Microsoft Active Directory Certificate Services (AD CS) mit CDP/AIA auf Amazon Web Services

Bereitstellen eines Active Directory-Zertifikatdienstes ist eine einfache Möglichkeit für Unternehmen, ihre PKI-Infrastruktur aufzubauen. Aber es hat seine Nachteile, wie zum Beispiel

• Fehlende Bereitstellung in mehreren Regionen
• Hohe Latenz an CDP- und AIA-Punkten

In diesem Artikel zeigen wir Ihnen, wie Sie Ihre eigene PKI-Architektur erstellen, während Sie Ihre CDP/AIA-Punkte auf AWS hosten.

Hinweis: Wenn Sie zum ersten Mal eine PKI einsetzen, empfehle ich Ihnen, ADCS-Bereitstellung mit zweistufiger PKI-Hierarchie da es ein direkterer Ansatz ist und auch die Grundlagen berührt.

Voraussetzungen:

• Ein AWS-Konto, in dem wir einen S3-Bucket erstellen.
• Ein benutzerdefinierter Domainname
• Eine Offline-Windows-Server-VM, die unsere Stammzertifizierungsstelle sein wird

[HINWEIS: Dies ist ein Testszenario. Daher entsprechen CDP- und AIA-Punkte möglicherweise nicht Ihren Anforderungen. Verwenden Sie Werte, die Ihren Anforderungen entsprechen.]

Vorbereiten von CDP- und AIA-Punkten

Wir werden einen S3-Bucket erstellen, der als unsere CDP/AIA-Punkte für unsere PKI Infrastruktur. Wir werden es auch mit unserer benutzerdefinierten Domäne verknüpfen, um es zu unserem AWS umzuleiten.

Erstellen eines Amazon S3 Buckets

1. Zuerst müssen wir Einloggen zu Amazon Web Services und navigieren Sie zu Amazon S3.
2. Dann auf die rechte Seite der Scheibe, sofort klicken on Neues Bucket.
   1. Geben Sie im Bucket-Namen Ihren benutzerdefinierten Domänennamen an (z. B. bucketname.encryptionconsulting.com).
3. Klicken Sie auf ACLs aktiviert.
4. Deaktivieren die öffentlicher Zugangsblock , sofort klicken auf die Bestätigungsfeld.
5. Stelle sicher alle verbleibenden Einstellungen muss ein sein Standard.
6. Öffnen Sie den Microsoft Store auf Ihrem Windows-PC Eimer > Unter Berechtigungen-> für Bucket-Richtlinie, Klicken Sie auf Schaltfläche Bearbeiten -> klicken Sie auf Richtliniengenerator
7. Wählen Sie unter „Richtlinientyp“ Folgendes aus: Wählen Sie „S3-Bucket-Richtlinie“ aus. Der Anweisung hinzufügen -> unter Hauptverwendung * -> Unter Aktion wählen Objekt abrufen -> Unter Amazon-Ressourcenname (ARN) Kopieren Bucket-ARN-URL von der Bucket-Richtlinie & hinzufügen /*am Ende ARN-URL im Amazon-Ressourcennamen (ARN). Klicken Sie auf Anweisung hinzufügen.
8. Klicken Sie auf Richtlinie generieren.
9. Kopieren den Text unter der Datenschutzrichtlinien. Klicken Sie auf Änderungen speichern.
10. Der Eimer -> rechte Seite des Fensters, sofort klicken on Hochladen. Es könnte ein PNG-/PDF-/Word-Dokument zum Testen sein.
11. Öffne die Testdatei. Kopiere das Objekt-URL und fügen Sie es in Chrome ein. Dann können Sie Ihre Datei sehen

AWS mit einer benutzerdefinierten Domäne binden

1. Navigieren Sie bei Verwendung von one.com oder einem ähnlichen Hosting-Dienst in den DNS-Einstellungen zu DNS-Einträge. Jetzt müssen wir die hostname für unser AWS-Konto. Wählen Sie Web-Alias -> Stellen Sie sicher, dass hostname muss unser Eimername -> Unter wird umgeleitet zu Fügen Sie die URL von die Testdatei & Entfernen Sie den Dateinamen aus der URL. Klicken Sie auf on Datensatz erstellen.
2. Jetzt können wir unsere Datei von unserer benutzerdefinierten Domäne abrufen. Geben Sie http://<hostname>/<file Namen > in chrom.
   1. Entfernen Sie unbedingt das s aus https:, um Probleme zu vermeiden.

Konfiguration von CDP- und AIA-Punkten auf der Stammzertifizierungsstelle

Führen Sie die folgenden Befehle in der Eingabeaufforderung der Stammzertifizierungsstelle aus

Führen Sie die folgenden Befehle aus, um Active Directory-Zertifikatdienste neu zu starten und die CRL zu veröffentlichen.

• net stop certsvc && net start certsvc
• certutil -crl

Veröffentlichen des Stamm-CA-Zertifikats und der CRL

1. Stellen Sie sicher, dass Sie bei unserer ausstellenden Zertifizierungsstelle als Enterprise-Administrator angemeldet sind. Kopieren Stammzertifizierungsstellenzertifikat , Stammzertifizierungsstellen-CRL Dateien von der C:\Windows\System32\CertSrv\CertEnroll Verzeichnis zur ausstellenden Zertifizierungsstelle.
2. Auf unserem Ausstellende Zertifizierungsstelleführen Sie die folgenden Befehle an einer administrativen Eingabeaufforderung aus, um das Stammzertifizierungsstellenzertifikat und die CRL in Active Directory zu veröffentlichen.
   • certutil -f -dspublish RootCA
   • certutil -f -dspublish
3. So fügen Stammzertifizierungsstellenzertifikat , CRL Führen Sie im Zertifikatspeicher unserer ausstellenden Zertifizierungsstelle den folgenden Befehl von einer administrativen Eingabeaufforderung aus.
   • certutil -addstore -f root
   • certutil -addstore -f root
4. Stellen Sie sicher, dass Sie angemeldet sind bei Ausstellende Zertifizierungsstelle als Enterprise-Admin. Klicken Sie mit der rechten Maustaste auf Ausstellende Zertifizierungsstelle, dann klicken Sie auf Zertifikat erneuern.
5. Kopieren Sie die REQ-Datei ab Ausstellende Zertifizierungsstelle zu Stammzertifizierungsstelle.

Senden Sie die Anfrage und stellen Sie das Encon Issuing CA-Zertifikat aus

1. Stellen Sie sicher, dass Sie angemeldet sind bei Stammzertifizierungsstelle als Administrator. Öffnen Sie auf der Stammzertifizierungsstelle eine administrative Eingabeaufforderung. Senden Sie dann die Anfrage mit dem folgenden Befehl. Im Zertifizierungsstelle Stellen Sie im Dialogfeld „Liste“ sicher, dass „Root CA“ ausgewählt ist, und klicken Sie dann auf „OK“.
2. Öffnen Sie den Microsoft Store auf Ihrem Windows-PC Zertifizierungsstellenkonsole. Im certsrv [Zertifizierungsstelle (Lokal)]: Erweitern Sie in der Konsolenstruktur „Stammzertifizierungsstelle“. Klicken Sie auf „Ausstehende Anforderungen“. Klicken Sie im Detailbereich mit der rechten Maustaste auf die gerade übermittelte Anforderung, klicken Sie auf „Alle Aufgaben“ und dann auf „Problem“.
3. Kehren Sie zur administrativen Eingabeaufforderung zurück, um das ausgestellte Zertifikat abzurufen, indem Sie den folgenden Befehl ausführen   certreq -retrieve 5 .crt.“

Installieren Sie das Encon Issuing CA-Zertifikat auf Issuing CA

1. Stellen Sie sicher, dass Sie angemeldet sind Ausstellende Zertifizierungsstelle als Enterprise-Administrator. Öffnen Sie die Zertifizierungsstellenkonsole. Klicken Sie in der Konsolenstruktur der Zertifizierungsstelle mit der rechten Maustaste auf Encon Issuing CA und dann auf Installieren Sie das CA-Zertifikat. Präsentation Alle Dateien (*. *) Und klicken Sie auf die Ausstellen eines CA-Zertifikats. Klicken Sie auf Öffnen. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste Encon ausstellende CA, klicken Alle Aufgaben, Und klicken Sie auf Dienst starten.

Konfiguration von CDP- und AIA-Punkten bei der ausstellenden Zertifizierungsstelle

Führen Sie die folgenden Befehle in der Eingabeaufforderung der Stammzertifizierungsstelle aus

Deaktivieren Sie Delta-CRLs mit diesem Befehl.

Führen Sie die folgenden Befehle aus, um die Active Directory-Zertifikatdienste neu zu starten und die CRL zu veröffentlichen.

Hochladen von Zertifikaten und CRLs

1. Zuerst müssen wir Einloggen zu Amazon Web Services und navigieren Sie zu EC2.
2. Klicken Sie auf der rechten Seite des Fensters auf Instanzen starten. Stellen Sie sicher, dass der Name global sein muss Unvergesslich und darf nicht enthalten Räume.
3. Betriebssystem sollte sein Amazon Linux 2 AMI (HVM)-Kernel 5.10 und SSD-Volume-Typ & Architektur muß 64-Bit (x86).
4. Instanztyp Bleibt das selbe.
5. Klicken Sie auf auf Erstellen neues Schlüsselpaar. Klicken Sie auf „Schlüsselpaar erstellen“. Achten Sie darauf, dass der Name global eindeutig ist und keine Leerzeichen enthält.
6. Stelle sicher alle verbleibenden Einstellungen muss standardmäßig sein. Auf der rechten Seite des Fensters sofort klicken on Instanzen starten.
7. Scrollen Sie etwas nach unten, dann sofort klicken on Alle Instanzen anzeigen.
8. Jetzt, Veränderung zu IAM. Auf der rechten Seite des Fensters sofort klicken on ICH BIN.
9. Der Dashboard -> Nutzer-> Benutzer hinzufügenDie maximale Länge eines Benutzernamens beträgt bis zu 64-Zeichen Klicken Sie auf Weiter.
10. Prüfen Sie die AWS-Verwaltungskonsolenbox. Klicken Sie auf Erstellen Sie einen IAM-Benutzer. Klicken Sie auf Weiter
11. Klicken Sie auf on Richtlinien direkt anhängen. Der Berechtigungsrichtlinien, Geben Sie in die Suchleiste ein s3 und überprüfen Sie die AmazonS3FullAccess-Feld. Klicken Sie auf Weiter.
12. Der Überprüfen und erstellen, Klicken Sie auf Erstellen Sie den Benutzer.
13. Der Passwort abrufen -> klicken Sie auf Zurück zur Benutzerliste
14. Auswählen die Benutzer wir konfiguriert haben -> Unter dem Benutzer, wählen Sicherheitsanmeldeinformationen.
15. Der Sicherheitsanmeldeinformationen -> auswählen Zugriffsschlüssel -> klicken Erstellen Sie einen Zugriffsschlüssel.
16. Auswählen Befehlszeilenschnittstelle (CLI). Stellen Sie sicher, sofort klicken auf die Bestätigungsfeld. Klicken Sie auf Weiter.
17. Die maximale Länge eines festgelegten Beschreibungs-Tags beträgt bis zu 256-Zeichen Klicken Sie auf Zugangsschlüssel erstellen.
18. Der Zugriffsschlüssel abrufen -> klicken Sie auf das CSV-Datei herunterladen.
19. Installieren AWS-Befehlszeilenschnittstelle. Doppelklicken Sie auf AWS CLI eingerichtet. Der neue Assistent wird geöffnet. Klicken Sie im Startbildschirm auf Weiter um fortzufahren.
20. Akzeptieren Sie dann im nächsten Fenster die Lizenzvereinbarung und klicken Sie auf Weiter fortfahren.
21. Klicken Sie auf Weiter.
22. Klicken Sie auf der nächsten Seite auf Installieren um das zu beginnen Installationsprozess.
23. Sobald ist abgeschlossen, klicken Sie auf Farbe.
24. Öffnen Sie die Eingabeaufforderung und führen Sie den folgenden Befehl aus, um die CRLs und CRT hochzuladen:
    • aws –version
    • aws konfigurieren.

    Hinweis: Notieren Sie die AWS-Zugriffsschlüssel, AWS-Geheimzugriffsschlüssel & Standardregionsname von der heruntergeladene CSV-Datei. Lassen Sie im Standardausgabeformat „Keines“ und drücken Sie die Eingabetaste.

25. Führen Sie den folgenden Befehl aus, um die CRLs und CRT hochzuladen:

    • aws s3 ls
    • aws s3 ls s3://eroot.encryptionconsulting.com
    Hinweis: eroot.encryptionconsulting.com ist unser Bucket-Name
26. Jetzt ist es an der Zeit, das Zertifikat und die CRLs von unserem System auf AWS hochzuladen, indem Sie den folgenden Befehl ausführen:
    • aws s3 sync C:\aws-s3 s3: \\eroot.encryptionconsuting.com
27.  Überprüfen Sie nun erfolgreich, ob wir das Zertifikat und die CRLs hochgeladen haben.
    • aws s3 ls s3://eroot.encryptionconsulting.com
    Hinweis: aws-s3 ist unser Ordnername und eroot.encryptionconsulting.com ist unser Bucket-Name.
28. Führen Sie jetzt die pkiview.msc Befehl ein Befehl, , wir erfolgreich eingesetzt unsere CDP/AIA Punkte an AWS. Hinweis: Dateien müssen möglicherweise umbenannt werden, damit CDP- und AIA-URLs funktionieren

Fazit

Damit ist unsere AD CS-Installation mit AWS Services abgeschlossen. Sie ist einfacher zu verwalten, und wir erreichen mit AWS auch eine hohe Verfügbarkeit. Dies hilft Unternehmen bei der Erstellung PKI das weltweit mit minimaler Latenz und hoher Leistung einsatzbereit ist, egal wo Sie sich befinden.