graphical user interface, text, application

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA

29a41d8f5bc74a098b89152e41f71f0a

Ich empfehle Ihnen vorher den Artikel „Grundlegendes einer Zertifizierungsstellen (CA)“ zu lesen. In diesem Artikel beschreibe ich Ihnen wie Sie eine interne Zertifizierungsstelle unter Windows Server 2012R2 einrichten. Wie in dem Artikel über die Grundlagen von Zertifizierungsstellen beschrieben, richte auch ich zuerst eine Offline Root-CA ein. Dafür wird eine Virtuelle Windows Server 2012R2 Maschine benötigt. Diese sollte unter keinen Umständen Mitglied der Domäne sein.

Die Einrichtung der Offline-CA

Es schadet nichts die VM auf einen Aktuellen Updatestand zu bringen. Sobald das geschehen ist, kann die Installation beginnen. Als erstes wird die Rolle „Active Directory-Zertifikatdienste“ installiert.

Hinzufügen der Rolle "Active Directory-Zertifikatdienste"
Hinzufügen der Rolle „Active Directory-Zertifikatdienste“

Wichtig ist das nach der Installation der Zertifizierungsstelle weder der Computername noch die Domänenzugehörigkeit geändert werden kann.

Die Active Directory-Zertifikatdienste (AD CS) bieten die Zertifikatinfrastruktur für Szenarien wie sichere Funknetzwerke, virtuelle private Netzwerke, Internetprotokollsicherheit (IPSec), Netnverkzugriffsschutz (NAP), verschlüsselndes Dateisystem (EFS) und Smartcardanmeldung. Wichtige Hinweise: Name und Domäneneinstellungen dieses Computers können nach der Installation einer Zertifizierungsstelle nicht mehr geÉndert werden. Wenn Sie den Computernamen ändern, einer DomÉne beitreten oder den Server zu einem Domänencontroller höher stufen möchten, führen Sie diese Anderungen vor der Installation der Zertifizierungsstelle aus. Weitere Informationen finden Sie unter "Zertifizierungsstellenbenennung.
Wichtiger Hinweis für die Zertifizierungsstelle

Die benötigten Rollendienste sind bei der Root-CA lediglich die Rolle „Zertifizierungsstelle“

060914 1319 Installatio3
Hinzufügen der Rolle „Active Directory-Zertifikatdienste“ – Auswahl der AD-CS Rollen

Nach der Installation der Zertifikatsdienste kann die Zertifizierungsstelle ohne Neustart des Computers installiert werden.

060914 1319 Installatio4
Nach dem Abschluss der Rollen Installation muss die Zertifizierungsstelle konfiguriert werden.

Als Anmeldeinformation für die Rollendienste der Offline CA muss das lokale Administrator Konto verwendet werden. Der zu konfigurierende Rollentyp ist hierbei die Zertifizierungsstelle selber.

060914 1319 Installatio5
Auswahl der zu konfigurierenden Zertifizierungsstellen Rolle

Da wir gewollter weise über keine Active Directory Mitgliedschaft verfügen, bleibt nur eine „Eigenständige Zertifizierungsstelle“ übrig. Eine „Unternehmenszertifizierungsstelle“ wird später als die untergeordnete Zertifizierungsstelle erstellt.

060914 1319 Installatio6
Konfiguration als Eigenständige Zertifizierungsstelle

Die Offline-CA wird als „Stammzertifizierungsstelle“ eingerichtet. Für den privaten Schlüssel sollte ein neuer erstellt werden, und nicht ein vorhandener Verwendet werden.

Die Schlüssellänge sollte möglichst hoch sein. Als Standard wird 2048 Bit vorgegeben, aber es kann auch 4096 Bit ausgewählt werden. Da der Hashalgorithmus „SHA1“ nicht mehr als sicher gilt, verwende ich in meiner Umgebung „SHA512“ aus der Algorithmus Familie „SHA2“. Auch der MD5 Algorithmus der vielen aus der Linux Welt für Prüfsummen bekannt ist, ist nicht mehr sicher. Mehr dazu im Golem Artikel „Hash-Verfahren“.

060914 1319 Installatio7
Konfiguration der Kryptografieoptionen

Als nächstes sollte für die Offline CA ein vernünftiger Name gefunden werden, diesen sehen hinterher alle Clients in ihrem Zertifikatsspeicher. Sinnvoll wäre hier zum Beispiel „Unternehmensname Root-CA“ oder vergleichbares.

Bei der Gültigkeitsdauer ist zu beachten, spätestens nach diesem Zeitraum benötigen sie die Offline-CA zu erneuern der Zertifizierungsstelle. Wichtig ist auch, je länger der Zeitraum, desto grösser ist die Gefahr wenn die Sub-CA kompromittiert wird und die Anwendung das Zertifikat nicht auf Gültigkeit überprüft. Hier sollten Sie genau überlegen wie das Risiko ist, und was Sie mit Ihrer CA vorhaben. Bei mir zuhause, kann ich bei den 5 Jahren die Standard sind bleiben.

Die Datenbankorte können ohne Probleme an dem vorgeschlagenen Ort belassen werden.

Zum Schluss kann alles nochmal geprüft werden, bevor die Zertifizierungsstelle eingerichtet wird. Prüfen Sie es sorgfältig, danach gibt es keinen Weg zurück, außer von vorne anzufangen.

060914 1319 Installatio8
Abschliessende Überprüfung der Konfiguration

Nach einem kurzen Moment ist die Zertifizierungsstelle eingerichtet.

060914 1319 Installatio9
Erfolgreiche Konfiguration

Nach der Einrichtung der CA müssen noch ein paar Einstellungen in der Zertifizierungsstelle vorgenommen werden. Dazu starten Sie die „Zertifizierungsstelle“-Konsole aus dem Server-Manager.

060914 1319 Installatio10
Starten der Verwaltungskonsole „Zertifizierungsstelle“

In den Eigenschaften der Root-CA sollten jetzt die „Certificate Revocation Lists (CRL)“ bzw. im Deutschen die „Zertifikatsperrlisten“ und die „Authority Information Access (AIA)“ bzw. im Deutschen der „Zugriff auf Stelleninformationen“ (Ich lasse die Übersetzung mal unkommentiert) gepflegt werden. Hier sollten Sie gut überlegen in welche Sperrlisten eingetragen werden, so mal ja der Server der Offline CA Offline sein wird. Sinnvoll ist es für die Root-CA dieselben Veröffentlichungspunkte zu Nutzen wie für die Untergeordnete CA. Dafür sollte man sich jetzt schon für einen Computernamen / DNS-Namen für die Sub-CA entscheiden. In kleinen Umgebungen wäre es möglich die Untergeordnete CA auf einen Domänen Controller zu installieren. Dieser würde aber bis zu einer Migration der CA auf seinem Betriebssystem Stand verbleiben und könnte auch nicht heruntergestuft werden. Dies könnte in Zukunft dazu führen das der Domänen Funktion Ebene nicht weiter angehoben werden kann. Ich werde in meiner Umgebung den DNS-Alias „CA“ für die untergeordnete Zertifizierungsstelle verwenden, und trage ihn auch direkt in den DNS ein.

Entsprechend trage ich als Veröffentlichungspunkt „http://ca.adg.local/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crt“ und Aktiviere für den hinzugefügten Punkt die Checkboxen „in Sperrlisten einbeziehen. Wird z. Suche von Deltasperrlisten verwendet“ und „In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen“.

060914 1319 Installatio11
Konfiguration der Sperrlisten-Verteilungspunkte

Für den „Zugriff auf Stelleninformationen“ trage ich entsprechend „http://ca.adg.local/certEnroll/<ServerDNSName>_<CaName><CertificateName>.crt“ und aktiviere die Option „In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen“.

060914 1319 Installatio12
Konfiguration der Stelleninformationen

Damit die Offline-CA nicht jede Wochen zur Erzeugung einer neuen Sperrliste gestartet werden muss, müssen die folgenden Befehle in eine Eingabeaufforderung die im Administrativen Modus gestartet wurde:

Certutil -setreg CA\CRLPeriod Months
Certutil -setreg CA\CRLPeriodUnits 6
Certutil -setreg CA\CRLOverlapPeriod Weeks
Certutil -setreg CA\CRLOverlapUnit 4
Certutil -setreg CA\CRLDeltaPeriodUnit 0
060914 1319 Installatio13
Ergebnisse der Konfiguration über die Eingabeaufforderung

Als nächstes sollte die Liste der Gespeicherten Zertifikate veröffentlicht werden. Tragen Sie sich die Erneuerung der Sperrliste am besten direkt in den Kalender ein. Ohne eine Gültig Sperrliste verweigert die SUB-CA ihren Dienst.

060914 1319 Installatio14
Veröffentlichen der Sperrliste

Als nächstes solle der Inhalt des Ordners „C:\Windows\System32\Certsrv\CertEnroll“ zusammen mit einem Export des Persönlichen Zertifikates (Ohne privaten Schlüssel) der Root-CA in einen Ordner, zur vereinfachten Einrichtung kann er auch über Netzwerk freigegeben werden.

Update:

Alle 3 Teile dieser Serie sind zusammen als PDF auf GitHub zum kostenlosen Download verfügbar.

Weitere Artikel zum Thema Active Directory Certificate Services

Veröffentlicht:

Autor:

Fabian Niesen

Kategorien:

, ,

Tags:

, , ,

Kommentare

2 Antworten zu „Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA“

  1. AStraube

    Hallo,

    der manuell erstellte Sperrlisten-Verteilungspunkt muss am Ende „.crl“ stehen haben. Sie schreiben aber „.crt“; sicher ein Schreibfehler.

    Grüße
    A.

  2. Fabian

    Hallo A.
    Ja ist ein Tippfehler, ich überarbeite bei Gelegenheit das PDF, welches bei Microsoft hinterlegt ist.

New articles in english

RSS-Fehler: https://www.infrastructureheroes.org/feed is invalid XML, likely due to invalid characters. XML error: Invalid document end at line 2504, column 84
Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.