Schritt-für-Schritt-Anleitung zur Bereitstellung der zweistufigen ADCS-PKI-Hierarchie

Einführung und Überblick über das Testlabor

An diesem Labor mit zweistufiger PKI-Hierarchie und Microsoft ADCS sind fünf Computer/Maschinen beteiligt.

1. Es gibt einen Domänencontroller (DC01), auf dem auch der Active Directory-integrierte Domain Name Service (DNS) ausgeführt wird. Dieser Computer stellt außerdem den LDAP-Speicherort (Lightweight Directory Access Protocol) für das CDP und den AIA-Punkt für die MSPKI-Konfiguration bereit.
2. Eine eigenständige Offline-Stammzertifizierungsstelle (CA01).
3. Eine Enterprise Issuing CA (CA02).
4. Ein Webserver (SRV1) (HTTP CDP/AIA) und
5. Ein Windows 10 (Win10)-Clientcomputer.

Virtuelle Maschine	Rollen	OS Typ	IP Address	Subnet Mask	Bevorzugter DNS-Server
DC01.encryptionconsulting.com	DC und DNS – LDAPCDP/AIA	Windows Server 2019	192.168.1.10	255.255.255.0	192.168.1.10
CA01	Eigenständige Offline-Stammzertifizierungsstelle	Windows Server 2019	NA	NA	NA
CA02.encryptionconsulting.com	Ausstellende Unternehmenszertifizierungsstelle	Windows Server 2019	192.168.1.12	255.255.255.0	192.168.1.10
SRV1.encryptionconsulting.com	Webserver – HTTP CDP/AIA	Windows Server 2019	192.168.1.13	255.255.255.0	192.168.1.10
WIN10.encryptionconsulting.com	Windows-Clientcomputer	Windows 10	192.168.1.14	255.255.255.0	192.168.1.10

Wichtige Schritte

Diese Schritt-für-Schritt-Anleitung umfasst die acht Hauptschritte, die unten aufgeführt sind (jeder umfasst mehrere Unteraufgaben).

1. Installieren der Active Directory-Gesamtstruktur
2. Bereiten Sie den Webserver für die CDP- und AIA-Veröffentlichung vor
3. Installieren der eigenständigen Offline-Stammzertifizierungsstelle
4. Führen Sie nach der Installation Konfigurationsschritte auf der eigenständigen Offline-Stammzertifizierungsstelle durch.
5. Untergeordnete ausstellende Zertifizierungsstelle installieren
6. Führen Sie die Konfiguration nach der Installation auf der untergeordneten ausstellenden Zertifizierungsstelle durch
7. Installieren und Konfigurieren des Online-Responders
8. Überprüfen der Integrität der MSPKI-Hierarchie

Aktivität 1. Active Directory-Gesamtstruktur

Aufgabe 1: Installieren einer neuen Gesamtstruktur mithilfe des Server-Managers

So installieren Sie den EncryptionConsulting.com-Wald:

1. Gehen Sie zu Portal.azure.com und melden Sie sich an DC01 as DC01\Administrator.
2. Öffne Server-Manager. Wählen Start, klicken Verwaltungstools und klicken Sie dann auf Server-Manager.
3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste Verwalten und klicken Sie dann auf Rollen hinzufügen & Eigenschaften
4. Auf dem Bevor Sie beginnen Seite, klicken Sie auf Weiter.
5. Auf dem Wählen Sie den Installationstyp aus, klicken Rollenbasiert oder funktionsbasiert
6. On Serverauswahl, wähle a Server aus dem Serverpool und klicken Sie auf. Klicken Sie dann auf Weiter
7. Auf dem Wählen Sie Serverrollen aus Seite auswählen Active Directory-Domänendienste. Klicken Sie Weiter.
   1. Wenn Sie dazu aufgefordert werden, Assistent „Rollen hinzufügen“, klicken Erforderliche Funktionen hinzufügen und klicken Sie dann auf Weiter.
8. Auf dem Eigenschaften Seite, klicken Sie auf Weiter.
9. Auf dem Active Directory-Domänendienste Seite, klicken Sie auf Weiter.
10. Auf dem Installationsauswahl bestätigen Seite, klicken Sie auf Installieren.
11. Wenn Sie fertig sind, klicken Sie auf den Hyperlink, um diesen Server zu einem Domänencontroller hochzustufen

12. Auf dem Willkommen beim Installationsassistenten für Active Directory-Domänendienste Seite, klicken Sie auf Weiter.
13. Auf dem Bereitstellungskonfiguration Seite auswählen Fügen Sie eine neue Gesamtstruktur hinzu, Geben Sie an Gesamtstruktur-Stammdomäne Seite, in FQDN der Gesamtstruktur-Stammdomäne, Typ EncryptionConsulting.com, Und klicken Sie auf Weiter.

14. Auf dem Festlegen der Gesamtstrukturfunktionsebene Seite, in der Funktionsebene des Waldes Wählen Sie im Dropdown-Menü Windows Server 2016 und klicken Sie dann auf Weiter

Auf dem Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus Seite, geben Sie das Kennwort für den Wiederherstellungsmodus ein und bestätigen Sie es. Klicken Sie dann auf Weiter. Dieses Kennwort muss verwendet werden, um AD DS im Verzeichnisdienstwiederherstellungsmodus für Aufgaben zu starten, die offline ausgeführt werden müssen.

DNS-Server ist standardmäßig ausgewählt, damit Ihre Gesamtstruktur-DNS-Infrastruktur während der AD DS-Installation erstellt werden kann. In unserem Szenario verwenden wir Active Directory-integriertes DNS, daher haben wir die Installation von DNS ausgewählt

15. Auf der zusätzlichen Optionen Seite, klicken Sie auf Weiter.

Wenn für den Netzwerkadapter keine statische IP-Adresse zugewiesen ist, wird eine Warnmeldung angezeigt, die Sie auffordert, statische Adressen festzulegen.

Der Assistent zeigt eine Meldung an, dass keine Delegierung für den DNS-Server erstellt werden kann. Klicken Sie auf Ja um fortzufahren.

16. Auf dem Speicherort für Datenbank, Protokolldateien und SYSVOL Seite, klicken Sie auf Weiter.

17. Auf dem Voraussetzungen prüfen Seite, überprüfen Sie Ihre Auswahl und klicken Sie auf installieren Active Directory-Domänendienste.

18. Warten Sie einige Zeit, bis die Installation abgeschlossen ist und das System neu gestartet wird.

Anmerkungen: Wenn Sie Active Directory-integriertes DNS verwenden, wird die IP-Adresse für das Bevorzugter DNS-Server für den ersten Domänencontroller im Forest wird automatisch auf die Loopback-Adresse 127.0.0.1 gesetzt. Dadurch wird sichergestellt, dass die IP-Adresse des ersten Domänencontrollers im DNS aufgelöst wird, auch wenn die statische IP-Adresse des Servers geändert wird.Wenn Sie statt der Loopback-Adresse lieber die tatsächliche IP-Adresse des DNS-Servers konfigurieren möchten, ersetzen Sie diese nach dem Neustart durch 192.168.1.10.

Aufgabe 2: HTTP-Webserver: CDP- und AIA-Veröffentlichung

1. Melden Sie sich als lokaler Administrator bei SRV1 an.
2. Klicken Sie auf  Start, Typ Systemdm. kpl, und drücken Sie die EINGABETASTE. Klicken Sie auf Ändern.
3. In MitgliedWählen Domainund geben Sie dann ein EncryptionConsulting.com Klicken Sie auf  OK.
4. In Windows-Sicherheit, geben Sie die Benutzername , Passwort für das Domänenadministratorkonto. Klicken Sie auf OK.
5. Sie sollten willkommen sein im Verschlüsselungsberatung Domain Klicken OK.
6. Wenn Sie gefragt werden, ob ein Neustart erforderlich ist, klicken Sie auf OK. Klicken Sie Menu. Klicken Sie Jetzt neu starten.

Aufgabe 3: Installieren der Webserver-Rolle (IIS)

1. Einloggen bei EncryptionConsulting.com as Encryptionconsu\Administrator. (Stellen Sie sicher, dass Sie den Benutzer wechseln, um sich anzumelden als Verschlüsselungskonsu\Administrator)
2. Öffnen Sie den Server-Manager.
3. Klicken Sie mit der rechten Maustaste auf Rollen und Dann wählen Sie Rollen hinzufügen.
4. Auf dem Seite „Bevor Sie beginnen“ wählen Weiter.
5. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder funktionsbasierte Installation aus.

6. On Zielserver auswählen, wähle a Server aus dem Serverpool und klicken Sie auf EncryptionConsulting.com, dann sofort klicken Weiter

7. Auf dem Wählen Sie Serverrollen aus Seitenauswahl Webserver (IIS) und klicken Sie dann auf Weiter

8. Auf dem Wählen Sie Funktionen aus Seite, klicken Sie auf weiter
9. Auf dem Webserver (IIS) Seite, klicken Sie auf Weiter

10. Belassen Sie die Standardeinstellungen auf Rollendienste auswählen und klicken Sie dann auf Weiter.

11. On Installationsauswahl bestätigen Seite, klicken Sie auf Installieren.

12. Auf dem Installationsergebnisse Seite, klicken Sie auf Menu

Aufgabe 5: Erstellen Sie den Ordner „CertEnroll“ und erteilen Sie der Gruppe „Cert Publishers“ Freigabe- und NTFS-Berechtigungen.

Ihre Aufgabe besteht darin, die Freigabe- und NTFS-Berechtigungen für den Ordner „CertEnroll“ freizugeben und zu konfigurieren.

1. Melden Sie sich an EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Klicken Sie auf  Start und wählen Sie Computer zu öffnen Windows Explorer und dann gehe zu C: Antrieb
3. Erstellen Sie einen Ordner mit dem Namen CertEnroll an der Wurzel von C: Antrieb
4. Klicken Sie mit der rechten Maustaste auf CertEnroll Ordner und wählen Sie Eigenschaften im Vergleich.

5. Auf dem Seite „CertEnroll-Eigenschaften“ wählen Teilen Registerkarte, um Freigabeberechtigungen zu konfigurieren.
6. Klicken Sie auf Erweiterte Freigabeoption und Dann wählen Sie Diesen Ordner teilen.
7. Klicken Sie auf Berechtigungen und dann klick Speichern.
8. On Seite „Benutzer oder Gruppen auswählen“im Barrio de  Geben Sie die auszuwählenden Objektnamen ein, Typ Encryptionconsu\Cert Publishers, und klicken Sie dann auf
9. Auf dem Berechtigungen für CertEnroll Dialogfeld auswählen Cert-Verleger Gruppe und dann in der Erlauben Spalte auswählen Ändern Berechtigung. Klicken Sie auf OK zweimal, um zurück zu die CertEnroll-Eigenschaften 
10. Wähle aus Sicherheit Tab und klicken auf Bearbeiten um NTFS-Berechtigungen zu konfigurieren.
11. On Berechtigungen für CertEnroll Seitenklick Speichern.Windows
12. On Seite „Benutzer oder Gruppen auswählen“, Unter der Geben Sie die auszuwählenden Objektnamen ein, eingeben Encryptionconsu\Cert Publishers, und klicken Sie dann auf OK.
13. Auf dem Berechtigungen für CertEnroll Seitenhervorhebung, die Cert Publishers Gruppe, und dann unter der Erlauben Spalte auswählen Ändern Berechtigungsklick OK.

14. Auf dem CertEnroll-Eigenschaften Seite, klicken Sie auf OK.

Aufgabe 6: Erstellen Sie das virtuelle CertEnroll-Verzeichnis in IIS

1. Stellen Sie sicher, dass Sie angemeldet sind bei EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Klicken Sie auf  Start, Verwaltungstools, und dann auswählen Internet Information Services (IIS) Manager.
3. Auf dem Verbindungen, erweitern SRV1 und dann erweitern Seiten.
4. Klicken Sie mit der rechten Maustaste auf Standardwebsite und wählen Sie Virtuelles Verzeichnis hinzufügen.
5. On Virtuelles Verzeichnis hinzufügen Seite in Alias, Typ CertEnroll. In dem Physischer Weg, Typ C:\Certenroll, Und klicken Sie auf OK.

6. Im Verbindungen Scheibe, unter der Standardwebsite, sicherstellen, dass die CertEnroll virtuelles Verzeichnis ausgewählt ist.
7. Im CertEnroll-Startseite Doppelklicken Sie im Fenster Verzeichnissuche.
8. Im Aktion Fensterklick Ermöglichen.

Aufgabe 7: Aktivieren Sie Double Escaping auf dem IIS-Server

Durch das Zulassen von doppeltem Escapen wird es dem Webserver ermöglicht, Delta-CRLs zu hosten.

1. Stellen Sie sicher, dass Sie angemeldet sind bei EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Öffnen Sie eine Eingabeaufforderung. Klicken Sie dazu auf Start, klicken Führen Sieund geben Sie dann ein cmd. Klicken Sie OK.
3. Dann tippe ein cd %windir%\system32\inetsrv\  und drücke ENTER.

4. Geben Sie den folgenden Befehl ein und drücken Sie Enter.

   Appcmd set config „Standard-Website“ /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True

5. Starten Sie den IIS-Dienst neu. Geben Sie dazu iisreset und drücke ENTER.

Aufgabe 8: CNAME (pki.EncryptionConsulting.com) im DNS erstellen

1. Stellen Sie sicher, dass Sie angemeldet sind bei EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Öffnen Sie die DNS-Konsole. Klicken Sie dazu auf Anfang, sofort klicken Führen Sieund geben Sie dann ein dnsmgmt.msc. Klicken Sie OK.
3. Erweitern Sie die Funktionalität der Forward-Lookup-Zonen, wählen Sie aus und klicken Sie dann mit der rechten Maustaste EncryptionConsulting.com Zone. Klicken Sie auf Neuer Alias ​​(CNAME).
4. In Aliasname (wird die übergeordnete Domäne verwendet, wenn das Feld leer gelassen wird), Typ PKI. In dem Vollqualifizierter Domänenname (FQDN) für den Zielhost Feldtyp EncryptionConsulting.com. und klicken Sie dann auf OK.

Hinweis – Fügen Sie im vorherigen Schritt den abschließenden „.“ in den FQDN ein. In einer Produktionsumgebung kann dieser Alias ​​zu einem Load Balancer aufgelöst werden, der Anfragen an eine beliebige Anzahl von Webservern verteilt, die die CA-Zertifikate und CRLs enthalten.

Aktivität 2: Installieren der eigenständigen Offline-Stammzertifizierungsstelle

Die eigenständige Offline-Stammzertifizierungsstelle sollte nicht in der Domäne installiert werden. Tatsächlich sollte sie überhaupt nicht mit einem Netzwerk verbunden sein.

Aufgabe 1: Erstellen einer CAPolicy.inf für die eigenständige Offline-Stammzertifizierungsstelle

So erstellen Sie eine CAPolicy.inf für die eigenständige Offline-Stammzertifizierungsstelle:

1. Melden Sie sich bei CA01 an als CA01\Administrator.
2. Klicken Sie auf  Start, klicken Lauf, und dann tippen Sie ein Notizblock C:\Windows\CAPolicy.inf und drücke ENTER.
3. Wenn Sie aufgefordert werden, eine neue Datei zu erstellen, klicken Sie auf Ja.

4. Geben Sie Folgendes als Inhalt der Datei ein.

   [Version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 ; empfohlen 4096 RenewalValidityPeriod=Jahre RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

Klicken Sie auf „Datei“ und „Speichern“, um die Datei CAPolicy.inf im Verzeichnis C:\Windows zu speichern.

Warnung CAPolicy.inf mit der Erweiterung .inf. Geben Sie am Ende des Dateinamens .inf ein und wählen Sie die Optionen wie beschrieben aus. Die Datei wird als Textdatei gespeichert und bei der CA-Installation nicht verwendet.

5. Schließen Sie den Editor.

HINWEIS: Stellen Sie sicher, dass Sie den Computernamen in „CA01“ ändern. Windows > Ausführen > sysdm.cpl > Ändern Sie den Computernamen und starten Sie den Computer neu.

Aufgabe 2: Installieren der eigenständigen Offline-Stammzertifizierungsstelle

So installieren Sie die eigenständige Offline-Stammzertifizierungsstelle:

1. Melden Sie sich bei CA01 als CA01\Administrator an.
2. Klicken Sie auf  Start, klicken Verwaltungstoolsund klicken Sie dann auf Server-Manager.
3. Klicken Sie mit der rechten Maustaste auf Rollen und klicken Sie dann auf Rollen hinzufügen.
4. Auf dem Bevor Sie beginnen Seitenklick Weiter.
5. Auf dem Installation Typ Seite wählen Rollenbasierte oder Feature-basierte Installation, und klicken Sie dann auf Weiter.
6. Auf dem Serverauswahl Seite, sofort klicken nächsten.
7. Auf dem Wählen Sie Serverrollen aus Seitenauswahl Active Directory Certificate Services, Und klicken Sie auf Weiter.

8. Klicken Sie auf der Seite „Funktionen auswählen“ auf „Weiter“.
9. Auf dem Einführung in Active Directory-Zertifikatdienste Seite, klicken Sie auf Weiter.
10. Auf dem Rollendienste auswählen Seite, stellen Sie sicher, dass Zertifizierungsstelle ausgewählt ist, und dann Weiter.

11. Klicken Sie auf der Bestätigungsseite auf „Installieren“

12. Klicken Sie auf „Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren“.
13. Auf dem Geben Sie Anmeldeinformationen an, um Rollen und Dienste zu konfigurieren Seite, die Anmeldeinformationen sollten CA01\Administrator, dann klick Weiter.
14. Auf dem Wählen Sie die Rolle und die zu konfigurierenden Dienste aus Seite wählen Zertifizierungsstelle, und klicken Sie dann auf Weiter.
15. Auf dem Setup-Typ angeben Seite, stellen Sie sicher, dass Standalone ausgewählt ist, und klicken Sie dann auf Weiter.
    • Hinweis: Die Enterprise-Option ist ausgegraut, da der CA01-Server nicht mit der Active Directory-Domäne verbunden ist.

16. Auf dem CA-Typ angeben Seite, stellen Sie sicher, dass Stammzertifizierungsstelle ausgewählt ist, und klicken Sie dann auf Weiter.

17. Auf dem Privaten Schlüssel einrichten Seite, stellen Sie sicher, dass Einen neuen privaten Schlüssel erstellen ausgewählt ist, und klicken Sie dann auf Weiter.

18. Belassen Sie die Standardeinstellungen auf Konfigurieren der Kryptografie für CA Seite und klicken Sie dann auf Weiter.
    • Wichtig: In einer Produktionsumgebung würden Sie CSP, Hash-Algorithmus und Schlüssellänge so einstellen, dass die Anforderungen an die Anwendungskompatibilität erfüllt werden.

19. On Seite „CA-Name konfigurieren“, löschen Sie unter „Allgemeiner Name für diese Zertifizierungsstelle“ den vorhandenen Eintrag und geben Sie EncryptionConsulting Root CA. Klicken Weiter.
    • Hinweis: A Definierter Namenszusatz ist für eine Stammzertifizierungsstelle optional. Dies wird in einem späteren Schritt konfiguriert.

20. Auf dem Gültigkeitszeitraum festlegen Seite unter Wählen Sie die Gültigkeitsdauer des für diese Zertifizierungsstelle generierten Zertifikats aus, löschen Sie den vorhandenen Eintrag und geben Sie dann 20. Lassen Sie das Auswahlfeld auf Jahre. Klicken Weiter.

21. Behalten Sie die Standardeinstellungen auf dem Zertifikatsdatenbank konfigurieren und klicken Sie dann auf Weiter.

22. Auf dem Installationsauswahl bestätigen Seite, überprüfen Sie die Einstellungen und klicken Sie dann auf Einrichtung.

23. Überprüfen Sie die Informationen auf der Installationsergebnisse Seite, um zu überprüfen, ob die Installation erfolgreich war, und klicken Sie dann auf Menu.

Aktivität 3: Durchführen der Post-Installationskonfiguration für die Stammzertifizierungsstelle

1. Stellen Sie sicher, dass Sie angemeldet sind bei CA01 as CA01\Administrator.
2. Öffnen Sie eine Eingabeaufforderung. Klicken Sie dazu auf Start, klicken Führen Sie, Typ cmd und klicken Sie dann auf OK.
3. Um den Distinguished Name der Active Directory-Konfigurationspartition zu definieren, führen Sie den folgenden Befehl von einer administrativen Eingabeaufforderung aus:
   • Certutil -setreg CA\DSConfigDN „CN=Konfiguration,DC=EncryptionConsulting,DC=com“
4. Definieren CRL-Periodeneinheiten  , CRL-Zeiträumeführen Sie die folgenden Befehle von einer administrativen Eingabeaufforderung aus:
   • Certutil -setreg CA\CRLPeriodUnits 52
   • Certutil -setreg CA\CRLPeriod „Wochen“
   • Certutil -setreg CA\CRLDeltaPeriodUnits 0
5. Definieren Einheiten der CRL-Überlappungsperiode , CRL-Überlappungszeitraumführen Sie die folgenden Befehle von einer administrativen Eingabeaufforderung aus:
   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod „Stunden“
6. Definieren Gültigkeitsdauer Einheiten Geben Sie für alle von dieser Zertifizierungsstelle ausgestellten Zertifikate den folgenden Befehl ein und drücken Sie die Eingabetaste. In diesem Labor sollte die Enterprise Issuing CA eine Gültigkeitsdauer von 10 Jahren für ihr CA-Zertifikat erhalten. Führen Sie dazu die folgenden Befehle in einer administrativen Eingabeaufforderung aus:
   • Certutil -setreg CA\ValidityPeriodUnits 10
   • Certutil -setreg CA\ValidityPeriod „Jahre“

Aufgabe 1: Aktivieren der Überwachung auf der Stammzertifizierungsstelle

CA-Auditing hängt vom System ab Objektzugriff überwachen aktiviert werden. Die folgenden Anweisungen beschreiben, wie Sie die lokale Sicherheitsrichtlinie verwenden, um die Objektzugriffsüberwachung zu aktivieren.

1. Klicken Sie auf  Start, klicken VerwaltungstoolsUnd wählen Sie dann Lokale Sicherheitsrichtlinie.
2. Erweitern Sie die Funktionalität der Lokale Richtlinien und dann auswählen Prüfungsrichtlinie.
3. Doppelklick Objektzugriff überwachen und dann auswählen Erfolg , Scheitern dann klick OK.

4. Schließen Sie den Editor für lokale Sicherheitsrichtlinien.

5. Aktivieren Sie die Überwachung für die Zertifizierungsstelle, indem Sie im MMC-Snap-In „Zertifizierungsstelle“ die zu überwachende Ereignisgruppe auswählen oder die Registrierungsschlüsseleinstellung „AuditFilter“ konfigurieren. Um die Überwachung für alle CA-bezogenen Ereignisse zu konfigurieren, führen Sie den folgenden Befehl in einer administrativen Eingabeaufforderung aus:

   Certutil -setreg CA\AuditFilter 127

Aufgabe 2: Konfigurieren von AIA und CDP

Es gibt mehrere verschiedene Methoden für Konfigurieren des Authority Information Access (AIA) und des Certificate Revocation List Distribution Point (CDP) Standorte. Sie können die Benutzeroberfläche (in den Eigenschaften des CA-Objekts), certutil oder die Registrierung direkt bearbeiten. Die AIA wird verwendet, um auf den öffentlichen Schlüssel für die Windows Server-Zertifizierungsstelle (CA) zu verweisen. Das CDP ist der Ort, an dem die Widerruf des Zertifikats Es wird eine Liste geführt, die es Clientcomputern ermöglicht, festzustellen, ob ein Zertifikat widerrufen wurde. In diesem Labor gibt es drei Standorte für die AIA und vier Standorte für das CDP.

Aufgabe 3: Konfigurieren der AIA

Die Verwendung eines Certutil-Befehls ist eine schnelle und gängige Methode zum Konfigurieren des AIA. Wenn Sie den folgenden Certutil-Befehl ausführen, konfigurieren Sie einen statischen Dateisystemspeicherort, einen LDAP-Speicherort (Lightweight Directory Access Path) und einen HTTP-Speicherort für den AIA. Der Certutil-Befehl zum Einrichten des AIA ändert die Registrierung. Führen Sie den Befehl daher unbedingt von einer Eingabeaufforderung aus als Administrator aus. Führen Sie den folgenden Befehl aus:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

Nachdem Sie diesen Befehl ausgeführt haben, führen Sie den folgenden Befehl aus, um Ihre Einstellungen zu bestätigen:

certutil -getreg CA\CACertPublicationURLs

Wenn Sie in der Registrierung nachsehen, finden Sie unter folgendem Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\EncryptionConsulting Stammzertifizierungsstellekönnen Sie die CACertPublicationURLs bestätigen, indem Sie den REG_MULTI_SZ-Wert öffnen. Sie sollten Folgendes sehen:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Dienste,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

Sie können dies auch in der CA-Konsole (certsrv) sehen. Um die Konsole zu öffnen, klicken Sie auf Start, klicken Verwaltungstools, Und klicken Sie auf Zertifizierungsstelle. Erweitern Sie im Navigationsbereich das Zertifizierungsstelle (lokal). Der rechten Maustaste auf EncryptionConsulting Root CA und klicken Sie dann auf Eigenschaften. Auf dem Erweiterungsoptionen Registerkarte unter Erweiterung auswählen, klicken Zugriff auf Behördeninformationen (AIA) und Sie sehen die grafische Darstellung der AIA-Einstellungen.

Aufgabe 4: Konfigurieren des CDP

Der Befehl certutil zum Festlegen des CDP ändert die Registrierung. Stellen Sie daher sicher, dass Sie den Befehl von einem Befehl ausführen

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl”

Nachdem Sie diesen Befehl ausgeführt haben, führen Sie den folgenden certutil-Befehl aus, um Ihre Einstellungen zu überprüfen:

certutil -getreg CA\CRLPublicationURLs

Im Registrierungsspeicherort:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\EncryptionConsulting Stammzertifizierungsstelle  Sie können den Wert REG_MULTI_SZ öffnen und die Konfiguration dieser Werte anzeigen:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

   10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

2. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl

Sie können dies auch in der CA-Konsole (certsrv) sehen. Um die Konsole zu öffnen, klicken Sie auf Start, klicken Verwaltungstools, Und klicken Sie auf ZertifizierungsstelleStellen Sie im Navigationsbereich sicher, dass Zertifizierungsstelle (lokal) wird erweitert. Klicken Sie mit der rechten Maustaste EncryptionConsultng Root CA und klicken Sie dann auf Eigenschaften im Vergleich. Am Erweiterungsoptionen Registerkarte unter Erweiterung auswählen, klicken CRL-Verteilungspunkt (CDP) und Sie sehen die grafische Darstellung der CDP-Einstellungen.

Führen Sie an einer administrativen Eingabeaufforderung die folgenden Befehle aus, um die Active Directory-Zertifikatdienste neu zu starten und die CRL zu veröffentlichen

net stop certsvc

net start certsvc

certutil -crl

Aktivität 4: Enterprise Issuing CA installieren

Aufgabe 1: CA02 der Domäne hinzufügen

So fügen Sie CA02 der Domäne hinzu:

1. Melden Sie sich als lokaler Administrator bei CA02 an.
2. Klicken Sie auf  Start, Typ Systemdm. kpl, und drücken Sie die EINGABETASTE. Klicken Sie auf Ändern.
3. Im Computername, Typ CA02 und klicken Sie dann auf OK.
4. Wenn Sie aufgefordert werden, den Computer neu zu starten, klicken Sie auf OK. Klicken Sie Menu. Klicken Sie Jetzt neu starten.
5. Melden Sie sich nach dem Neustart von CA02 als lokaler Administrator an.
6. Klicken Sie auf  Start, Typ Systemdm. kpl, und drücken Sie die EINGABETASTE. Klicken Sie auf Ändern.
7. In MitgliedWählen Domainund geben Sie dann ein Verschlüsselungsberatung.com. Klicken Sie OK.
8. In Windows-Sicherheit, geben Sie die Benutzername , Passwort für das Domänenadministratorkonto. Klicken Sie auf OK.
9. Sie sollten in der Domäne EncryptionConsulting willkommen sein. Klicken Sie auf OK.
10. Wenn Sie gefragt werden, ob ein Neustart erforderlich ist, klicken Sie auf OK. Klicken Sie Menu. Klicken Sie Jetzt neu starten.

Aufgabe 2: Erstellen Sie CAPolicy.inf für Enterprise Issuing CA

1. Melden Sie sich an EncryptionConsulting.com as ENCRYPTIONCONSU\Administrator. (Stellen Sie sicher, dass Sie den Benutzer wechseln, um sich anzumelden als ENCRYPTIONCONSU\Administrator)
2. Klicken Sie auf  StartWählen Lauf, und dann tippen Sie ein Notizblock C:\Windows\CAPolicy.inf und drücke ENTER.
3. Wenn Sie aufgefordert werden, eine neue Datei zu erstellen, klicken Sie auf Ja.

4. Geben Sie als Inhalt der Datei Folgendes ein.

   [Version]
   Signature="$Windows NT$"
   [PolicyStatementExtension]
   Policies=InternalPolicy
   [InternalPolicy]
   OID= 1.2.3.4.1455.67.89.5
   URL=http://pki.EncryptionConsulting.com/cps.txt
   [Certsrv_Server]
   RenewalKeyLength=2048
   RenewalValidityPeriod=Years
   RenewalValidityPeriodUnits=10
   LoadDefaultTemplates=0
   AlternateSignatureAlgorithm=0
   

5. Klicken Sie auf  Reichen Sie das , Gespeichert um das zu retten CAPolicy.inf Datei unter C: \ Windows- Verzeichnis

   Wichtig: Stellen Sie sicher, dass die CAPolicy.inf wird als gespeichert . Inf Datei. Die Datei wird nicht verwendet, wenn sie mit einer anderen Dateierweiterung gespeichert wird.

6. Notizblock schließen

Aufgabe 3: Veröffentlichen des Stamm-CA-Zertifikats und der CRL

1. Stellen Sie sicher, dass Sie bei CA02 angemeldet sind. EncryptionConsulting.com as EncryptionConsulting\Administrator.
2. Kopieren Sie die Root-CA-Zertifikatdateien (CA01_EncryptionConsulting Root CA.crt) und Root-CA-CRL-Dateien (EncryptionConsulting Root CA.crl) aus dem Verzeichnis C:\Windows\System32\CertSrv\CertEnroll auf dem internen CA01-Server auf ein Wechselmedium (A:).

3. Um das EncryptionConsulting-Stamm-CA-Zertifikat und die CRL in Active Directory zu veröffentlichen, führen Sie auf CA02 die folgenden Befehle in einer administrativen Eingabeaufforderung aus. Stellen Sie sicher, dass Sie in den folgenden Befehlen den richtigen Laufwerksbuchstaben Ihres Wechseldatenträgers (für A:) eingeben:

   certutil -f -dspublish „A:\CA01_EncryptionConsulting Root CA.crt“ RootCA

   certutil -f -dspublish „A:\EncryptionConsulting Root CA.crl“ CA01

4. Um das EncryptionConsulting Root-CA-Zertifikat und die CRL unter http://pki.EncryptionConsulting.com/CertEnroll zu veröffentlichen, kopieren Sie das EncryptionConsulting Root-CA-Zertifikat und die CRL in das Verzeichnis \\srv1.EncryptionConsulting.com\C$\CertEnroll. Führen Sie die folgenden Befehle in einer administrativen Eingabeaufforderung aus. Stellen Sie sicher, dass Sie den richtigen Laufwerksbuchstaben Ihres Wechseldatenträgers (für A:) eingeben.

   Kopieren Sie „C:\CA01_EncryptionConsulting Root CA.crt“ \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

   Kopieren Sie „C:\EncryptionConsulting Root CA.crl“ \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

5. Um das EncryptionConsulting-Stammzertifikat und die CRL im lokalen Speicher CA02.com hinzuzufügen, führen Sie den folgenden Befehl in einer administrativen Eingabeaufforderung aus. Stellen Sie sicher, dass Sie in den folgenden Befehlen den richtigen Laufwerksbuchstaben Ihres Wechseldatenträgers (für A:) eingeben:

   • certutil -addstore -f root „A:\CA01_ EncryptionConsulting Root CA.crt“
   • certutil -addstore -f root „A:\EncryptionConsulting CA.crl“

Aktivität 5: Untergeordnete ausstellende CA installieren

Untergeordnete ausstellende CA auf CA02. EncryptionConsulting.com

1. Stellen Sie sicher, dass Sie bei CA02.EncryptionConsulting.com als EncryptionConsulting\Administrator angemeldet sind.
2. Öffne Server-Manager.
3. Der rechten Maustaste auf Rollen und dann auswählen Rollen hinzufügen.
4. Auf dem Bevor Sie beginnen Seitenauswahl Weiter.

5. Auf dem Installation Typ Seite wählen Rollenbasierte oder Feature-basierte Installation, und klicken Sie dann auf Weiter
6. Auf dem Serverauswahl Seite, sofort klicken
7. Auf dem Seite „Serverrollen auswählen“ wählen Active Directory Certificate Services, Und klicken Sie auf Weiter.

8. Auf dem Wählen Sie Funktionen aus Seite, klicken Sie auf Weiter.

9. Zur Einführung in Active Directory Certificate Services Seite, klicken Sie auf Weiter.

10. Auf dem Seite „Rollendienste auswählen“Wählen Zertifizierungsstelle , Zertifizierungsstellen-Webregistrierung. Wenn Sie das sehen Assistent „Rollen hinzufügen“, klicken Hinzufügen erforderlicher Rollendienste. Klicken Weiter.

11. Auf dem Webserverrolle IIS Seite, klicken Sie auf Weiter.
12. Belassen Sie die Rollendienste als Standard und klicken Sie auf „Weiter“.
13. Überprüfen Sie auf der Bestätigungsseite die Details und klicken Sie auf Installieren.

14. Klicke auf "konfigurieren Active Directory-Zertifikatdienste auf dem Zielserver".
15. Auf der Seite Anmeldeinformationen zum Konfigurieren von Rollen und Diensten angeben sollten die Anmeldeinformationen Encryptionconsu\Administrator, dann klick Weiter.
16. Auf dem Rollendienste auswählen um die Seite zu konfigurieren, Wählen Sie „Certificate Authority“ und „Certificate Authority Web Enrollment“ aus. Klicken Sie dann auf Weiter.

17. Auf dem Setup-Typ angeben Seite, stellen Sie sicher, dass Unternehmen ausgewählt ist, und klicken Sie dann auf Weiter.

18. Auf dem CA-Typ angeben Seite auswählen Untergeordnete CA und klicken Sie dann auf Weiter

19. Auf dem Privaten Schlüssel einrichten Seite, stellen Sie sicher, dass Einen neuen privaten Schlüssel erstellen ausgewählt ist, und klicken Sie dann auf Weiter.

20. Belassen Sie die Standardeinstellungen auf Konfigurieren der Kryptografie für CA Seite, und klicken Sie dann auf Weiter.
    Wichtig: Bei der Installation in einer Produktionsumgebung müssen der ausgewählte CSP, Hash-Algorithmus und die Schlüssellänge die Anforderungen der Anwendungskompatibilität unterstützen.

21. On CA-Namen konfigurieren Seite, löschen Sie den vorhandenen Eintrag für das Feld Gemeinsamer Name für diese CA, und geben Sie Verschlüsselungsberatung Ausstellende CAund dann Weiter.

    Hinweis: Das Distinguished Name Suffix wird automatisch ausgefüllt und sollte nicht geändert werden.

22. Auf dem Anfordern eines Zertifikats von einer übergeordneten Zertifizierungsstelle Seite auswählen Speichern Sie eine Zertifikatsanforderung in einer Datei auf dem Zielcomputer und klicken Sie dann auf Weiter.

23. Belassen Sie die Standardeinstellungen auf Zertifikatsdatenbank konfigurieren Seite und klicken Sie dann auf Weiter.

24. Auf dem Installationsauswahl bestätigen Seite, klicken Sie auf konfigurieren.

25. Überprüfen Sie die Informationen auf der Installationsergebnisse Seite, um zu überprüfen, ob die Installation erfolgreich war, und klicken Sie dann auf Menu.

    • Die folgende Warnmeldung wird erwartet: „Die Installation der Active Directory-Zertifikatdienste ist unvollständig. Um die Installation abzuschließen, verwenden Sie die angeforderte Datei „C:\CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req“, um ein Zertifikat von der übergeordneten Zertifizierungsstelle zu erhalten. Verwenden Sie anschließend das Zertifizierungsstellen-Snap-In von Windows Server, um das Zertifikat zu installieren. Klicken Sie zum Abschluss mit der rechten Maustaste auf den Knoten mit dem Namen der Zertifizierungsstelle und dann auf „CA-Zertifikat installieren“. Der Vorgang wurde erfolgreich abgeschlossen. 0x0 (WIN32: 0).“

26. Kopieren Sie C:\ CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req auf Ihr Wechselmedium. Wenn Sie beispielsweise auf ein Diskettenlaufwerk mit dem Laufwerksbuchstaben A: kopieren möchten, führen Sie den folgenden Befehl in einer Eingabeaufforderung aus:

    • Kopieren Sie „C:\CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req“ A:\

Aufgabe 1: Senden Sie die Anfrage und stellen Sie das CA-Zertifikat der Verschlüsselungsberatung aus

So reichen Sie die Zertifikatsanforderung ein und stellen das angeforderte Zertifikat aus:

1. Stellen Sie sicher, dass Sie bei CA01 als CA01\Administrator angemeldet sind. Legen Sie das Wechselmedium mit der Zertifikatsanforderung in CA01 ein.
2. Öffnen Sie auf CA01 eine administrative Eingabeaufforderung. Senden Sie dann die Anforderung mit dem folgenden Befehl (vorausgesetzt, A: ist der Laufwerksbuchstabe Ihres Wechseldatenträgers):
   • certreq -submit „A:CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req“
   • Hinweis: Achten Sie auf die Anfrage-ID Nummer, die nach dem Absenden der Anfrage angezeigt wird. Sie verwenden diese Nummer beim Abrufen des Zertifikats.
3. Im Liste der Zertifizierungsstellen Stellen Sie im Dialogfeld sicher, dass EncryptionConsulting Root CA ausgewählt ist, und klicken Sie dann auf OK
4. Öffnen Sie die Zertifizierungsstellenkonsole. Klicken Sie dazu auf Start, klicken VerwaltungstoolsUnd klicken Sie auf Zertifizierungsstelle.
5. Im certsrv [Zertifizierungsstelle (Lokal)] Erweitern Sie im Dialogfeld in der Konsolenstruktur EncryptionConsulting Root CA.
6. Klicken Sie auf  offene AnfragenKlicken Sie im Detailbereich mit der rechten Maustaste auf die Anfrage, die Sie gerade übermittelt haben, und klicken Sie auf Alle Aufgaben, Und klicken Sie auf Problem.

7. Kehren Sie zur administrativen Eingabeaufforderung zurück, um das ausgestellte Zertifikat zu akzeptieren, indem Sie den folgenden Befehl ausführen. Stellen Sie sicher, dass Sie den entsprechenden Laufwerksbuchstaben Ihres Wechseldatenträgers ersetzen für A: sowie die korrekte RequestID für 2:
   • certreq -retrieve 2 „A:\CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.crt“
8. Im Dialogfeld „Liste der Zertifizierungsstellen“ Stellen Sie sicher, dass EncryptionConsulting Root CA ausgewählt ist, und klicken Sie dann auf OK.

Aufgabe 2: Installieren Sie das ausstellende CA-Zertifikat von Encryption Consulting auf CA02

So installieren Sie das Zertifikat und starten den Windows Server-Zertifizierungsstellendienst auf CA02:

1. Stellen Sie sicher, dass Sie bei CA02.EncryptionConsulting.com als EncryptionConsu\Administrator angemeldet sind. Legen Sie den Wechseldatenträger mit dem ausgestellten Zertifikat für CA02.EncryptionConsulting.com in CA02 ein.
2. Öffnen Sie die Konsole der Zertifizierungsstelle.
3. Im Zertifizierungsstelle Konsolenstruktur, klicken Sie mit der rechten Maustaste Verschlüsselungsberatung Ausstellende CA, Und klicken Sie auf CA-Zertifikat installieren.
4. Im Wählen Sie eine Datei aus, um die CA-Installation abzuschließen, navigieren Sie zu Ihrem Wechseldatenträger. Stellen Sie sicher, dass Sie Alle Dateien (*. *) und klicken Sie auf die CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA Zertifikat. Klicken Sie auf Öffne.
5. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste Verschlüsselungsberatung Ausstellende CA, klicken Alle Aufgaben, Und klicken Sie auf Dienst starten.
6. Erweitern Sie in der Konsolenstruktur Verschlüsselungsberatung Ausstellende CA und klicken Sie dann auf ZertifikatvorlagenBeachten Sie, dass im Detailbereich keine Zertifikate angezeigt werden. Dies liegt daran, dass in der Datei CAPolicy.inf angegeben wurde, die Standardvorlagen in der Zeile LoadDefaultTemplates=0.

Aktivität 6: Ausführen von Konfigurationsaufgaben nach der Installation bei der untergeordneten ausstellenden Zertifizierungsstelle

Um die Installation der ausstellenden Zertifizierungsstelle abzuschließen, müssen mehrere Einstellungen konfiguriert werden. Diese entsprechen den Aufgaben, die zum Abschließen der Konfiguration der Stammzertifizierungsstelle erforderlich waren.

Aufgabe 1: Konfigurieren der Zertifikatsperrung und der Gültigkeitsdauer des CA-Zertifikats

So konfigurieren Sie den Widerruf von Zertifikaten und die Gültigkeitsdauer von CA-Zertifikaten:

1. Stellen Sie sicher, dass Sie bei CA02.EncryptionConsulting.com als EncryptionConsu\Administrator angemeldet sind.

2. Konfigurieren Sie die CRL- und Delta-CRL-Einstellungen, indem Sie den folgenden Befehl von einer administrativen Eingabeaufforderung aus ausführen:

   • Certutil -setreg CA\CRLPeriodUnits 1
   • Certutil -setreg CA\CRLPeriod „Wochen“
   • Certutil -setreg CA\CRLDeltaPeriodUnits 1
   • Certutil -setreg CA\CRLDeltaPeriod „Tage“

3. Definieren Sie die CRL-Überlappungseinstellungen, indem Sie den folgenden Befehl von einer administrativen Eingabeaufforderung aus ausführen:

   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod „Stunden“

4. Die Standardeinstellung für die Gültigkeitsdauer beträgt in der Registrierung zwei Jahre. Passen Sie diese Einstellung entsprechend Ihren Anforderungen an die Lebensdauer des von der ausstellenden Zertifizierungsstelle EncryptionConsulting ausgestellten Entitätszertifikats an. Es wird empfohlen, keine Gültigkeitszeiträume zu konfigurieren, die länger als die Hälfte der Gesamtlebensdauer des Zertifikats der ausstellenden Zertifizierungsstelle EncryptionConsulting sind, das für eine Gültigkeit von zehn Jahren ausgestellt wurde. Um ausgestellte Zertifikate auf fünf Jahre zu begrenzen, führen Sie die folgenden Befehle in einer administrativen Eingabeaufforderung aus:

   • Certutil -setreg CA\ValidityPeriodUnits 5
   • Certutil -setreg CA\ValidityPeriod „Jahre“

Aufgabe 2: Aktivieren der Überwachung der ausstellenden Zertifizierungsstelle

CA-Auditing hängt vom System ab Objektzugriff überwachen aktiviert werden. Die folgenden Anweisungen beschreiben, wie Sie die lokale Sicherheitsrichtlinie verwenden, um die Objektzugriffsüberwachung zu aktivieren.

1. Klicken Sie auf  Start, klicken VerwaltungstoolsUnd wählen Sie dann Lokale Sicherheitsrichtlinie.
2. Erweitern Sie die Funktionalität der Lokale Richtlinien und dann auswählen Prüfungsrichtlinie.
3. Doppelklick Objektzugriff überwachen und dann auswählen Erfolg , Scheitern dann klick OK.

5. Schließen Sie den Editor für lokale Sicherheitsrichtlinien.

6. Aktivieren Sie die Überwachung für die Zertifizierungsstelle, indem Sie im MMC-Snap-In „Zertifizierungsstelle“ die zu überwachende Ereignisgruppe auswählen oder die Registrierungsschlüsseleinstellung „AuditFilter“ konfigurieren. Um die Überwachung für alle CA-bezogenen Ereignisse zu konfigurieren, führen Sie den folgenden Befehl in einer administrativen Eingabeaufforderung aus:

   Certutil -setreg CA\AuditFilter 127

Aufgabe 3: Konfigurieren der AIA

Die Verwendung eines Certutil-Befehls ist eine schnelle und gängige Methode zum Konfigurieren des AIA. Wenn Sie den folgenden Certutil-Befehl ausführen, konfigurieren Sie einen statischen Dateisystemspeicherort, einen LDAP-Speicherort (Lightweight Directory Access Path) und einen HTTP-Speicherort für den AIA. Der Certutil-Befehl zum Einrichten des AIA ändert die Registrierung. Führen Sie den Befehl daher unbedingt von einer Eingabeaufforderung aus als Administrator aus. Führen Sie den folgenden Befehl aus:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

Nachdem Sie diesen Befehl ausgeführt haben, führen Sie den folgenden Befehl aus, um Ihre Einstellungen zu bestätigen:

certutil -getreg CA\CACertPublicationURLs

Wenn Sie in der Registrierung nachsehen, finden Sie unter folgendem Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\ Verschlüsselungsberatung Ausstellende CAkönnen Sie die CACertPublicationURLs bestätigen, indem Sie den REG_MULTI_SZ-Wert öffnen. Sie sollten Folgendes sehen:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Dienste,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

Sie können dies auch in der CA-Konsole (certsrv) sehen. Um die Konsole zu öffnen, klicken Sie auf Start, klicken Verwaltungstools, Und klicken Sie auf Zertifizierungsstelle. Erweitern Sie im Navigationsbereich das Zertifizierungsstelle (lokal). Der rechten Maustaste auf EncryptionConsulting Root CA und klicken Sie dann auf Eigenschaften. Auf dem Erweiterungsoptionen Registerkarte unter Erweiterung auswählen, klicken Zugriff auf Behördeninformationen (AIA) und Sie sehen die grafische Darstellung der AIA-Einstellungen.

Führen Sie in einer administrativen Eingabeaufforderung den folgenden Befehl aus, um das ausstellende CA-Zertifikat von EncryptionConsulting an den HTTP-AIA-Speicherort zu kopieren:

Kopieren Sie „c:\Windows\System32\certsrv\certenroll\CA02.EncryptionConsulting.com_EncryptionConsulting Issuing CA.crt“ \\srv1.EncryptionConsulting.com\c$\certenroll\

Aufgabe 4: Konfigurieren des CDP

Der Befehl „certutil“ zum Festlegen des CDP ändert die Registrierung. Führen Sie den Befehl daher unbedingt von einer Eingabeaufforderung aus als Administrator aus. Führen Sie den folgenden Befehl aus:

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl\n65:\\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl”

Nachdem Sie diesen Befehl ausgeführt haben, führen Sie den folgenden certutil-Befehl aus, um Ihre Einstellungen zu überprüfen:

certutil -getreg CA\CRLPublicationURLs

Im Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Verschlüsselungsberatung Ausstellende CA Sie können den Wert REG_MULTI_SZ öffnen und die Konfiguration dieser Werte anzeigen:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
2. ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
3. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl
4. \\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl

Sie können dies auch in der CA-Konsole (certsrv) sehen. Um die Konsole zu öffnen, klicken Sie auf Start, klicken Verwaltungstools, Und klicken Sie auf ZertifizierungsstelleStellen Sie im Navigationsbereich sicher, dass Zertifizierungsstelle (lokal) wird erweitert. Klicken Sie mit der rechten Maustaste EncryptionConsulting Root CA und klicken Sie dann auf Eigenschaften im Vergleich. Am Erweiterungsoptionen Registerkarte unter Erweiterung auswählen, klicken CRL-Verteilungspunkt (CDP) und Sie sehen die grafische Darstellung der CDP-Einstellungen.

Führen Sie an einer administrativen Eingabeaufforderung die folgenden Befehle aus, um die Active Directory-Zertifikatdienste neu zu starten und die CRL zu veröffentlichen.

net stop certsvc && net start certsvc

certutil -crl

Aktivität 7: Installieren und Konfigurieren des Online-Responder-Rollendiensts

Aufgabe 1: Installieren des Online-Responder-Rollendiensts auf SRV1

1. 1. Stellen Sie sicher, dass Sie bei SRV1.EncryptionConsulting.com als EncryptionConsu\Administrator angemeldet sind.
   2. Öffnen Sie den Server-Manager.
   3. Rechtsklick auf Rollen, Und klicken Sie auf Rollen hinzufügen.
   4. Auf dem Bevor Sie beginnen Seite, dann auswählen Weiter.
   5. Auf dem Installationstyp auswählen Seite auswählen Rollenbasierte oder funktionsbasierte Installation und klicken Sie dann auf Weiter.
   6. Auf dem Serverauswahl Seite, klicken Sie auf Weiter.
   7. Auf dem Wählen Sie Serverrollen aus Seite auswählen Active Directory Certificate Services und klicken Sie dann auf Weiter.

8. Auf dem Eigenschaften Seite, klicken Sie auf Weiter.
9. On Einführung in die Seite „Active Directory-Zertifikatdienste“, klicken Weiter.
10. Auf dem Rollendienste auswählen Seite klar  die Zertifizierungsstelle, und dann auswählen Online-Responder. Klicken Sie Weiter.
    • Hinweis: Sie möchten keine Zertifizierungsstelle auf SRV1.EncryptionConsulting.com installieren, daher deaktivieren Sie dieses Kontrollkästchen.
    • Besitzt das Fügen Sie für Online Responder erforderliche Rollendienste und Features hinzu wird angezeigt. Klicken Sie auf Hinzufügen erforderlicher Rollendienste und klicken Sie dann auf Weiter. Dann auf der Webserver (IIS), klicken Weiter.

11. Auf dem Installationsauswahl bestätigen Seite, klicken Sie auf Installieren. Klicken Sie Menu wenn die Installation abgeschlossen ist.

12. Klicke auf "Konfigurieren der Active Directory-Zertifikatdienste auf dem Zielserver“, stellen Sie auf der Anmeldeseite sicher, Encryptionconsu\Administrator erwähnt wird, klicken Sie auf Weiter.

13. Auf dem Wählen Sie Rolle und Dienste zum Konfigurieren aus Seite auswählen „Online-Responder“ und klicken auf Weiter.

14. Auf dem Bestätigung Seite, überprüfen Sie die Details und klicken Sie auf Weiter.

Aufgabe 2: Fügen Sie die OCSP-URL zur ausstellenden Zertifizierungsstelle von Encryption Consulting hinzu

So fügen Sie die OCSP-URL zur ausstellenden Zertifizierungsstelle von EncryptionConsulting hinzu:

1. 1. Stellen Sie sicher, dass Sie bei CA02.EncryptionConsulting.com als EncryptionConsu\Administrator angemeldet sind.
   2. Im ZertifizierungsstellenkonsoleKlicken Sie in der Konsolenstruktur mit der rechten Maustaste auf EncryptionConsulting Ausstellende Zertifizierungsstelle, Und klicken Sie auf Eigenschaften im Vergleich.
   3. Auf dem Erweiterungsoptionen Registerkarte unter Erweiterung auswählenWählen Zugriff auf Behördeninformationen (AIA), Und klicken Sie auf Speichern.
   4. In Standort, Typ http://srv1.EncryptionConsulting.com/ocsp
   5. und klicken Sie dann auf OK.
   6. Auswählen In die Erweiterung des Online Certificate Status Protocol (OCSP) aufnehmen.
      • Hinweis: Eine häufige Fehlkonfiguration besteht darin, beide Kontrollkästchen auf der Registerkarte Erweiterungen zu aktivieren. Dies ist jedoch nicht korrekt. Stellen Sie sicher, dass In die Erweiterung des Online Certificate Status Protocol (OCSP) aufnehmen Das Kontrollkästchen ist das einzige ausgewählte.

7. Klicken Sie auf  OK. Wenn Sie dazu aufgefordert werden Zertifizierungsstelle Dialogfeld zum Neustarten der Active Directory-Zertifikatdienste, klicken Sie auf Ja.

   Wichtig: Die ausstellende Zertifizierungsstelle von EncryptionConsulting fügt nun die URL http://srv1.EncryptionConsulting.com/ocsp als Teil der AIA-Erweiterung (Authority Information Access) in alle neu ausgestellten, erneuerten oder erneut registrierten Zertifikate ein. Zertifikate, die vor dieser Änderung von der ausstellenden Zertifizierungsstelle von EncryptionConsulting registriert wurden, verfügen jedoch nicht über diese URL.

Aufgabe 3: Konfigurieren und Veröffentlichen des OCSP-Antwortsignaturzertifikats auf der ausstellenden Zertifizierungsstelle von Encryption Consulting

So konfigurieren Sie das OCSP-Antwortsignaturzertifikat:

1. Stellen Sie auf CA02.EncryptionConsulting.com sicher, dass Sie als EncryptionConsu\Administrator angemeldet sind.
2. Im Zertifizierungsstelle Konsole, stellen Sie sicher, dass die ausstellende Zertifizierungsstelle „EncryptionConsulting“ in der Konsolenstruktur erweitert ist.
3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und klicken Sie dann auf Verwalten. Zertifikatvorlagen öffnet und zeigt die im Active Directory gespeicherten Zertifikatvorlagen an.
4. Klicken Sie im Detailbereich (mittlerer Bereich) mit der rechten Maustaste OCSP-Antwortsignatur und klicken Sie dann auf Eigenschaften im Vergleich.
5. Auf dem Sicherheit Klicken Sie auf die Registerkarte Speichern. Klicken Sie Objekttypen.
6. Im Objekttypen Dialogfeld auswählen Computer und klicken Sie dann auf OK.
7. In Geben Sie die auszuwählenden Objektnamen ein, Typ SRV1 und klicken Sie dann auf Überprüfen Sie die Namen. Klicken Sie OK.
8. Stellen Sie sicher, dass SRV1 ausgewählt ist und in der Erlauben Stellen Sie sicher, dass die Lesen Sie mehr , Einschreiben Berechtigungen ausgewählt sind. Klicken Sie auf OK.
9. Schließen Sie die MMC-Konsole „Zertifikatvorlagen“.
10. In certsrv Konsole, Rechtsklick ZertifikatvorlagenUnd wählen Sie dann New und dann auswählen Auszustellende Zertifikatsvorlage.
11. Im Zertifikatvorlagen aktivieren Dialogfeld, klicken Sie auf OCSP-Antwortsignatur und der Klick OK.

Aufgabe 4: Konfigurieren der Sperrkonfiguration auf dem Online-Responder

So konfigurieren Sie die Widerrufskonfiguration:

1. Stellen Sie sicher, dass Sie auf SRV1.EncryptionConsulting.com als EncryptionConsu\Administrator angemeldet sind.
2. Öffnen Sie den Server-Manager und navigieren Sie zu Zubehör Und klicken Sie auf "Online-Responder-Management".
3. Der rechten Maustaste auf Widerrufskonfiguration und klicken Sie dann auf Sperrkonfiguration hinzufügen.
4. Auf dem Erste Schritte beim Hinzufügen einer Widerrufskonfiguration Seitenklick Weiter.

5. In Name, eingeben Verschlüsselungsberatung Ausstellende CA, Und klicken Sie auf Weiter.

6. Auf dem Wählen Sie den CA-Zertifikatspeicherort Seite sicherstellen, dass Wählen Sie ein Zertifikat für eine vorhandene Unternehmenszertifizierungsstelle aus ausgewählt ist, dann klicken Sie auf Weiter.

9. Belassen Sie die Standardeinstellungen auf Wählen Sie Signaturzertifikat Seite und klicken Sie dann auf Weiter.

10. Auf dem Widerrufsanbieter Seite, klicken Sie auf Provider.

11. Überprüfen Sie die für den OCSP-Responder aufgeführten Optionen, um CRLs in Form von LDAP- und HTTP-Standorten herunterzufahren.

    • Hinweis: Je nach Bedarf können Sie entweder LDAP oder HTTP als primären Speicherort für den OCSP-Responder zum Herunterladen von CRLs auswählen. Sie können die Reihenfolge der LDAP- und HTTP-URLs ändern mit aufrücken or Nach unten Belassen Sie die Standardeinstellungen so, wie sie angezeigt werden.

12. Löschen Sie die Aktualisieren Sie CRLs basierend auf ihrer Gültigkeitsdauer. In dem Update, CRLs in diesem Aktualisierungsintervall (min) Box, geben Sie ein 15 und klicken Sie dann auf OK. Klicken Sie Farbe.

    • Hinweis: Wenn Sie diese Einstellung ändern, um CRLs schneller herunterzuladen als das normale Ablaufdatum der CRL, kann der OCSP-Responder neue CRLs schnell herunterladen, anstatt das normale Ablaufdatum der zuletzt heruntergeladenen CRL zu verwenden. Produktionsanforderungen können von dem hier gewählten Wert abweichen.
13. Erweitern Sie in der Zertifizierungsstellenkonsole Array-Konfiguration und klicken Sie dann auf SRV1.
14. Bewertung Widerrufskonfigurationsstatus im mittleren Bereich, um sicherzustellen, dass ein Signaturzertifikat vorhanden ist und der Status „OK“ lautet. Der Anbieter verwendet die aktuelle Konfiguration erfolgreich.

Aufgabe 5: Konfigurieren Sie die Gruppenrichtlinie, um die OCSP-URL für die ausstellende Zertifizierungsstelle von EncryptionConsulting bereitzustellen.

Diese Konfiguration wäre nur erforderlich, damit bestehende Zertifikatsinhaber die Vorteile eines neuen OCSP-Responders nutzen können, ohne neue Zertifikate mit der erforderlichen hinzugefügten OCSP-URL erneut registrieren zu müssen.

1. Stellen Sie sicher, dass Sie bei DC01.EncryptionConsulting.com als EncryptionConsu\Administrator angemeldet sind.
2. Öffnen Sie eine administrative Eingabeaufforderung und führen Sie die folgenden Befehle aus:
   • CD\
   • certutil -config „ca02.Verschlüsselungsberatung.com\EncryptionConsulting Issuing CA” -ca.cert EncryptionConsultingissuingca.cer
3. Klicken Sie auf  Start, klicken Führen Sieund geben Sie dann ein gpmc.msc. Drücken Sie ENTER.
4. Erweitern Sie die Funktionalität der Forest, erweitern Domains, erweitern EncryptionConsulting.comund erweitern Sie dann Gruppenrichtlinienobjekte.
5. Der rechten Maustaste auf Standarddomänenrichtlinie, dann klick Bearbeiten.
6. Der Computer-Konfiguration, erweitern Richtlinien, erweitern Windows-Einstellungen, erweitern Security Settingsund erweitern Sie dann Public-Key-Richtlinien.
7. Der rechten Maustaste auf Zwischenzertifizierungsstellen, Und klicken Sie auf Import.
8. Auf dem Willkommen beim Zertifikatimport-Assistenten Seite, klicken Sie auf Weiter.

9. Im Dateiname, Typ C:\EncryptionConsultingissuingca.cer, Und klicken Sie auf Weiter.

10. Auf dem Zertifikatspeicher Seite, klicken Sie auf Weiter.
11. Auf dem Abschließen des Zertifikatimport-Assistenten, klicken Farbe und klicken Sie dann auf OK.

12. Wählen Sie in der Konsolenstruktur Zwischenzertifizierungsstellen
13. Klicken Sie im Detailbereich mit der rechten Maustaste EncryptionConsulting stellt CA-Zertifikat aus, dann klick Eigenschaften im Vergleich.
14. Auf dem OCSP Registerkarte, in URL hinzufügen eingeben http://srv1.EncryptionConsulting.com/ocsp, Und klicken Sie auf URL hinzufügen. Klicken Sie OK.

15. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor und anschließend die Gruppenrichtlinienverwaltungskonsole.

Aktivität 8: Überprüfen der Integrität der MSPKI-Hierarchie

Aufgabe 1: Win10

1. Melden Sie sich als lokaler Administrator bei WIN10 an.
2. Klicken Sie auf  Start, Typ sysdm.cpl, und drücken Sie ENTER. Klicken Sie Ändern. (Stellen Sie sicher, dass der Computername bereits auf WIN10 – andernfalls ändern)
3. In MitgliedWählen Domainund geben Sie dann ein EncryptionConsulting.com. Klicken Sie OK.
4. In Windows-Sicherheit, geben Sie die Benutzername , Passwort für das Domänenadministratorkonto. Klicken Sie auf OK.
5. Sie sollten in der Domäne EncryptionConsulting willkommen sein. Klicken Sie auf OK.
6. Wenn Sie gefragt werden, ob ein Neustart erforderlich ist, klicken Sie auf OK. Klicken Sie Menu. Klicken Sie Jetzt neu starten.

Aufgabe 2: Überprüfen der PKI-Integrität mit Enterprise PKI

So verwenden Sie die Enterprise-PKI-Konsole zum Überprüfen des PKI-Zustands:

1. Stellen Sie auf CA02.EncryptionConsulting.com sicher, dass Sie als EncryptionConsu\Administrator angemeldet sind.
2. Öffnen Sie den Server-Manager.

3. In der Konsolenstruktur unter Rollen , Active Directory Certificate Services, klicken Unternehmens-PKI.

   • Alternativ können Sie Enterprise PKI ausführen, indem Sie PKIView.msc von einer administrativen Eingabeaufforderung aus.
4. Der rechten Maustaste auf Unternehmens-PKI und klicken Sie dann auf AD-Container verwalten.

5. Auf dem NTAuthCertificates Überprüfen Sie, ob das ausstellende CA-Zertifikat von EncryptionConsulting mit dem Status OK.
6. Auf dem AIA-Container Überprüfen Sie auf der Registerkarte „ EncryptionConsulting Root CA und der Verschlüsselungsberatung Ausstellende CA Zertifikate liegen mit dem Status vor OK.
7. Auf dem CDP-Container Registerkarte, überprüfen EncryptionConsulting Root-CA-Basis-CRL, EncryptionConsulting Issuing CA baseund die Delta-Zertifikatssperrlistes sind mit einem Status von vorhanden OK.
8. On Zertifizierungsstellen-Container, verifizieren EncryptionConsulting Root CA Zertifikat liegt vor mit dem Status OK.
9. On Registrierungsdienstecontainer, verifizieren Verschlüsselungsberatung Ausstellende CA Zertifikat liegt vor mit dem Status OK.

Aufgabe 3: Konfigurieren der Zertifikatsverteilung auf der ausstellenden Zertifizierungsstelle von Encryption Consulting

So veröffentlichen Sie ein Zertifikat für Computer im Unternehmen:

1. Stellen Sie auf CA02.com sicher, dass Sie als EncryptionConsu\Administrator angemeldet sind.
2. Im Zertifizierungsstelle Konsole, stellen Sie sicher, dass Verschlüsselungsberatung Ausstellende Zertifizierungsstelle wird erweitert.
3. Der rechten Maustaste auf Zertifikatvorlagen wählen New und wählen Sie Auszustellende Zertifikatsvorlage.
4. Auf dem Zertifikatvorlagen aktivieren Dialogfeld, klicken Sie auf Workstation-Authentifizierung, Seite und klicken Sie dann auf OK.

Aufgabe 4: Erhalten Sie ein Zertifikat mit WIN10 und überprüfen Sie die PKI-Integrität

So erhalten Sie ein Zertifikat für WIN10 und überprüfen die PKI-Integrität:

1. Melden Sie sich bei Win10.com als EncryptionConsu\Administrator an. (Stellen Sie sicher, dass Sie den Benutzer wechseln und sich als EncryptionConsu\Administrator anmelden.)
2. Klicken Sie auf  Start, Typ mmc, und drücken Sie dann die EINGABETASTE.
3. Klicken Sie auf  Reichen Sie das, Und klicken Sie auf Add / Remove Snap-in.
4. Klicken Sie auf  Zertifikate, dann klick Speichern. Wählen Computerkonto, Und klicken Sie auf Farbe. Klicken Sie OK.

5. Erweitern Sie die Funktionalität der Zertifikate, Rechtsklick Personellem, klicken Alle Aufgaben, Und klicken Sie auf Neues Zertifikat anfordern.
6. Auf dem Bevor Sie beginnen Seite, klicken Sie auf Weiter.
7. Auf dem Zertifikatregistrierungsrichtlinie auswählen Seite, klicken Sie auf Weiter.
8. Auswählen Workstation-AuthentifizierungUnd klicken Sie auf Einschreiben. Wenn das Zertifikat registriert ist, klicken Sie auf Einschreiben.

9. Erweitern Sie in der Konsolenstruktur PersonellemUnd klicken Sie auf ZertifikateKlicken Sie im Detailbereich mit der rechten Maustaste auf  EncryptionConsulting.com Zertifikat, klicken Sie auf Alle Aufgaben, Und klicken Sie auf Export.
10. Auf dem Willkommen beim Zertifikatexport-Assistenten Seite, klicken Sie auf Weiter.

11. Auf dem Privaten Schlüssel exportieren, klicken Weiter. (Nein, den standardmäßig ausgewählten privaten Schlüssel nicht exportieren).

12. Auf dem Exportdateiformat Klicken Sie auf der Seite „Weiter“. [DER-codiertes Binärformat X.509 (.CER) ist die Standardauswahl].
13. Auf dem Zu exportierende Datei Seite, Typ C:\win10, Und klicken Sie auf Weiter.
14. Auf dem Abschließen des Zertifikatexport-Assistenten Seite, klicken Sie auf und dann Farbe, Und klicken Sie auf OK.

15. Öffnen Sie eine Eingabeaufforderung und führen Sie die folgenden Befehle aus: (Um eine Eingabeaufforderung zu öffnen, klicken Sie auf Start, Typ cmd, und drücken Sie dann die EINGABETASTE)

    • cd\
    • certutil -URL C:\win10.cer

16. Führen Sie im URL Retrieval Tool die folgenden Schritte aus, in der Abrufen Abschnitt:

    • Auswählen OCSP (von AIA) Option und klicken Sie dann auf Abrufen. Bestätigen Sie, dass der Status als angezeigt wird Verifiziert.
    • Auswählen CRLs (von CDP) Option und klicken Sie dann auf Abrufen. Bestätigen Sie, dass der Status als angezeigt wird Verifiziert.
    • Wähle aus Zertifikate (von AIA) Option und klicken Sie dann auf Abrufen. Bestätigen Sie, dass der Status als angezeigt wird Verifiziert.
17. Klicken Sie auf  Beenden , um das URL-Abruftool zu schließen.
18. Führen Sie in einer Eingabeaufforderung den folgenden Befehl aus, um den Abruf und den Widerrufsstatus der Zertifikatskette gründlich zu überprüfen.
    • certutil -verify -urlfetch c:\win10.cer
19. Überprüfen Sie die Ausgabe und stellen Sie sicher, dass der gesamte Kettenabruf- und Widerrufsstatus erfolgreich überprüft wurde.