PKI-onderhoud en driemaandelijkse opschoning voor Microsoft CA

Introductie

Microsoft Certificate Authority (CA) Een certificeringsinstantie (CA) is een van de meest cruciale componenten in een PKI-omgeving voor bedrijven. Het is verantwoordelijk voor het uitgeven, registreren, intrekken en vernieuwen van digitale certificaten die diverse toepassingen ondersteunen, waaronder gebruikers- en apparaatauthenticatie, dataversleuteling, identiteitsbeheer en beveiligde communicatie (SS/TLS). De installatie en het beheer van een CA kunnen niet als een eenmalige implementatietaak worden beschouwd. Een CA is geen kwestie van instellen en vergeten; het vereist continue monitoring, periodieke validatie en gecontroleerd onderhoud met regelmatige gezondheidscontroles om operationeel te blijven zonder de certificaatdiensten te verstoren.  De Active Directory-certificaatservice (ADCS) van Microsoft De tools ondersteunen dit door middel van back-up, herstel, databasebeheer, CRL-publicatie, sjablooncontrole en databaseopschoning.

Een certificeringsinstantie (CA) geeft certificaten uit over een langere periode, soms dagen, maanden of zelfs jaren, zonder dat er zichtbare problemen zijn. Op de achtergrond groeit de CA-database echter gestaag, omdat deze gegevens bewaart van mislukte aanvragen, geweigerde aanvragen, ingetrokken certificaten, verlopen certificaten en verouderde CRL-gerelateerde vermeldingen. Omdat deze gegevens niet automatisch worden opgeschoond, hopen ze zich in de loop van maanden en jaren op, waardoor de database groter wordt en beheerders tijdens het oplossen van problemen of audits met steeds meer verouderde gegevens te maken krijgen.

In een Microsoft-casestudyEen CA-database van een klant was in de loop van enkele maanden onverwacht groot geworden zonder dat de beheerders het merkten. Het probleem kwam pas aan het licht toen de database bijna de volledige 55 GB van de partitie waarop deze werd gehost, in beslag nam. In dat geval was een CA-database van Windows Server Enterprise al meer dan 50 GB groot en bleef deze groeien, wat aantoont hoe snel ongecontroleerde groei kan uitgroeien tot een ernstig operationeel probleem.

Bij Encryption Consulting beschouwen we PKI-onderhoud als meer dan een simpele schoonmaakdienst. Voordat u mislukte verzoeken uit de database verwijdert, moet u ervoor zorgen dat er een geldige en recente back-up van de CA-database beschikbaar is, zodat het systeem indien nodig kan worden hersteld. Controleer vervolgens of de databasepaden en de opslaglocatie correct zijn geconfigureerd en of er voldoende ruimte is. Opschoonactiviteiten moeten vervolgens op een gecontroleerde manier worden uitgevoerd, waarbij alleen verouderde of onnodige records, zoals verlopen of mislukte verzoeken, worden verwijderd.

Zodra de opschoning is voltooid, moet de database worden gecomprimeerd om ruimte vrij te maken en de prestaties te verbeteren. Tot slot is het essentieel om te controleren of de kernfuncties van de certificeringsinstantie, waaronder het publiceren van CRL's en het intrekken van certificaten, na het onderhoud correct blijven werken en beschikbaar zijn.

PKI-onderhoud

De eerste en belangrijkste stap bij PKI-onderhoud is ervoor zorgen dat u een goede back-up hebt. U mag nooit beginnen met het opschonen van de CA-database zonder een herstelpunt, zodat u het systeem kunt herstellen als er iets misgaat.

Met Microsoft ADCS kunt u verschillende onderdelen van de CA afzonderlijk back-uppen, en dat is waar mensen vaak in de war raken:

• A back-up van alleen de database Dit omvat de CA-database en logbestanden. Dit is meestal voldoende voor routinetaken zoals de driemaandelijkse opschoning, omdat u alleen databasegegevens wijzigt.
• A volledige CA-back-up is veel breder. Het omvat de CA-database en -logboeken, het CA-certificaat en de privésleutel, en gerelateerde CA-configuratiegegevens zoals registerinstellingen.

Dit onderscheid is belangrijk, omdat een databaseback-up alleen de CA niet volledig kan herstellen in geval van een storing; het helpt alleen bij het terugdraaien van databasewijzigingen.

Er is nog een cruciaal punt waarop Hardware-beveiligingsmodules (HSM's) zijn betrokken. Als uw CA-privésleutel is opgeslagen in een HSM, kunt u deze niet op dezelfde manier back-uppen als een normale softwaresleutel. In plaats daarvan moet u de specifieke back-upprocedure volgen die is gedefinieerd door de HSM-leverancier (zoals Luna of nShield). Het negeren hiervan kan ertoe leiden dat de CA niet meer kan worden hersteld.

Een certificeringsinstantie (CA) is "gezond" en dat houdt meer in dan alleen het uitgeven van certificaten; het hangt er ook van af of klanten die certificaten kunnen vertrouwen en valideren. Simpel gezegd: klanten accepteren een uitgegeven certificaat niet zomaar blindelings. Ze controleren het volgende:

• Of het certificaat is ingetrokken (via CRL/OCSP → CDP-locaties)
• Wie heeft het certificaat afgegeven en hoe bouw je de keten op (via AIA-locaties)?

Dus zelfs als uw certificeringsinstantie perfect certificaten uitgeeft, is dat niet het geval. niet echt operationeel als deze ondersteunende diensten defect of onbereikbaar zijn. Daarom moet onderhoud ook controleren of... CRL-distributiepunten (CDP) zijn toegankelijk, waardoor Autoriteit Informatie Toegang (AIA) De URL's zijn correct en bereikbaar, en er wordt gecontroleerd of de intrekkingsgegevens correct worden gepubliceerd en bijgewerkt.

Een eenvoudige en effectieve manier om dit in Microsoft-omgevingen te doen, is door gebruik te maken van pkiview.mscOp de website van de uitgevende CA krijgt u een snel overzicht van de status van uw PKI. Het toont of CDP/AIA-URL's bereikbaar zijn, markeert verlopen of ontbrekende CRL's en wijst op eventuele problemen met de keten of publicaties.

In Microsoft ADCS-omgevingen is de certutil -deleterow De opdracht biedt gerichte opschoonopties, afhankelijk van het type gegevens dat wordt verwijderd. Zo richt het opschonen van verzoeken zich op mislukte of in behandeling zijnde verzoeken en is dit doorgaans gebaseerd op de datum waarop deze verzoeken zijn ingediend, terwijl het opschonen van certificaten van toepassing is op verlopen of ingetrokken certificaten en gebaseerd is op hun vervaldatum. Dit onderscheid is belangrijk omdat opschoning weloverwogen moet gebeuren en moet worden geleid door vastgestelde bewaarbeleidsregels. Dit zorgt ervoor dat alleen onnodige records worden verwijderd zonder belangrijke audit- of operationele gegevens aan te tasten.

Tot slot, wanneer de opschoning is voltooid, kan het nodig zijn de certificatendatabase te comprimeren om ongebruikte ruimte vrij te maken. Hiervoor wordt de esentutl /d Deze opdracht wordt gebruikt om een ​​offline defragmentatie en compactie van de ESE-database (Extensible Storage Engine) uit te voeren. Deze stap is met name belangrijk na het verwijderen van verouderde records, omdat hiermee de database wordt gereorganiseerd en de fysieke omvang wordt verkleind. Dit draagt ​​bij aan betere prestaties, een geoptimaliseerd opslaggebruik en zorgt ervoor dat de CA-database er schoner en efficiënter uitziet.

Het belang van een driemaandelijkse schoonmaak

Een driemaandelijkse opschoning biedt een praktische en evenwichtige aanpak voor CA-beheer. Het is frequent genoeg om te voorkomen dat de database op de lange termijn te groot wordt, maar tegelijkertijd gecontroleerd genoeg om aan te sluiten op een gestructureerd onderhoudsproces dat bestaat uit beoordeling, back-up, uitvoering en validatie na wijzigingen. In plaats van te wachten tot de CA-database te groot of moeilijk te beheren wordt, kunnen beheerders regelmatig gegevens verwijderen die niet langer operationeel relevant zijn, terwijl ze een terugdraaipunt behouden voor het onderhoudsvenster.

Regelmatig onderhoud per kwartaal helpt u ook om discipline te behouden met betrekking tot back-ups en herstel. Voordat u begint met opschonen, moet u een recente back-up maken van de CA, zodat deze de huidige status van de database nauwkeurig weergeeft. Als u vertrouwt op een oudere back-up, komt deze mogelijk niet meer overeen met de laatste wijzigingen, waardoor deze minder bruikbaar is voor herstel. In de praktijk is de veiligste aanpak daarom om een ​​back-up te maken vlak voordat u begint met opschonen. Dit biedt u een betrouwbaar terugdraaipunt voor het geval er iets misgaat tijdens de onderhoudswerkzaamheden.

Een praktisch driemaandelijks opschoonproces voor Microsoft CA

Een praktisch driemaandelijks opschoonproces voor Microsoft CA moet een gedefinieerde en herhaalbare volgorde volgen om ervoor te zorgen dat het databaseonderhoud veilig wordt uitgevoerd, met een duidelijk terugdraaipunt dat is vastgesteld voordat er wijzigingen worden aangebracht en een correcte validatie die wordt uitgevoerd nadat de activiteit is afgerond.

Stap 1: Voer controles uit vóór de reiniging.

Voordat de activiteit begint, moeten beheerders de status van de uitgevende CA controleren en bevestigen dat er voldoende schijfruimte beschikbaar is op de server. Dit is belangrijk omdat zowel back-up als offline databasecompactie werkruimte vereisen. Als de CA in een virtuele omgeving wordt gehost, kan het maken van een VM-snapshot een extra beveiliging bieden voor terugdraaien, afhankelijk van de operationele standaarden van de organisatie.

Stap 2: Maak een back-up van de CA-database vóór het onderhoud.

Nadat de omgeving is voorbereid, is de volgende stap het maken van een back-up van de CA-database voordat er records worden verwijderd. Dit kan worden gedaan vanuit de console van de certificeringsinstantie door met de rechtermuisknop op de CA te klikken, de back-upoptie te selecteren en voor deze onderhoudstaak alleen de certificaatdatabase en het certificaatdatabaselogboek te kiezen. Dit moet worden beschouwd als een databaseback-up voor het terugdraaien van onderhoudswerkzaamheden, niet als een volledige CA-back-up. Als een volledige CA-back-up vereist is, moeten het CA-certificaat en de privésleutel ook afzonderlijk worden geback-upt.

Deze stap is cruciaal omdat hiermee het terugdraaipunt voor de opschoonactiviteit wordt vastgesteld.

Stap 3: Voer het opschoonscript of het op certutil gebaseerde opschoonproces uit.

Nadat de back-up is gemaakt, kan het opschoonproces worden uitgevoerd op de uitgevende CA. In deze fase moet de beheerder het goedgekeurde PowerShell-script of de opschoonopdrachtenset van de EC uitvoeren en de uiterste datum opgeven tot wanneer records moeten worden verwijderd.

Om verlopen certificaten te verwijderen:

certutil -deleterow Certificaat

Om mislukte certificaten te verwijderen:

certutil -deleterow Verzoek

Om ingetrokken certificaten te verwijderen:

certutil -deleterow "ExpiredRevokedCerts"

Het proces moet zo ontworpen zijn dat eerst overeenkomende records worden geïdentificeerd, het totale aantal wordt weergegeven en vervolgens expliciete bevestiging wordt gevraagd voordat de verwijdering begint. Dit is een belangrijke maatregel, omdat de opschoning van Microsoft CA-records specifiek is voor het type record. Opschoning van aanvragen is gericht op mislukte en lopende aanvragen, terwijl opschoning van certificaten gericht is op verlopen en ingetrokken certificaatrecords. Daarom moet de beheerder precies bevestigen wat er wordt verwijderd voordat hij of zij verdergaat.

Stap 4: Controleer of de opschoning is voltooid en bereid de database voor op onderhoud.

Nadat het verwijderingsproces succesvol is afgerond, is de volgende stap het voorbereiden van het databaseonderhoud. Op dit punt kan het opschonen van verouderde rijen de logische inhoud van de CA-database weliswaar hebben verminderd, maar het fysieke databasebestand kan nog steeds groter zijn dan nodig. Om ongebruikte ruimte terug te winnen, moet offline databasecompactie worden uitgevoerd.

Voordat dat gebeurt, moet de beheerder ervoor zorgen dat het opschoonproces volledig is afgerond en dat er geen andere onderhoudswerkzaamheden aan de CA worden uitgevoerd.

Stap 5: Stop AD CS

De Active Directory Certificate Services-service moet vervolgens worden gestopt voordat er offline databasebewerkingen worden uitgevoerd. Dit is een verplicht onderdeel van het onderhoudsproces, omdat databasecompactie niet mag worden uitgevoerd terwijl de CA-database actief in gebruik is.

Door AD CS te stoppen, wordt ervoor gezorgd dat de database in een stabiele staat blijft terwijl de onderhoudswerkzaamheden worden uitgevoerd.

Stap 6: Bevestig het pad naar de CA-database

Nadat de service is gestopt, moet de beheerder de exacte locatie van het certificaatdatabasebestand controleren in de eigenschappen van de certificeringsinstantie (CA) in plaats van te vertrouwen op een verondersteld standaardpad. Dit kan door de console van de certificeringsinstantie te openen, met de rechtermuisknop op de CA te klikken, Eigenschappen te selecteren en vervolgens naar het tabblad Opslag te gaan.

In veel omgevingen wordt de certificaatdatabase opgeslagen onder:

C:\Windows\System32\CertLog

De daadwerkelijke naam van het EDB-bestand is echter afhankelijk van de CA-naam. In de voorbeeldomgeving is het databasebestand als volgt:

Encon Issuing CA.edb

Het valideren van het pad naar de actieve database in dit stadium helpt voorkomen dat onderhoudswerkzaamheden op het verkeerde bestand worden uitgevoerd.

Stap 7: Voer offline databasecompactie uit.

Nadat het juiste EDB-bestandspad is bevestigd, moet de beheerder naar de map van de certificaatdatabase navigeren en offline compactie uitvoeren met behulp van esentutl /d.

Voorbeeld:

esentutl /d "C:\Windows\System32\CertLog\Encon Issuing CA.edb"

Deze stap defragmenteert en comprimeert de CA-database nadat verouderde records zijn verwijderd. Dit is vooral handig wanneer een aanzienlijk aantal mislukte, verlopen of ingetrokken records is verwijderd, omdat het helpt om ongebruikte databaseruimte terug te winnen en de databasehygiëne te verbeteren.

Stap 8: Maak een nieuwe back-up na het onderhoud.

Nadat de compactie succesvol is afgerond, moet een nieuwe back-up van de CA-database worden gemaakt. Deze back-up dient als nieuw herstelpunt na het onderhoud en bewaart de status van de CA-database zoals die was na de opschoning en compactie.

Deze stap is net zo belangrijk als de back-up die vóór de opschoning is gemaakt, omdat hiermee de CA in de bijgewerkte en onderhouden staat wordt vastgelegd.

Stap 9: AD CS opnieuw opstarten

Nadat de back-up na het onderhoud is voltooid, moet de Active Directory Certificate Services-service opnieuw worden gestart. De beheerder moet controleren of de CA-service normaal start en of er geen directe fouten zijn met betrekking tot de database, certificaatservices of publicatiefuncties.

Stap 10: Voer de validatie na het onderhoud uit.

De laatste stap is validatie. Nadat de CA weer online is, moeten beheerders controleren of de CA normaal functioneert, of de certificeringsdiensten gezond zijn en of de publicatiepunten geldig blijven. Dit omvat het controleren van de status van AIA en CDP. pkiview.msc, waarbij de CA-console wordt gecontroleerd en bevestigd dat de onderhoudswerkzaamheden geen invloed hebben gehad op de normale werking van de CA.

De driemaandelijkse opschoning mag pas als voltooid worden beschouwd wanneer de CA is opgeschoond, gecomprimeerd, opnieuw geback-upt, succesvol opnieuw is opgestart en operationeel is gevalideerd.

Hoe kan Encryption Consulting helpen? 

Het beheren van een Microsoft CA gaat veel verder dan de initiële implementatie. Het vereist continue aandacht voor de gezondheid van de database, back-updiscipline, CRL-publicatie en regelmatige validatieactiviteiten. Veel organisaties vinden het lastig om dit consistent vol te houden naast hun dagelijkse werkzaamheden. Precies hier biedt Encryption Consulting toegevoegde waarde. 

Het PKI-beoordelingsdiensten Wij bieden een uitgebreide evaluatie van uw bestaande ADCS-omgeving en identificeren tekortkomingen op het gebied van CA-hygiëne, back-upprocedures, CRL/AIA-configuratie en databasestatus. Of uw CA-database nu in de loop der tijd ongecontroleerd is gegroeid of uw onderhoudsprocessen ongestructureerd zijn, ons team levert een gedetailleerd risicorapport met een stappenplan op basis van prioriteiten om uw PKI weer in een gezonde en controleerbare staat te brengen. 

Voor organisaties die behoefte hebben aan doorlopende ondersteuning in plaats van een eenmalige evaluatie, bieden wij onze oplossingen. PKI-ondersteuningsdiensten Wij bieden abonnementsgebaseerde, 24/7-ondersteuning. Dit omvat proactief CA-onderhoud, CRL-monitoring, het oplossen van databaseproblemen en begeleide driemaandelijkse opschoning, zodat uw CA-omgeving schoon, compact en operationeel betrouwbaar blijft zonder uw interne teams te belasten. 

Conclusie

De driemaandelijkse CA-opruiming moet niet worden benaderd als een simpele verwijderingsactie. Het is een gecontroleerde procedure. PKI Onderhoudsactiviteiten die een back-updiscipline, zorgvuldige opschoning van records, offline databaseonderhoud en validatie na wijzigingen combineren. Wanneer dit correct wordt uitgevoerd, verbetert het de databasehygiëne, houdt het het beheer van de CA beheersbaar en ondersteunt het een sterkere operationele positie voor Microsoft PKI op de lange termijn.

Voor organisaties die Microsoft AD CS gebruiken, worden de beste resultaten behaald door onderhoud te beschouwen als onderdeel van het algehele PKI-governancemodel. Back-ups moeten weloverwogen worden gemaakt, opschoning moet rekening houden met bewaartermijnen, databaseonderhoud moet zorgvuldig worden uitgevoerd en elke onderhoudscyclus moet eindigen met een verificatie dat de CA gezond is en dat de publicatie van intrekkingscertificaten intact blijft. Dat is wat routineonderhoud tot een betrouwbare en herhaalbare PKI-werkwijze maakt.