt des Ordners „C:\Windows\System32\Certsrv\CertEnroll“ zusammen mit einem Export des Persönlichen Zertifikates (Ohne privaten Schlüssel) der Root-CA in einen Ordner, zur vereinfachten Einrichtung kann er auch über Netzwerk freigegeben werden.

Update:

Alle 3 Teile dieser Serie sind zusammen als PDF auf GitHub zum kostenlosen Download verfügbar.


Weitere Artikel zum Thema Active Directory Certificate Services


2 Gedanken zu „Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA“

  1. Hallo,

    der manuell erstellte Sperrlisten-Verteilungspunkt muss am Ende „.crl“ stehen haben. Sie schreiben aber „.crt“; sicher ein Schreibfehler.

    Grüße
    A.

Kommentare sind geschlossen.