Microsoft Active Directory Certificate Services (AD CS) met CDP/AIA op Amazon Web Services

Implementatie van Active Directory-certificaatservices is een eenvoudige manier voor bedrijven om hun PKI-infrastructuur op te bouwen. Maar het heeft ook zijn tekortkomingen, zoals

• Gebrek aan implementatie in meerdere regio's
• Hoge latentie op CDP- en AIA-punten

In dit artikel laten we u zien hoe u uw eigen PKI-architectuur opzet terwijl u uw CDP/AIA-punten op AWS host.

Let op: als dit de eerste keer is dat u een PKI implementeert, raad ik u aan de volgende stappen te volgen: ADCS Two Tier PKI-hiërarchie-implementatie omdat het een eenvoudigere aanpak is en ook de basisprincipes raakt.

Voorwaarden

• Een AWS-account waar we een S3-bucket aanmaken.
• Een aangepaste domeinnaam
• Een offline Windows Server VM, die onze root-CA zal zijn

[LET OP: Dit is een testscenario. Hierdoor komen CDP- en AIA-punten mogelijk niet overeen met uw vereisten. Gebruik waarden die geschikt zijn voor uw vereisten.]

CDP- en AIA-punten voorbereiden

We zullen een S3-Bucket creëren die zal fungeren als onze CDP/AIA-punten voor onze PKI infrastructuur. We koppelen het ook aan ons aangepaste domein om het door te sturen naar onze AWS.

Amazon S3-bucket maken

1. Eerst moeten we dat doen Log in naar Amazon Web Services en navigeer naar Amazon S3.
2. dan op de rechterzijde van het paneel, Klik on Maak een bucket.
   1. Voeg in de bucketnaam uw aangepaste domeinnaam toe (bijv.:bucketname.encryptionconsulting.com)
3. Klik op ACL's ingeschakeld.
4. Haal het vinkje weg the openbaar toegangsblok en Klik aan de bevestigingsvakje.
5. Zorg ervoor alle resterende settings moet een zijn verzuim.
6. Open de emmer > Onder Machtigingen-> voor bucketbeleid, Klik op Knop Bewerken -> klik op Beleidsgenerator
7. Onder Selecteer beleidstype, Selecteer S3 Bucket-beleid. Onder Verklaring toevoegen -> onder hoofdgebruik * -> Onder Acties kiezen Object ophalen -> Onder Amazon-bronnaam (ARN) kopiëren Bucket ARN-URL aan de hand van de bucket-beleid & toevoegen /*aan het einde van ARN-URL in Amazon Resource Name (ARN). Klik op Verklaring toevoegen.
8. Klik op beleid genereren.
9. Kopiëren de tekst onder de beleidsmaatregelen. Klik op Wijzigingen opslaan.
10. Onder Emmer -> rechterkant van het paneel, Klik on UploadenHet kan een png/pdf/word-document zijn voor het testen.
11. Open het testbestand. Kopieer de object-URL en plak het in Chrome. Dan kun je je bestand zien

AWS koppelen aan een aangepast domein

1. Als u one.com of een vergelijkbare hostingdienst gebruikt, navigeert u in de DNS-instellingen naar DNS-records. Nu moeten we de hostname voor ons AWS-account. Selecteer Webalias -> Zorg ervoor dat hostname moet onze zijn bucket naam -> Onder zal doorverwijzen naar plak de URL van het testbestand & verwijder de bestandsnaam van de URL. Klik on Maak een record.
2. Nu kunnen we ons bestand ophalen van ons aangepaste domein. Type http://<hostname>/<file naam > in chroom.
   1. Zorg ervoor dat u de s uit https: verwijdert om problemen te voorkomen.

Configuratie van CDP- en AIA-punten op root-CA

Voer de volgende opdrachten uit op de opdrachtprompt van Root CA

Voer de volgende opdrachten uit om Active Directory Certificate Services opnieuw te starten en de CRL te publiceren.

• net stop certsvc && net start certsvc
• certutil -crl

Publiceer het root-CA-certificaat en de CRL

1. Zorg ervoor dat u bent aangemeld bij onze uitgevende CA als Enterprise Admin. Kopie Root CA-certificaat en Root CA CRL bestanden van de C:\Windows\System32\CertSrv\CertEnroll directory naar de uitgevende CA.
2. Op onze Uitgevende CAVoer de volgende opdrachten uit vanaf een administratieve opdrachtprompt om het root-CA-certificaat en de CRL in Active Directory te publiceren.
   • certutil -f -dspublish RootCA
   • certutil -f -dspublish
3. Toevoegen Root CA-certificaat en CRL Voer in het certificaatarchief van onze uitgevende CA de volgende opdracht uit vanaf een administratieve opdrachtprompt.
   • certutil -addstore -f root
   • certutil -addstore -f root
4. Zorg ervoor dat u bent aangemeld bij Uitgevende CA als Enterprise Admin. Klik met de rechtermuisknop op Uitgevende CA, klik dan op Certificaat vernieuwen.
5. Kopieer de REQ-bestand vanaf Uitgevende CA naar Hoofd-CA.

Dien het verzoek in en geef het Encon-uitgevende CA-certificaat uit

1. Zorg ervoor dat u bent aangemeld bij Root-CA als beheerder. Open op de root-CA een administratieve opdrachtprompt. Dien vervolgens de aanvraag in met de volgende opdracht. In de Certificeringsinstantie Zorg ervoor dat in het dialoogvenster Lijst Root CA is geselecteerd en klik vervolgens op OK.
2. Open de Console van certificeringsinstantie. In de certificaten [Certificeringsinstantie (lokaal)], vouw in de consolestructuur 'Root CA' uit. Klik op 'Aanvragen in behandeling'. Klik in het detailvenster met de rechtermuisknop op de aanvraag die u zojuist hebt ingediend, klik op 'Alle taken' en klik op 'Probleem'.
3. Ga terug naar de administratieve opdrachtprompt om het uitgegeven certificaat op te halen door de volgende opdracht uit te voeren   certreq -retrieve 5 .crt.”

Installeer het Encon Issuing CA-certificaat op de Issuing CA

1. Zorg ervoor dat u bent ingelogd Uitgevende CA Als Enterprise Admin. Open de console van de certificeringsinstantie. Klik in de consolestructuur van de certificeringsinstantie met de rechtermuisknop op Encon Issuing CA en klik vervolgens op CA-certificaat installeren. Scherm Alle bestanden (*. *) En klik op de knop Uitgifte van CA-certificaat. Klik op Openen. Klik met de rechtermuisknop in de consoleboom Encon-uitgevende CA, Klik Alle takenEn klik op Start de service.

Configuratie van CDP- en AIA-punten op uitgevende CA

Voer de volgende opdrachten uit op de opdrachtprompt van Root CA

Schakel delta-CRL's uit met deze opdracht.

Voer de volgende opdrachten uit om Active Directory Certificate Services opnieuw te starten en de CRL te publiceren.

Certificaten en CRL's uploaden

1. Eerst moeten we dat doen Log in naar Amazon Web Services en navigeer naar EC2.
2. Klik aan de rechterkant van het deelvenster op Start instantiesZorg ervoor dat de naam wereldwijd moet zijn unieke en mag niet bevatten ruimten.
3. Besturingssysteem moet Amazon Linux 2 AMI (HVM)-Kernal 5.10 en SSD-volumetype & Architectuur moet 64-bits (x86).
4. Instantietype blijft hetzelfde.
5. Klik op Maken nieuw sleutelpaar. Klik op 'Sleutelpaar aanmaken'. Zorg ervoor dat de naam wereldwijd uniek is en geen spaties bevat.
6. Zorg ervoor alle resterende settings moet standaard zijn. Aan de rechterkant van het deelvenster, Klik on Start instanties.
7. Scroll een beetje naar beneden en dan Klik on Bekijk alle exemplaren.
8. Nu, navigeren naar IAMAan de rechterkant van het paneel, Klik on IK BEN.
9. Onder dashboards -> Gebruikers-> Gebruikers toevoegenDe maximale lengte van een gebruikersnaam bedraagt: 64-tekens. Klik op Next.
10. Controleer de AWS-beheerconsolebox. Klik op maak een IAM-gebruiker aan. Klik op Volgende
11. Klik on Beleidsregels rechtstreeks koppelen. Onder Toestemmingsbeleid, typ in de zoekbalk s3 en controleer de AmazonS3FullAccess-box. Klik op Volgende.
12. Onder Beoordelen en creëren, Klik op de gebruiker aanmaken.
13. Onder Wachtwoord opvragen -> klik op terug naar gebruikerslijst
14. kies the gebruiker we hebben geconfigureerd -> Onder de gebruiker, kiezen Beveiligingsreferenties.
15. Onder Beveiligingsreferenties -> selecteer Toegangstoetsen -> klik een toegangssleutel aanmaken.
16. kies Command Line Interface (CLI). Zorg ervoor dat Klik aan de bevestigingsvakje. Klik op Next.
17. De maximale lengte van een set beschrijvingstag is: 256-tekens. Klik op Toegangssleutel maken.
18. Onder Toegangssleutels ophalen -> klik op de .csv-bestand downloaden.
19. Install AWS-opdrachtregelinterface. Dubbelklik op AWS CLI instellen. De nieuwe wizard wordt geopend. Klik in het beginscherm op Volgende te gaan.
20. Accepteer vervolgens in het volgende venster de licentieovereenkomst en klik Volgende verder gaan.
21. Klik op Volgende.
22. Klik op de volgende pagina op Install om te beginnen installatieproces.
23. Eens is voltooid, klik op Finish.
24. Open de opdrachtprompt en voer de volgende opdracht uit om de CRL's en CRT's te uploaden:
    • aws –versie
    • aws configureren.

    Let op: Schrijf de AWS-toegangssleutel, AWS geheime toegangssleutel & standaard regionaam aan de hand van de gedownload .csv-bestand. Bij Standaard uitvoerformaat laat u 'geen' staan ​​en drukt u op 'Enter'.

25. Voer de volgende opdracht uit om de CRL's en CRT's te uploaden:

    • aws s3 ls
    • aws s3 ls s3://eroot.encryptionconsulting.com
    Let op: eroot.encryptionconsulting.com is onze bucketnaam
26. Nu is het tijd om het certificaat en de CRL's van ons systeem naar AWS te uploaden door de volgende opdracht uit te voeren:
    • aws s3 synchronisatie C:\aws-s3 s3: \\eroot.encryptionconsuting.com
27.  Controleer nu of het certificaat en de CRL's succesvol zijn geüpload.
    • aws s3 ls s3://eroot.encryptionconsulting.com
    Let op: aws-s3 is de naam van onze map en eroot.encryptionconsulting.com is de naam van onze bucket.
28. Voer nu de pkiview.msc commando op Cmd, en wij zijn succesvol onze ingezet CDP/AIA punten op AWS. Let op: bestanden moeten mogelijk worden hernoemd om de cdp- en aia-url's te laten werken

Conclusie

Hiermee ronden we onze AD CS-installatie met AWS Services af. Het is eenvoudiger te beheren, maar we bereiken ook hoge beschikbaarheid met AWS. Dit helpt organisaties bij het creëren van PKI die overal ter wereld operationeel kan zijn met minimale latentie en hoge prestaties, ongeacht waar u zich bevindt.