Wie kann ich die Zertifikatsregistrierung auf eine andere Gesamtstruktur erweitern?

In diesem Blog werden die Cross Forest Certificate Enrollment und die dafür erforderlichen Schritte erläutert.

Was ist die Cross Forest-Zertifikatsregistrierung?

• Unternehmen können in einer Active Directory Domain Services (AD DS)-Gesamtstruktur eine zentrale PKI erstellen, die mithilfe der gesamtstrukturübergreifenden Registrierung Zertifikate an Domänenmitglieder in anderen Gesamtstrukturen ausstellt.
• Durch die Kombination von Zertifikatvorlagen aus vielen Gesamtstrukturen in einer einzigen PKI, die alle Gesamtstrukturen unterstützt, können Unternehmen mit aktuellen Gesamtstrukturen AD CS-Implementierungen kann die Anzahl der CAs verringern.
• Um Registrierungsdienste über alle Gesamtstrukturen hinweg anzubieten, können Unternehmen mit mehreren Gesamtstrukturen, aber ohne PKI AD CS in einer einzelnen Gesamtstruktur implementieren.

Voraussetzungen:

• Zwischen Konto- und Ressourcengesamtstrukturen bestehen bidirektionale Gesamtstrukturvertrauensstellungen.

• Eine oder mehrere Unternehmenszertifizierungsstellen, die auf Windows Server ausgeführt werden.

Veröffentlichen Sie die Stammzertifizierungsstelleninformationen in einem anderen Forest.

1. Melden Sie sich als Mitglied der Gruppe „Enterprise-Admins“ bei einem Domänencontroller im Forest an.
2. Stecken Sie den USB-Stick mit dem von der Stammzertifizierungsstelle veröffentlichten Zertifikat und der CRL ein.
3. Stellen Sie sicher, dass Sie sich in der administrativen Eingabeaufforderung befinden.
4. Geben Sie an der Eingabeaufforderung „certutil -f -dspublish ” Root CA.crt” RootCA ein
5. Geben Sie an der Eingabeaufforderung PKIView.msc ein und drücken Sie die EINGABETASTE.
6. Wenn das Meldungsfeld „pkiview“ angezeigt wird, klicken Sie auf „OK“, um die Fehlermeldung zu akzeptieren, wenn Sie dazu aufgefordert werden.
7. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Enterprise PKI und dann auf AD-Container verwalten.
8. Stellen Sie sicher, dass auf der Registerkarte „Container für Zertifizierungsstellen“ der Eintrag „RootCAName“ angezeigt wird.
9. Stellen Sie sicher, dass auf der Registerkarte „AIA-Container“ der Eintrag „RootCAName“ angezeigt wird. Klicken Sie auf „OK“.

Veröffentlichen Sie SubCA-Informationen in der neuen Gesamtstrukturkonfigurationspartition (Registrierungsdienste und -vorlagen).

1. Stellen Sie sicher, dass für die neue Gesamtstruktur Berechtigungen/Delegationen für CN=Public Key Services, CN=Services, CN=Configuration, DC={Gesamtstruktur-Stammdomäne} konfiguriert sind.
2. Ändern Sie in vorhandenen Gesamtstrukturen die geplante Aufgabe, um PKIsync.cmd auf die neue Gesamtstruktur zu aktualisieren (unten muss eine zusätzliche Zeile hinzugefügt werden).
   .\PKISync.ps1 -sourceForest RESOURCE.LOCAL -targetforest account.LOCAL -type Template -cn ” <Allgemeiner Name der Zertifikatvorlage>. ” >> C:\Temp\CAScripts\PKSyncCorp.txt
3. Führen Sie die geplante Aufgabe „PKI Cross Forest Replication“ aus.
4. Melden Sie sich beim Ziel-Forest an, öffnen Sie ADSIEDIT.msc > Stellen Sie eine Verbindung zur Konfigurationspartition her: N=Public Key Services, CN=Services, CN=Configuration, DC={Forest-Stammdomäne}
5. Überprüfen Sie die Registrierungsdienste > Überprüfen Sie, ob dort PKI-Server vorhanden sind.
6. Zertifikatvorlagen prüfen > Überprüfen, ob dort Kundenzertifikatvorlagen vorhanden sind

Hinweis: Der obige Befehl synchronisiert nur bestimmte Vorlagen. Sie können auch ganze Container synchronisieren.

Veröffentlichen Sie die SubCA-Informationen in einem neuen Forest. 

1. Öffnen Sie eine administrative Eingabeaufforderung.
2. Geben Sie in der Eingabeaufforderung USB: ein und drücken Sie dann die EINGABETASTE.
3. Geben Sie in der Eingabeaufforderung CD \CACerts ein und drücken Sie die EINGABETASTE.
4. Geben Sie an der Eingabeaufforderung certutil -dspublish -f ein.enterprise-ca-cert-filename.cer> SubCA und drücken Sie dann die EINGABETASTE.
5. Geben Sie an der Eingabeaufforderung certutil -dspublish -f ein.enterprise-ca-cert-filename.cer> NTAUthCA und drücken Sie dann die EINGABETASTE.

Fügen Sie der Gruppe „Cert Publishers“ in New Forest SubCA-Informationen hinzu. 

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Stellen Sie eine Verbindung zur erforderlichen Domäne her
3. Navigieren Sie in der Konsolenstruktur zum Container CN=Users.

Hinweis: Wenn sich die Gruppe nicht im Standardcontainer befindet, suchen Sie innerhalb der Domäne danach.

• Doppelklicken Sie im Detailbereich auf „Zertifikatherausgeber“.
• Stellen Sie auf der Registerkarte „Allgemein“ sicher, dass der Bereich der Gruppe „Domänenlokal“ lautet.
• Fügen Sie PKI-Server aus dem Forest als Mitglieder hinzu.

Zuweisen von Berechtigungen des Gesamtstrukturplans zu Zertifikatvorlagen

1. Öffnen Sie die Active Directory-Zertifizierungsstelle.
2. Zertifikatvorlagen suchen > Rechtsklick > Verwalten
3. Suchen Sie die Zertifikatvorlagen und gehen Sie zu ihren Eigenschaften
4. Benutzer/Gruppen/Computer zuweisen
5. Stellen Sie auf der Registerkarte „Allgemein“ sicher, dass der Bereich der Gruppe „Domänenlokal“ lautet.
6. Fügen Sie PKI-Server aus dem Forest als Mitglieder hinzu.

Weisen Sie der Zertifizierungsstelle Berechtigungen zu, damit die neue Gesamtstruktur Zertifikate registrieren kann.

1. Öffne Active Directory-Zertifikat Behörde.
2. Klicken Sie mit der rechten Maustaste auf den CA-Namen > „Eigenschaften auswählen“
3. Navigieren Sie zu „Sicherheit“ > „Gruppen des neuen Forest hinzufügen“, die registriert werden müssen.

Referenzen: (Die Referenzliste bleibt in der wissenschaftlichen Zitierweise erhalten) https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/ff955842(v=ws.10)