Microsoft Active Directory-Zertifikatdienste (AD CS) mit Azure Blob Storage

Bereitstellen eines Active Directory-Zertifikatdienstes ist eine einfache Möglichkeit für Unternehmen, ihre PKI-Infrastruktur aufzubauen. Aber es hat seine Nachteile, wie zum Beispiel

• Fehlende Bereitstellung in mehreren Regionen
• Hohe Latenz an CDP- und AIA-Punkten

Um dies zu überwinden, müssen Unternehmen eine regionsspezifische PKI-Infrastruktur bereitstellen, deren Wartung schwieriger sein kann und die Komplexität der gesamten Infrastruktur erhöht.

Doch mithilfe von Azure können Unternehmen eine PKI-Infrastruktur bereitstellen, die weltweit mit geringer Latenz und hoher Verfügbarkeit betrieben werden kann.

In diesem Artikel zeigen wir Ihnen, wie Sie Ihre eigene PKI-Architektur auf Azure erstellen.

Hinweis: Wenn Sie zum ersten Mal eine PKI einsetzen, empfehle ich Ihnen, Folgendes zu tun: ADCS-Bereitstellung mit zweistufiger PKI-Hierarchie da es ein direkterer Ansatz ist und auch die Grundlagen berührt.

Voraussetzungen:

• Ein Azure-Konto, in dem wir virtuelle Maschinen und Blob-Speicher erstellen
• Ein benutzerdefinierter Domainname
• Eine Offline-Windows-Server-VM, die unsere Stammzertifizierungsstelle sein wird

[HINWEIS: Dies ist ein Testszenario. Daher entsprechen CDP- und AIA-Punkte möglicherweise nicht Ihren Anforderungen. Verwenden Sie Werte, die Ihren Anforderungen entsprechen.]

Vorbereiten von CDP- und AIA-Punkten

Wir werden einen Blob-Speicher erstellen, der als CDP/AIA-Punkte für unsere PKI Infrastruktur. Wir werden es auch mit unserer benutzerdefinierten Domäne verknüpfen, um es zu unserem Blob umzuleiten.

Erstellen von Azure Blob Storage

1. Zuerst müssen wir uns in unser Azure-Konto einloggen und zu Speicherkonten navigieren.

   

2. Wir werden ein neues Speicherkonto erstellen. Klicken Sie dazu oben links auf „Erstellen“.

   

3. Geben Sie die notwendigen Details zu den Grundlagen an. Für Redundanz würde ich mindestens zonenredundanten Speicher (ZRS) empfehlen.

   

4. Lassen Sie auf der Registerkarte „Erweitert“ alles auf Standard und klicken Sie auf „Weiter“.

5. Auf der Registerkarte „Netzwerk“ wird empfohlen, öffentlichen Zugriff von ausgewählten virtuellen Netzwerken und IP-Adressen zuzulassen und das virtuelle Netzwerk auszuwählen, in dem alle virtuellen Maschinen bereitgestellt werden. Falls kein virtuelles Netzwerk vorhanden ist, erstellen Sie eines.

   

6. Klicken Sie auf der Registerkarte „Datenschutz“ auf „Weiter“.
7. Belassen Sie auf der Registerkarte „Verschlüsselung“ alles auf Standard und klicken Sie auf „Weiter“.
8. Geben Sie relevante Tags ein und klicken Sie auf „Weiter“.
9. Auf der Registerkarte „Überprüfen“ können Sie überprüfen, ob alles gut aussieht, und auf „Erstellen“ klicken.

Dadurch wird der Blob-Speicher erstellt. Anschließend verknüpfen wir diesen Blob-Speicher mit unserer benutzerdefinierten Domäne und stellen sicher, dass er über HTTP zugänglich ist.

Zuordnen einer benutzerdefinierten Domäne zu Azure Blog Storage

Für diesen Schritt benötigen Sie eine benutzerdefinierte Domäne. Sobald Sie sich angemeldet haben, können Sie zu den DNS-Einstellungen navigieren

1. Navigieren Sie in den DNS-Einstellungen zu den DNS-Einträgen und geben Sie einen CNAME-Eintrag ein.

2. Nun müssen wir den Hostnamen für Ihr Speicherkonto abrufen. Dazu navigieren wir Einstellungen > Endpunkte im linken Bereich und kopieren Sie die statische Website unter Statische Website. Es sollte so etwas wie https://pkitest.z13.web.core.windows.net (https: //.z13.web.core.windows.net/)

   Entfernen Sie https:// und den zusätzlichen /. Es würde wie pkitest.z13.web.core.windows.net aussehen, was unser Hostname ist

3. Geben Sie nun in den DNS-Einstellungen für den Hostnamen der benutzerdefinierten Domäne pkitest und für den Hostnamen den Hostnamen des Speicherendpunkts ein.

   

   Klicken Sie hier, um einen Datensatz zu erstellen

4. Navigieren Sie zum Azure Storage-Konto, klicken Sie auf Networking für Sicherheit + Netzwerk und wählen Sie Benutzerdefinierten Domain auf der Registerkarte oben.

5. Geben Sie die von Ihnen erstellte Subdomäne an.

   

6. Klicken Sie auf Speichern. Nach erfolgreicher Validierung erhalten Sie eine Validierungsbenachrichtigung

   

Deaktivieren der sicheren Übertragung erforderlich

Da dieser Blob ein CDP/AIA-Punkt ist, benötigen wir HTTP-Zugriff auf das Blog. Daher müssen wir die sichere Übertragung deaktivieren. Ist sie aktiviert, ist kein HTTP-Zugriff möglich. Unsere PKI kann diesen Blob nicht als CDP/AIA-Punkt verwenden.

1. Navigieren Konfiguration für Einstellungen

2. Stelle den Sichere Übertragung erforderlich zu Deaktiviert

   

3. Klicke auf Speichern

Testen der Zugänglichkeit des Speicherkontos

Dieser Abschnitt stellt sicher, dass unser Speicherkonto über eine benutzerdefinierte Domäne zugänglich ist.

1. Zuerst erstellen wir einen Container und laden eine Datei hinein

2. Navigieren Sie zu Containern unter Datenspeicher

   

3. Klicken Sie oben links auf

4. Geben Sie den Namen ein, legen Sie den öffentlichen Zugriff als Blob fest und klicken Sie auf Erstellen

   Der Container wird erstellt

   

5. Klicken Sie auf den Namen und navigieren Sie darin

6. Klicken Sie oben links auf

7. Wählen Sie eine beliebige Datei zum Testen aus (vorzugsweise eine PDF- oder TXT-Datei).

   

8. Klicken Sie auf „Hochladen“. Nach dem Hochladen sollte es im Container verfügbar sein.

   

9. Nun versuchen wir, über eine benutzerdefinierte Domäne auf die Datei zuzugreifen. Die URL sollte lauten:

   http://<subdomain.customdomain>/<mycontainer>/<myblob>

   Für uns sollte die Domäne also

   http://pkitest.encryptionconsulting.com/pkitest/TestFile.pdf

   Stellen Sie sicher, dass die Datei in HTTP geöffnet wird und dass sie angezeigt oder heruntergeladen wird.

   

Damit ist unser Abschnitt zur Vorbereitung von CDP- und AIA-Punkten abgeschlossen. Als Nächstes beginnen wir mit der Erstellung unserer PKI. Sie können nun die Testdatei aus dem Container löschen, da sie nur das Zertifikat und die CRLs enthält.

Domänencontroller erstellen

Diese Schritt-für-Schritt-Anleitung verwendet eine Active Directory Domain Services (AD DS)-Gesamtstruktur namens encon.com. DC01 fungiert als Domänencontroller.

Zunächst stellen wir eine VM in Azure bereit. Stellen Sie sicher, dass beide IPs statisch sind.

Stellen Sie bei der Bereitstellung sicher,

1. VMs werden im selben virtuellen Netzwerk bereitgestellt
2. Stellen Sie bei Bereitstellung in derselben Region sicher, dass das Subnetz dasselbe ist

3. Die öffentliche IP-Adresse ist statisch

   

4. Sobald die VM erstellt ist, navigieren Sie zu Networking unter Einstellungen und klicken Sie auf die Netzwerkschnittstelle

   

   1. Navigieren Sie unter Einstellungen zu IP-Konfiguration

   2. Klicken Sie im Menü auf ipconfig1 und ändern Sie die privaten IP-Einstellungen von Dynamisch auf Statisch

      

   3. Klicken Sie auf Speichern und kehren Sie zur VM zurück

Geben Sie je nach Bedarf weitere Parameter an und erstellen Sie die VM.

Netzwerk konfigurieren

Sobald die VM erstellt ist, melden Sie sich an und befolgen Sie die folgenden Schritte

1. Melden Sie sich als lokaler Benutzer bei DC01 an
2. Klicken Sie auf Start, Typ ncpa.cpl , und drücke ENTER
3. Klicken Sie auf Ethernet, Und klicken Sie auf Eigenschaften im Vergleich unter Aktivität
4. Doppelklicken Sie auf Internetprotokoll Version 4 (IPv4)
5. Ändern Sie nur die DNS-Serveradresseund geben Sie die private IPv4 von DC01 an

6. Geben Sie für alternatives DNS 8.8.8.8 oder einen anderen gewünschten öffentlichen DNS-Dienst an.

   

7. Klicken Sie auf OK und starten Sie die VM über das Portal neu.
8. Melden Sie sich nach dem Neustart als lokaler Benutzer bei DC01 an
9. Klicken Sie auf Start, Typ sysdm.cpl , und drücke ENTER
10. PC-Name ändern in DC01und Jetzt neu starten wenn Sie dazu aufgefordert werden.

Installieren von Active Directory-Domänendiensten und Hinzufügen einer neuen Gesamtstruktur

1. Öffne Server-ManagerKlicken Sie dazu auf das Server-Manager-Symbol in der Symbolleiste oder klicken Sie auf Start, dann klick Server-Manager.
2. Klicken Sie auf Verwalten, Und klicken Sie auf Rollen und Funktionen hinzufügen
3. Bevor Sie beginnen, klicken Sie auf Weiter
4. Klicken Sie unter Installationstyp auf Weiter
5. Klicken Sie bei der Serverauswahl auf Weiter
6. Wählen Sie unter Serverrollen Active Directory-Domänendienste, klicken Funktionen hinzufügen, Und klicken Sie auf Weiter
7. Klicken Sie unter „Funktionen“ auf Weiter
8. Klicken Sie in AD DS auf Weiter
9. Klicken Sie bei der Bestätigung auf Installieren.

10. Nach der Installation entweder

    1. Klicken Sie auf Stufen Sie diesen Server zu einem Domänencontroller herauf im Assistenten „Rollen und Features hinzufügen“

       

    2. Oder klicken Sie auf Stufen Sie diesen Server zu einem Domänencontroller herauf zu Konfigurationen nach der Bereitstellung in Benachrichtigungen

       

11. Wählen Sie in der Bereitstellungskonfiguration die Option „Neue Gesamtstruktur hinzufügen“ und geben Sie den Stammdomänennamen („encon.com“) an.

    

12. Geben Sie in den Domänencontrolleroptionen das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus ein und klicken Sie auf Weiter
13. Klicken Sie unter DNS-Optionen auf Weiter
14. Klicken Sie unter „Zusätzliche Optionen“ auf Weiter
15. Klicken Sie unter Pfade auf Weiter
16. Klicken Sie unter „Überprüfungsoptionen“ auf Weiter
17. Klicken Sie unter „Voraussetzungen prüfen“ auf Installieren
18. Nach der Installation wird die Remote-Verbindung beendet.

19. Melden Sie sich bei DC01 als encon\ an

    

20. DC01 ist jetzt bereit

Erstellen einer Offline-Stammzertifizierungsstelle

Die eigenständige Offline-Stammzertifizierungsstelle sollte nicht in der Domäne installiert sein. Sie sollte nicht einmal mit einem Netzwerk verbunden sein.

Wir werden diese Stammzertifizierungsstelle vor Ort erstellen. Ich werde dies auf Proxmox erstellen, Sie können für diese Installation aber auch VMware oder VirtualBox verwenden.

Führen Sie nach der Installation von Windows Server 2019 die folgenden Schritte aus

1. Melden Sie sich bei CA01 als CA01\Administrator an.
2. Klicken Sie auf „Start“, dann auf „Ausführen“, geben Sie dann im Editor „C:\Windows\CAPolicy.inf“ ein und drücken Sie die EINGABETASTE.
3. Wenn Sie aufgefordert werden, eine neue Datei zu erstellen, klicken Sie auf „Ja“.

4. Geben Sie Folgendes als Inhalt der Datei ein.

   [Version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 ; empfohlen 4096 RenewalValidityPeriod=Jahre RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

5. Klicken Sie auf Datei und Speichern, um die Datei CAPolicy.inf im Verzeichnis C:\Windows zu speichern. Schließen Sie den Editor

Installieren der Offline-Stammzertifizierungsstelle

1. Melden Sie sich bei CA01 als CA01\Administrator an.
2. Klicken Sie auf Start, Und klicken Sie auf Server-Manager.
3. Klicken Sie auf Verwalten, Und klicken Sie auf Rollen und Funktionen hinzufügen
4. Klicken Sie auf der Seite „Bevor Sie beginnen“ auf Weiter.
5. Wählen Sie auf der Seite „Serverrollen auswählen“ Active Directory Certificate Services, Und klicken Sie auf Weiter.
6. Klicken Sie auf der Seite Einführung in Active Directory-Zertifikatdienste auf Weiter.
7. Stellen Sie auf der Seite „Rollendienste auswählen“ sicher, dass Zertifizierungsstelle ausgewählt ist, dann Weiter.
8. Stellen Sie auf der Seite Setup-Typ angeben sicher, dass Standalone ausgewählt ist, und klicken Sie dann auf Weiter.
9. Stellen Sie auf der Seite „CA-Typ angeben“ sicher, dass Stammzertifizierungsstelle ausgewählt ist, und klicken Sie dann auf Weiter.
10. Stellen Sie auf der Seite „Privaten Schlüssel einrichten“ sicher, dass Einen neuen privaten Schlüssel erstellen ausgewählt ist, und klicken Sie dann auf Weiter.
11. Behalten Sie die Standardeinstellungen auf der Seite „Kryptografie für CA konfigurieren“ bei und klicken Sie auf Weiter.
12. Löschen Sie auf der Seite „CA-Name konfigurieren“ unter „Allgemeiner Name für diese CA“ den vorhandenen Eintrag und geben Sie „Encon Root CA“ ein. Klicken Sie auf Weiter.
13. Löschen Sie auf der Seite Gültigkeitsdauer festlegen unter Gültigkeitsdauer für das für diese Zertifizierungsstelle generierte Zertifikat auswählen den vorhandenen Eintrag und geben Sie 20 ein. Belassen Sie das Auswahlfeld auf Jahre. Klicken Sie auf Weiter.
14. Behalten Sie die Standardeinstellungen auf der Seite „Zertifikatdatenbank konfigurieren“ bei und klicken Sie auf „Weiter“.
15. Überprüfen Sie die Einstellungen auf der Seite Installationsauswahl bestätigen und klicken Sie dann auf Installieren.
16. Überprüfen Sie die Informationen auf der Seite „Installationsergebnisse“, um sicherzustellen, dass die Installation erfolgreich war, und klicken Sie auf „Schließen“.

Konfiguration nach der Installation auf der Stammzertifizierungsstelle

1. Stellen Sie sicher, dass Sie angemeldet sind bei CA01 as CA01\Administrator.
2. Öffnen Sie eine Eingabeaufforderung. Klicken Sie dazu auf Start, klicken Führen Sie, Typ cmd und klicken Sie dann auf OK.

3. Um den Distinguished Name der Active Directory-Konfigurationspartition zu definieren, führen Sie den folgenden Befehl von einer administrativen Eingabeaufforderung aus

   Certutil -setreg CA\DSConfigDN "CN=Configuration,DC=Encon,DC=com"

4. Definieren CRL-Periodeneinheiten und CRL-Zeitraumführen Sie die folgenden Befehle von einer administrativen Eingabeaufforderung aus:

   1. Certutil -setreg CA\CRLPeriodUnits 52
   2. Certutil -setreg CA\CRLPeriod "Weeks"
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 0

5. Definieren Einheiten der CRL-Überlappungsperiode und CRL-Überlappungszeitraumführen Sie die folgenden Befehle von einer administrativen Eingabeaufforderung aus:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod "Hours"

6. Definieren Gültigkeitsdauer Einheiten Geben Sie für alle von dieser Zertifizierungsstelle ausgestellten Zertifikate den folgenden Befehl ein und drücken Sie die Eingabetaste. In diesem Labor sollte die Enterprise Issuing CA eine Gültigkeitsdauer von 20 Jahren für ihr CA-Zertifikat erhalten. Führen Sie dazu die folgenden Befehle in einer administrativen Eingabeaufforderung aus:

   1. Certutil -setreg CA\ValidityPeriodUnits 20
   2. Certutil -setreg CA\ValidityPeriod "Years"

Konfiguration von CDP- und AIA-Punkten

Die Standorte des Authority Information Access (AIA) und des Verteilungspunkts für Zertifikatsperrlisten (CDP) lassen sich auf verschiedene Weise konfigurieren. Der AIA verweist auf den öffentlichen Schlüssel der Zertifizierungsstelle (CA). Sie können die Benutzeroberfläche (in den Eigenschaften des CA-Objekts), certutil oder die Registrierung direkt bearbeiten. Der CDP ist der Ort, an dem die Zertifikatsperrliste verwaltet wird, sodass Clientcomputer feststellen können, ob ein Zertifikat gesperrt wurde. In diesem Labor gibt es drei Standorte für den AIA und vier Standorte für den CDP.

Konfigurieren von AIA-Punkten

Der Befehl „certutil“ ist eine schnelle und gängige Methode zum Konfigurieren des AIA. Der Befehl „certutil“ zum Einrichten des AIA ändert die Registrierung. Führen Sie den Befehl daher unbedingt in einer Eingabeaufforderung als Administrator aus. Mit dem folgenden Befehl „certutil“ konfigurieren Sie einen statischen Dateisystemspeicherort, einen HTTP-Speicherort für den AIA und einen LDAP-Speicherort (Lightweight Directory Access Path). Führen Sie den folgenden Befehl aus:

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Hinweis: Sie müssen die HTTP-Adresse am AIA-Standort ändern. Für dieses Szenario lautete unsere HTTP-Containeradresse http://pkitest.encryptionconsulting.com/pkitest/, die bei Ihnen unterschiedlich sein können.

Konfigurieren der CDP-Punkte

Der Befehl certutil zum Festlegen des CDP ändert die Registrierung. Stellen Sie daher sicher, dass Sie den Befehl von einem Befehl ausführen

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/%3%8%9.crl \n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Hinweis: Sie müssen die HTTP-Adresse am CDP-Standort ändern. Für dieses Szenario lautete unsere HTTP-Containeradresse http://pkitest.encryptionconsulting.com/pkitest/, die bei Ihnen unterschiedlich sein können.

Führen Sie an einer administrativen Eingabeaufforderung die folgenden Befehle aus, um die Active Directory-Zertifikatdienste neu zu starten und die CRL zu veröffentlichen

net stop certsvc && net start certsvc

certutil -crl

Ausstellende CA erstellen

Unternehmenszertifizierungsstellen müssen der Domäne beitreten. Bevor Sie die ausstellende Unternehmenszertifizierungsstelle (CA02) installieren, müssen Sie den Server zunächst der Domäne beitreten lassen. Anschließend können Sie den Rollendienst „Zertifizierungsstelle“ auf dem Server installieren.

Zunächst stellen wir eine VM in Azure bereit. Stellen Sie sicher, dass beide IPs statisch sind.

Stellen Sie bei der Bereitstellung sicher,

1. VMs werden im selben virtuellen Netzwerk bereitgestellt
2. Bei Einsatz auf dem gleiche Region, stellen Sie sicher, dass das Subnetz dasselbe ist

3. Die öffentliche IP-Adresse ist statisch

   

4. Sobald die VM erstellt ist, navigieren Sie zu Networking unter Einstellungen und klicken Sie auf die Netzwerkschnittstelle



1. Navigieren Sie unter Einstellungen zu IP-Konfiguration

2. Klicken Sie im Menü auf ipconfig1 und ändern Sie die privaten IP-Einstellungen von Dynamisch auf Statisch

   

3. Klicken Sie auf Speichern und kehren Sie zur VM zurück

Geben Sie je nach Bedarf weitere Parameter an und erstellen Sie die VM.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Netzwerk konfigurieren

1. Melden Sie sich als lokaler Benutzer bei CA02 an
2. Klicken Sie auf Start, Typ ncpa.cpl, und drücke ENTER
3. Klicken Sie auf Ethernet, Und klicken Sie auf Eigenschaften im Vergleich unter Aktivität
4. Doppelklicken Sie auf Internetprotokoll Version 4 (IPv4)

5. Ändern Sie nur die DNS-Serveradresse, und geben Sie die private IPv4 von DC01 an (wenn beide zur selben Region gehören) oder geben Sie die öffentliche IP-Adresse von DC01 an (wenn sie zu verschiedenen Regionen gehören).

   

6. Klicken Sie auf OK und starten Sie die VM über das Portal neu.
7. Melden Sie sich nach dem Neustart als lokaler Benutzer bei CA02 an
8. Klicken Sie auf Start, Typ sysdm.cpl, und drücke ENTER

9. PC-Name ändern in CA02 und geben Sie den Domänennamen in der Domäne an. Geben Sie die Anmeldeinformationen für DC01 ein und warten Sie, bis Sie eine Erfolgsmeldung erhalten

   

10. Klicken Sie auf Jetzt neu starten wenn Sie dazu aufgefordert werden.

Erstellen einer CAPolicy in der ausstellenden CA

1. Melden Sie sich bei CA01 als CA01\Administrator an.
2. Klicken Sie auf „Start“, dann auf „Ausführen“, geben Sie dann im Editor „C:\Windows\CAPolicy.inf“ ein und drücken Sie die EINGABETASTE.
3. Wenn Sie aufgefordert werden, eine neue Datei zu erstellen, klicken Sie auf „Ja“.

4. Geben Sie Folgendes als Inhalt der Datei ein.

   [Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID= 1.2.3.4.1455.67.89.5 URL= http://pkitest.encryptionconsulting.com/pkitest/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Jahre RenewalValidityPeriodUnits=10 LoadDefaultTemplates=0
   

5. Klicken Sie auf Datei und Speichern, um die Datei CAPolicy.inf im Verzeichnis C:\Windows zu speichern. Schließen Sie den Editor

Veröffentlichen von Root-CA-Zertifikaten und CRLs in CA02

1. Melden Sie sich als lokaler Administrator bei CA01 an
2. Navigieren Sie zu C:\Windows\System32\CertSrv\CertEnroll

3. Kopieren Sie die vorhandenen CRLs und Zertifikate

   

4. Fügen Sie die Dateien in das Laufwerk C in CA02 ein

   Hinweis: Wenn Sie RDP verwenden, können Sie direkt kopieren und einfügen

   

5. Um das Encon Root CA-Zertifikat und die CRL in Active Directory zu veröffentlichen, führen Sie auf CA02 die folgenden Befehle in einer administrativen Eingabeaufforderung aus.

           certutil -f -dspublish "C:\CA01_Encon Root CA.crt" RootCA certutil -f -dspublish "C:\Encon Root CA.crl" CA01
       

6. Um das Fabrikam-Stammzertifizierungsstellenzertifikat und die CRL im lokalen Speicher CA02.Fabrikam.com hinzuzufügen, führen Sie den folgenden Befehl in einer administrativen Eingabeaufforderung aus.

       certutil -addstore -f root "C:\CA01_Encon Root CA.crt" certutil -addstore -f root "C:\Encon Root CA.crl"
       

Installieren der ausstellenden Zertifizierungsstelle

1. Stellen Sie sicher, dass Sie als Encon-Benutzer in CA02 angemeldet sind

2. Klicken Sie auf  Startund klicken Sie dann auf Server-Manager

3. Klicken Sie auf Verwalten, Und klicken Sie auf Rollen und Funktionen hinzufügen

4. Klicken Sie auf Weiter on Bevor Sie beginnen

   

5. Klicken Sie unter Installationstyp auf Weiter

   

6. On Serverauswahl, klicken Weiter

   

7. On Serverrollen, wählen Active Directory-Zertifikatdienste, Klicken Sie auf Funktionen hinzufügen und klicken Sie auf Weiter

   

8. On Eigenschaften, klicken Weiter

   

9. Klicken Sie in AD CS auf Weiter.

   

10. On RollendiensteWählen Sie Webregistrierung bei der Zertifizierungsstelle, klicke auf Funktionen hinzufügen und klicken Sie auf Weiter

    

11. Klicken Sie unter Webserverrolle (IIS) und Rollendienste auf Weiter

    

12. Klicken Sie bei der Bestätigung auf Installieren

    

Konfiguration der ausstellenden CA

1. Nach der Installation entweder

   1. Klicken Sie auf Konfigurieren der Active Directory-Zertifikatdienste auf dem Zielserver im Assistent „Rollen und Features hinzufügen“

      

   2. Oder klicken Sie auf Konfigurieren der Active Directory-Zertifikatdienste im Benachrichtigungscenter

      

2. Klicken Sie unter Anmeldeinformationen auf Weiter

   

3. Wählen Sie unter Rollendienste beide Zertifizierungsstelle und auch die Webregistrierung bei der Zertifizierungsstelle

   

4. On Setup-Typ, dafür sorgen Unternehmenszertifizierungsstelle ausgewählt ist, und klicken Sie auf Weiter

   

5. Wählen Sie unter CA-Typ die Option Untergeordnete CA aus und klicken Sie auf Weiter

   

6. Wählen Sie unter „Privater Schlüssel“ Einen neuen privaten Schlüssel erstellen

   

7. Belassen Sie bei Kryptografie die Standardeinstellungen und klicken Sie auf Weiter

   

8. Geben Sie unter CA-Name den allgemeinen Namen als Encon ausstellende CA und belassen Sie den Standardwert für alles.

   

9. Stellen Sie bei der Zertifikatsanforderung sicher, dass die Option „Zertifikatsanforderung in Datei speichern“ ausgewählt ist, und klicken Sie auf Weiter

   

10. Klicken Sie in der Zertifikatsdatenbank auf Weiter

    

11. Klicken Sie nach der Überprüfung auf „Bestätigen“. Einrichtung

    

12. Die ausstellende Zertifizierungsstelle sollte jetzt konfiguriert sein. Klicken Sie auf Schließen.

    

13. Nachdem die ausstellende Zertifizierungsstelle konfiguriert wurde, wird auf dem Laufwerk C eine Datei angezeigt. Kopieren Sie diese Datei auf das Laufwerk C der Stammzertifizierungsstelle.

    

Encon Issuing CA-Zertifikat ausstellen

1. Kopieren Sie die Anforderungsdatei der ausstellenden Zertifizierungsstelle auf das C-Laufwerk der Stammzertifizierungsstelle
2. Öffnen Sie die Eingabeaufforderung

3. Führen Sie den Befehl aus

   certreq -submit "C:\CA02.encon.com_encon-CA02-CA.req"

4. Wählen Sie die Stammzertifizierungsstelle aus der Liste der Zertifizierungsstellen aus.

   

5. Sobald eine Anfrage übermittelt wurde, erhalten Sie eine RequestID

   

6. Öffne Zertifizierungsstelle aus Tools im Server-Manager

   

7. Navigieren Sie zu Ausstehende Anfragen

   

8. Klicken Sie mit der rechten Maustaste auf die RequestID, die Sie beim Senden der Anfrage erhalten haben, klicken Sie auf Alle Aufgaben und dann auf Problem

   

9. Navigieren Sie nach der Ausgabe erneut zur Eingabeaufforderung und führen Sie

   certreq -retrieve 2 "C:\CA02.encon.com_Encon Issuing CA.crt"

10. Wählen Sie die Stammzertifizierungsstelle aus der Liste der Zertifizierungsstellen aus.

    

11. Nach dem Abruf wird die Erfolgsmeldung angezeigt

    

12. Kopieren Sie das ausgestellte Zertifikat von der Stammzertifizierungsstelle nach CA02

    

13. Melden Sie sich als Encon-Benutzer bei CA02 an und kopieren Sie das Zertifikat auf das Laufwerk C

14. Öffne Zertifizierungsstelle aus Tools im Server-Manager

    

15. Klicken Sie mit der rechten Maustaste auf Encon Issuing CA, klicken Sie auf Alle Aufgaben und dann auf CA-Zertifikat installieren

    

16. Navigieren Sie zum Laufwerk C und wählen Sie Alle Dateien neben Dateiname, bis das kopierte Zertifikat sichtbar ist

    

17. Wählen Sie das ausgestellte Zertifikat aus und klicken Sie auf Öffne

    Klicken Sie mit der rechten Maustaste auf Encon Issuing CA, klicken Sie auf Alle Aufgaben und dann auf Dienst starten

    

Konfiguration nach der Installation auf der ausstellenden Zertifizierungsstelle

1. Stellen Sie sicher, dass Sie angemeldet sind bei CA02 as Encon-Benutzer
2. Öffnen Sie eine Eingabeaufforderung. Klicken Sie dazu auf Start, klicken Führen Sie, Typ cmd und dann auf OK klicken.

3. Definieren CRL-Periodeneinheiten und CRL-Zeitraumführen Sie die folgenden Befehle von einer administrativen Eingabeaufforderung aus:

   1. Certutil -setreg CA\CRLPeriodUnits 1
   2. Certutil -setreg CA\CRLPeriod „Wochen“
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 1
   4. Certutil -setreg CA\CRLDeltaPeriod „Tage“

4. Definieren Einheiten der CRL-Überlappungsperiode und CRL-Überlappungszeitraumführen Sie die folgenden Befehle von einer administrativen Eingabeaufforderung aus:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod „Stunden“

5. Definieren Gültigkeitsdauer Einheiten Geben Sie für alle von dieser Zertifizierungsstelle ausgestellten Zertifikate den folgenden Befehl ein und drücken Sie die Eingabetaste. In diesem Labor sollte die Enterprise Issuing CA eine Gültigkeitsdauer von 20 Jahren für ihr CA-Zertifikat erhalten. Führen Sie dazu die folgenden Befehle in einer administrativen Eingabeaufforderung aus:

   1. Certutil -setreg CA\ValidityPeriodUnits 5
   2. Certutil -setreg CA\ValidityPeriod „Jahre“

Konfiguration von CDP- und AIA-Punkten

Es gibt mehrere Methoden zum Konfigurieren der Standorte für den Zugriff auf Autoritätsinformationen (AIA) und die Verteilungspunkte für Zertifikatsperrlisten (CDP). Der AIA verweist auf den öffentlichen Schlüssel der Zertifizierungsstelle (CA). Sie können die Benutzeroberfläche (in den Eigenschaften des CA-Objekts), certutil oder die Registrierung direkt bearbeiten.

Im CDP wird die Zertifikatsperrliste verwaltet, anhand derer Clientcomputer feststellen können, ob ein Zertifikat widerrufen wurde. In diesem Labor gibt es drei Standorte für die AIA und drei für das CDP.

Konfigurieren von AIA-Punkten

Der Befehl „certutil“ ist eine schnelle und gängige Methode zum Konfigurieren der AIA. Der Befehl „certutil“ zum Einrichten der AIA ändert die Registrierung. Führen Sie den Befehl daher unbedingt von einer Eingabeaufforderung aus als Administrator aus.

Wenn Sie den folgenden certutil-Befehl ausführen, konfigurieren Sie einen statischen Dateisystemspeicherort, einen HTTP-Speicherort für die AIA und einen LDAP-Speicherort (Lightweight Directory Access Path). Führen Sie den folgenden Befehl aus:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11”

Hinweis: Sie müssen die HTTP-Adresse am AIA-Standort ändern. Für dieses Szenario lautete unsere HTTP-Containeradresse http://pkitest.encryptionconsulting.com/pkitest/, die bei Ihnen unterschiedlich sein können.

Konfigurieren der CDP-Punkte

Der Befehl certutil zum Festlegen des CDP ändert die Registrierung. Stellen Sie daher sicher, dass Sie den Befehl von einem Befehl ausführen

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/CertEnroll/%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10”

Hinweis: Sie müssen die HTTP-Adresse am CDP-Standort ändern. Für dieses Szenario lautete unsere HTTP-Containeradresse http://pkitest.encryptionconsulting.com/pkitest/, die bei Ihnen unterschiedlich sein können.

Außerdem befindet sich der Ordner „CertEnroll“ gemäß CDP-Punkt im pkitest-Container in Azure Blob. Dies liegt daran, dass der Ordner rekursiv aus dem Ordner „CertSrv“ in den Blob-Speicher kopiert wird.

Führen Sie an einer administrativen Eingabeaufforderung die folgenden Befehle aus, um die Active Directory-Zertifikatdienste neu zu starten und die CRL zu veröffentlichen

net stop certsvc & &net start certsvc

certutil -crl

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Hochladen von Zertifikaten und CRLs in den Blob-Speicher

Gemäß unseren CDP- und AIA-Punkten wären die Zertifikate im Blob-Speicher in Azure verfügbar. Wenn wir PKIView.msc bei der ausstellenden Zertifizierungsstelle ausführen, treten Fehler auf, bei denen die Zertifikate oder CRLs nicht gefunden werden.



Um dieses Problem zu lösen, müssen wir hochladen

• Stammzertifizierungsstellenzertifikate
• Stammzertifizierungsstellen-CRL
• Ausstellen von CA-Zertifikaten

Ausstellende CA-CRLs werden mithilfe eines Skripts hochgeladen, das wir als Nächstes ausführen.

Um die Dateien hochzuladen, kopieren Sie sie von den jeweiligen Computern und halten Sie sie auf Ihrem Hostcomputer bereit. Sie finden diese Dateien unter C:\Windows\System32\certsrv\CertEnroll sowohl auf der Stammzertifizierungsstelle als auch auf der ausstellenden Zertifizierungsstelle.

Hinweis: Kopieren Sie nicht die CRLs der ausstellenden Zertifizierungsstelle.



Führen Sie nach dem Kopieren die folgenden Schritte aus

1. Navigieren Sie zum Speicherkonto und klicken Sie auf den von Ihnen erstellten Pkitest.

   

2. Klicken Sie auf Behälter unter Datenspeicherung

   

3. Klicken Sie auf den Ordner pkitest

4. Klicken Sie auf Hochladen oben links

   

5. Klicken Sie auf das Durchsuchen-Symbol, wählen Sie alle Dateien aus, die hochgeladen werden sollen, und klicken Sie auf Öffnen

   

6. Aktivieren Sie „Überschreiben“, wenn bereits Dateien vorhanden sind, und klicken Sie dann auf „Hochladen“.

   

7. Nach dem Hochladen sollten alle Dateien verfügbar sein

   

Sobald die Dateien hochgeladen sind, navigieren Sie zu CA02 und öffnen Sie PKIView.msc erneut. Jetzt sollten die CDP-Punkte der Root- und Issuing-CA verfügbar sein, aber der AIA-Punkt würde weiterhin einen Fehler anzeigen, da wir diese Dateien nicht in den pkitest-Ordner kopiert haben.



Skript zum Kopieren ausstellender CA-CRLs

Bevor wir beginnen, müssen wir herunterladen AzCopyNach dem Download extrahieren Sie die App nach C:\, um sie zugänglich zu machen. Wir werden diesen Speicherort in unserem Skript verwenden. Ändern Sie den Pfad des Skripts, wenn Sie die Anwendung an einem anderen Ort speichern möchten.



Nun benötigen Sie einen Ordner zum Speichern des Codes. Ich empfehle, einen Ordner auf Laufwerk C: mit dem Namen AZCopyCode zu erstellen. Laden Sie das unten stehende Skript herunter und speichern Sie es dort. Wir müssen einige Änderungen vornehmen, damit es funktioniert.

Hinweis: Dieser Code wurde ursprünglich erstellt von dstreefkerk. Gemäß Windows Server 2022 funktioniert dieser Code. Ich habe einige Änderungen vorgenommen und ein paar Fehler behoben.

Code: https://github.com/Encryption-Consulting-LLC/AzCopyCode/blob/main/Invoke-UpdateAzureBlobPKIStorage.ps1

Einzubettendes Github Gist:

<script src=”https://gist.github.com/coffee-coded/4cbeb0de02628bc2da6b182dc11bad0b.js”></script>

Codeänderungen

1. Navigieren Sie zum Speicherkonto und klicken Sie auf den von Ihnen erstellten Pkitest.

   

2. Klicken Sie auf Behälter unter Datenspeicherung

   

3. Klicken Sie auf den Ordner pkitest

4. Klicken Sie unter „Einstellungen“ auf „Shared Access Token“. Geben Sie die entsprechenden Berechtigungen ein und wählen Sie ein Ablaufdatum (vorzugsweise ein Jahr).

   

5. Klicken Sie auf „SAS-Token generieren“ und kopieren Sie das Blob-SAS-Token
6. Öffnen Sie den Code im Editor oder Ihrem bevorzugten Code-Editor

7. Fügen Sie das SAS-Token für die Variable ein

   $azCopyDestinationSASKey

8. Navigieren Sie zu den Eigenschaften unter „Einstellungen“, kopieren Sie die URL und fügen Sie sie für „$azCopyDestination“ ein.
9. Ändern Sie gegebenenfalls die Speicherorte von Protokollen und Protokollarchiven.
10. Ändern Sie den AzCopy-Speicherort in $azCopyBinaryPath, wenn Sie AzCopy an einem anderen Speicherort gespeichert haben.
11. Sobald Änderungen vorgenommen wurden, speichern Sie sie in C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1
12. Öffnen Sie Powershell in CA02
13. Navigieren Sie zu C:\AZCopyCode
14. Führen Sie „Invoke-UpdateAzureBlobPKIStorage.ps1“ aus.

15. Nach dem Kopieren wird angezeigt, wie viele Dateien kopiert wurden, mit 100 % und alle fertig mit 0 Fehlgeschlagen

    

16. Öffnen Sie PKIView.msc, und jetzt sollten keine Fehler mehr sichtbar sein

    

17. Die gesamte PKI sollte fehlerfrei sein.

    

Problemlösung

Für dieses Szenario gehen wir davon aus, dass Sie einen Fehler erhalten



Kopieren Sie die URL, indem Sie mit der rechten Maustaste auf den Speicherort klicken und ihn in einen Notizblock kopieren. Es sollte ungefähr so ​​aussehen

http://pkitest.encryptionconsulting.com/pkitest/Encon%20Root%20CA.crl%20

Wenn Sie versuchen, dies im Browser zu öffnen, wird weiterhin ein Fehler angezeigt, da am Ende ein „%20“ steht, was auf ein Leerzeichen am Ende hinweist. Um dieses Problem zu beheben, müssen CDP- und AIA-Punkte auf der Stammzertifizierungsstelle geändert und die ausstellende Zertifizierungsstelle neu erstellt werden.

Automatisieren des Skripts

Wir würden dieses Skript mithilfe des Taskplaners automatisieren, sodass es jede Woche ausgeführt wird. Sie können es Ihren Anforderungen entsprechend anpassen.

1. Öffnen Sie den Taskplaner

2. Klicken Sie mit der linken Maustaste auf Taskplaner (lokal) und klicken Sie auf Einfache Aufgabe erstellen

   

3. Geben Sie einen Namen und eine Beschreibung für die Aufgabe ein

   

4. Der Task-Trigger ist auf wöchentlich konfiguriert

   

5. Wählen Sie Datum und Uhrzeit für die Ausführung des Skripts aus

   

6. Wählen Sie unter Aktion die Option „Programm starten“ und klicken Sie auf „Weiter“.

   

7. Unter Start ein Programm, in Programm/Skript schreiben

   powershell -file "C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1"

   

8. Klicken Sie in der Eingabeaufforderung auf „Ja“

   

9. Überprüfen Sie das Dialogfeld „Eigenschaften öffnen“ und klicken Sie auf „Fertig stellen“.

   

10. Nach Abschluss sollte AZ Copy in der Taskplanerbibliothek verfügbar sein.

    

11. Klicken Sie mit der rechten Maustaste auf „AZ Copy“ und klicken Sie auf „Ausführen“.

12. Aktualisieren Sie die Registerkarte „Verlauf“ und überprüfen Sie sie. „Aktion abgeschlossen“ sollte im Verlauf angezeigt werden.

    

Fazit

Damit ist unsere AD CS-Installation mit Azure Blob Storage abgeschlossen. Die Verwaltung ist einfacher, und wir erreichen mit Azure Blob Storage auch eine hohe Verfügbarkeit. Dies hilft Unternehmen, eine PKI zu erstellen, die weltweit mit minimaler Latenz und hoher Leistung einsatzbereit ist, egal wo sie sich befinden. Bei Problemen wenden Sie sich bitte an info@encryptionconsulting.com