Stapsgewijze handleiding voor ADCS Two Tier PKI-hiërarchie-implementatie

Introductie en overzicht van het Testlab

Er zijn vijf computers/machines betrokken bij dit tweelaagse PKI-hiërarchielab dat gebruikmaakt van Microsoft ADCS.

1. Er is één domeincontroller (DC01) die ook Active Directory-geïntegreerde Domain Name Service (DNS) uitvoert. Deze computer levert ook de Lightweight Directory Access Protocol (LDAP)-locatie voor de CDP en het AIA-punt voor de MSPKI-configuratie.
2. Eén zelfstandige offline root-CA (CA01).
3. Eén ondernemings-CA (CA02).
4. Eén webserver (SRV1) (HTTP CDP/AIA) en
5. Eén Windows 10 (Win10)-clientcomputer.

Virtuele machine	rollen	OS Type	IP-adres	subnet mask	Voorkeurs-DNS-server
DC01.encryptionconsulting.com	DC & DNS – LDAPCDP/AIA	Windows Server 2019	192.168.1.10	255.255.255.0	192.168.1.10
CA01	Zelfstandige offline root-CA	Windows Server 2019	NA	NA	NA
CA02.encryptionconsulting.com	Ondernemings-uitgevende CA	Windows Server 2019	192.168.1.12	255.255.255.0	192.168.1.10
SRV1.encryptionconsulting.com	Webserver – HTTP CDP/AIA	Windows Server 2019	192.168.1.13	255.255.255.0	192.168.1.10
WIN10.encryptionconsulting.com	Windows-clientcomputer	Windows 10	192.168.1.14	255.255.255.0	192.168.1.10

Belangrijke stappen

Deze stapsgewijze handleiding bestaat uit acht hoofdstappen, die hieronder worden weergegeven. (Elke stap bevat verschillende subtaken.)

1. Active Directory Forest installeren
2. De webserver voorbereiden voor CDP- en AIA-publicatie
3. Installeer de standalone offline root-CA
4. Voer configuratiestappen na installatie uit op de standalone offline root-CA
5. Installeer ondergeschikte uitgevende CA
6. Voer de configuratie na installatie uit op de ondergeschikte uitgevende CA
7. De online responder installeren en configureren
8. Controleer de MSPKI-hiërarchiestatus

Activiteit 1. Active Directory-forest

Taak 1: Een nieuw forest installeren met behulp van Serverbeheer

Om het EncryptionConsulting.com-forest te installeren:

1. Ga naar Portal.azure.com en log in op DC01 as DC01\Beheerder.
2. Open server Manager. Kiezen Start, Klik Systeembeheer En klik vervolgens op server Manager.
3. Klik met de rechtermuisknop in de consoleboom Beheren En klik vervolgens op Rollen toevoegen & Kenmerken
4. Op de Voordat je begint pagina op Volgende.
5. Op de Selecteer Installatietype, Klik Rolgebaseerd of functiegebaseerd
6. On Serverselectie, Selecteer een server uit de serverpool en klik op Klik vervolgens op Volgende
7. Op de Selecteer Serverrollen 4040 hand404040 details hand4040 hand 3 details hand40 hand40 hand details details details details hand 3 Active Directory-domeinservices. Klikken Volgende.
   1. Als u daartoe wordt aangezet door de Wizard Rollen toevoegen, Klik Voeg vereiste functies toe En klik vervolgens op Volgende.
8. Op de Kenmerken pagina, klik op Volgende.
9. Op de Active Directory-domeinservices pagina op Volgende.
10. Op de Bevestig installatieselecties pagina op Install.
11. Wanneer u klaar bent, klikt u op de hyperlink om deze server te promoten tot domeincontroller

12. Op de Welkom bij de installatiewizard van Active Directory Domain Services pagina op Volgende.
13. Op de Implementatie configuratie 4040 hand404040 details hand4040 hand 3 details hand40 hand40 hand details details details details hand 3 Voeg een nieuw bos toe, Specificeren Forest Root-domein pagina, in FQDN van het forest root-domeintype EncryptionConsulting.comEn klik op Volgende.

14. Op de Stel het functionele niveau van het bos in pagina, in de Functioneel niveau van het bos vervolgkeuzemenu, selecteren Windows Server 2016 En klik vervolgens op Volgende

Op de Directory Services Herstelmodus Beheerderswachtwoord pagina, typ en bevestig het wachtwoord voor de herstelmodus en klik vervolgens op VolgendeDit wachtwoord moet worden gebruikt om AD DS te starten in de Directory Service Restore-modus voor taken die offline moeten worden uitgevoerd.

DNS-server is standaard geselecteerd, zodat uw forest-DNS-infrastructuur kan worden aangemaakt tijdens de installatie van AD DS. In ons scenario gebruiken we Active Directory-geïntegreerde DNS, dus hebben we ervoor gekozen om DNS te installeren.

15. Op de aanvullende opties pagina op Volgende.

Als er geen statisch IP-adres is toegewezen aan de netwerkadapter, verschijnt er een waarschuwingsbericht met het advies om statische adressen in te stellen.

De wizard geeft een bericht weer dat aangeeft dat er geen delegatie voor de DNS-server kan worden gemaakt. Klik Ja te gaan.

16. Op de Locatie voor database, logbestanden en SYSVOL pagina op Volgende.

17. Op de Vereistencontrole pagina, controleer uw selecties en klik installeren Active Directory-domeinservices.

18. Wacht even totdat de installatie is voltooid en het systeem opnieuw is opgestart.

NOTITIE: Als u gebruikmaakt van Active Directory-geïntegreerde DNS, is het IP-adres voor de Voorkeurs-DNS-server Voor de eerste domeincontroller in het forest wordt automatisch het loopbackadres 127.0.0.1 ingesteld. Dit zorgt ervoor dat het IP-adres van de eerste domeincontroller in DNS wordt omgezet, zelfs als het statische IP-adres van de server wordt gewijzigd.Als u liever het werkelijke IP-adres van de DNS-server configureert in plaats van het loopbackadres, vervangt u dit na het opnieuw opstarten door 192.168.1.10.

Taak 2: HTTP-webserver: CDP- en AIA-publicatie

1. Meld u aan bij SRV1 als lokale beheerder.
2. Klik Starttype systeem.cpl, en druk op ENTER. Klik Veranderen.
3. In Lid vanselecteer Domeinen typ vervolgens EncryptionConsulting.com Klik OK.
4. In Windows Security, voer de gebruikersnaam en wachtwoord voor het domeinbeheerdersaccount. Klik OK.
5. U bent van harte welkom bij de Encryptie Consulting domein Klik OK.
6. Wanneer u de melding krijgt dat opnieuw opstarten vereist is, klikt u op OK. Klikken Sluiten. Klikken herstart nu.

Taak 3: Webserver (IIS)-rol installeren

1. Meld u aan bij EncryptionConsulting.com as Encryptionconsu\Administrator(Zorg ervoor dat u de gebruiker inschakelt om in te loggen als Encryptieconsu\Beheerder)
2. Open Serverbeheer.
3. Klik met de rechtermuisknop op Rollen en Selecteer dan Rollen toevoegen.
4. Op de Voordat u begint pagina kiezen Volgende.
5. Selecteer op de pagina Installatietype selecteren de optie Rolgebaseerde of functiegebaseerde installatie

6. On Selecteer bestemmingsserver, Selecteer een server uit de serverpool en klik op EncryptionConsulting.com, dan Klik Volgende

7. Op de Selecteer Serverrollen pagina selecteren Webserver (IIS) En klik vervolgens op Volgende

8. Op de Selecteer functies pagina op volgende
9. Op de Webserver (IIS) pagina op Volgende

10. Laat de standaardinstellingen staan ​​op de Selecteer rolservices pagina en klik vervolgens op Volgende.

11. On Bevestig installatieselecties pagina op Install.

12. Op de Installatieresultaten pagina op Sluiten

Taak 5: Maak de CertEnroll-map aan en verleen Share- en NTFS-machtigingen aan de groep Cert Publishers

Uw taak is om de Share- en NTFS-machtigingen voor de CertEnroll-map te delen en te configureren.

1. Inloggen op EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Klik Start en selecteer Computer te openen Windows Verkenner en ga dan naar C: rit
3. Maak een map met de naam CertEnroll aan de wortel van C: rit
4. Klik met de rechtermuisknop op de CertEnroll map en selecteer Aanbod.

5. Op de CertEnroll-eigenschappenpagina kiezen Delen tabblad om deelrechten te configureren.
6. Klik op de Geavanceerde deeloptie en Selecteer dan Deel deze map.
7. Klik op Machtigingen en dan klikken Toevoegen.
8. On Selecteer Gebruikers of Groepen pagina, in de Voer de objectnamen in die u wilt selecterentype Encryptionconsu\Cert Publishers, En klik vervolgens op
9. Op de Machtigingen voor CertEnroll dialoogvenster, selecteer Certificeringsuitgevers groep en dan in de Allow kolom selecteren Veranderen toestemming. Klik OK twee keer teruggaan naar de CertEnroll-eigenschappen pagina.
10. Selecteer het Security tab en klik op Edit om NTFS-machtigingen te configureren.
11. On Machtigingen voor CertEnroll pagina klik Toevoegen.Windows
12. On Selecteer Gebruikers of Groepen pagina, Onder het Voer de objectnamen in die u wilt selecteren, ga naar binnen Encryptionconsu\Cert Publishers, En klik vervolgens op OK.
13. Op de Machtigingen voor CertEnroll pagina markering, de Cert-uitgevers groep, en dan onder de Allow kolom selecteren wijzigen toestemming Klik OK.

14. Op de CertEnroll-eigenschappen pagina op OK.

Taak 6: CertEnroll virtuele directory aanmaken in IIS

1. Zorg ervoor dat u bent aangemeld bij EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Klik Start, Beheerdershulpmiddelen, en selecteer vervolgens Internet Information Services (IIS).
3. Op de aansluitingen, uitbreiden SRV1 en dan uitbreiden Locaties.
4. Klik met de rechtermuisknop op Standaard website en selecteer Virtuele map toevoegen.
5. On Virtuele map toevoegen pagina, in Aliastype CertEnroll. In de Fysiek padtype C:\CertenrollEn klik op OK.

6. In de  aansluitingen deelvenster, onder het Standaard website, zorg ervoor dat de CertEnroll virtuele map is geselecteerd.
7. In de  CertEnroll Home paneel, dubbelklik op Bladeren door de directory.
8. In de Acties paneelklik Enable .

Taak 7: Dubbele escape inschakelen op IIS-server

Door dubbele escapes toe te staan, kan de webserver Delta CRL's hosten.

1. Zorg ervoor dat u bent aangemeld bij EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Open een opdrachtprompt. Klik hiervoor op Start, Klik lopenen typ vervolgens cmd. Klikken OK.
3. Typ dan cd %windir%\system32\inetsrv\  en druk op ENTER.

4. Typ de volgende opdracht en druk op Enter.

   Appcmd set config “Standaardwebsite” /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True

5. Start de IIS-service opnieuw. Typ hiervoor iisreset en druk op ENTER.

Taak 8: CNAME (pki.EncryptionConsulting.com) aanmaken in DNS

1. Zorg ervoor dat u bent aangemeld bij EncryptionConsulting.com as Encryptionconsu\Administrator.
2. Open de DNS-console. U kunt dit doen door te klikken op Start, Klik lopenen typ vervolgens dnsmgmt.msc. Klikken OK.
3. Uitvouwen Zones voor vooruitzoeken, selecteer en klik vervolgens met de rechtermuisknop EncryptionConsulting.com zone. Klik Nieuwe alias (CNAME).
4. In Aliasnaam (gebruikt het bovenliggende domein als dit leeg wordt gelaten)type PKI. In de Volledig gekwalificeerde domein naam (FQDN) voor de doelhost veld soort EncryptionConsulting.com. En klik vervolgens op OK.

Note – Voeg het afsluitende "." toe aan de FQDN in de vorige stap. In een productieomgeving kan deze alias worden omgezet naar een load balancer die verzoeken verdeelt over een willekeurig aantal webservers die de CA-certificaten en CRL's bevatten.

Activiteit 2: De standalone offline root-CA installeren

De standalone offline root-CA mag niet in het domein worden geïnstalleerd. Sterker nog, deze mag zelfs helemaal niet met een netwerk worden verbonden.

Taak 1: Maak een CAPolicy.inf voor de standalone offline root-CA

Om een ​​CAPolicy.inf te maken voor de zelfstandige offline root-CA:

1. Meld u aan bij CA01 als CA01\Beheerder.
2. Klik Start, Klik Run, en typ dan kladblok C:\Windows\CAPolicy.inf en druk op ENTER.
3. Wanneer u wordt gevraagd een nieuw bestand te maken, klikt u op Ja.

4. Typ het volgende als inhoud van het bestand.

   [Versie] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048; aanbevolen 4096 RenewalValidityPeriod=Jaren RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

Klik op Bestand en vervolgens op Opslaan om het bestand CAPolicy.inf op te slaan in de map C:\Windows.

waarschuwing CAPolicy.inf met de extensie .inf. Typ .inf aan het einde van de bestandsnaam en selecteer de opties zoals beschreven. Het bestand wordt opgeslagen als tekstbestand en wordt niet gebruikt tijdens de CA-installatie.

5. Sluit Kladblok.

OPMERKING: Zorg ervoor dat u de computernaam wijzigt in "CA01". Windows > Uitvoeren > sysdm.cpl > Wijzig de computernaam en start de computer opnieuw op.

Taak 2: De zelfstandige offline root-CA installeren

Om de zelfstandige offline root-CA te installeren:

1. Meld u aan bij CA01 als CA01\Administrator.
2. Klik Start, Klik Systeembeheeren klik vervolgens op server Manager.
3. Klik met de rechtermuisknop op rollen En klik vervolgens op Rollen toevoegen.
4. Op de Voordat je begint pagina klik Volgende.
5. Op de Montage Type pagina, kies Rolgebaseerde of op de voorgrond geplaatste installatie, En klik vervolgens op Next.
6. Op de server selectie pagina, Klik volgende.
7. Op de Selecteer Serverrollen pagina selecteren Active Directory-certificaatservicesEn klik op Volgende.

8. Klik op de pagina 'Functies selecteren' op 'Volgende'.
9. Op de Inleiding tot Active Directory-certificaatservices pagina op Volgende.
10. Op de Selecteer rolservices pagina, zorg ervoor dat Certificeringsinstantie is geselecteerd en vervolgens Volgende.

11. Klik op de bevestigingspagina op installeren

12. Klik op ‘Active Directory Certificate Services op de doelserver configureren’.
13. Op de Geef referenties op om rollen en services te configureren pagina, de referentie moet zijn CA01\Beheerder, dan klikken Volgende.
14. Op de Selecteer Rol, services om te configureren pagina, kies Certificeringsinstantie, En klik vervolgens op Volgende.
15. Op de Specificeer het installatietype pagina, zorg ervoor dat Standalone is geselecteerd en klik vervolgens op Volgende.
    • Let op: de optie Enterprise is grijs omdat de CA01-server niet is toegevoegd aan het Active Directory-domein.

16. Op de Specificeer CA-type pagina, zorg ervoor dat Root-CA is geselecteerd en klik vervolgens op Volgende.

17. Op de Privésleutel instellen pagina, zorg ervoor dat Maak een nieuwe privésleutel is geselecteerd en klik vervolgens op Volgende.

18. Laat de standaardinstellingen staan ​​op de Cryptografie configureren voor CA pagina en klik vervolgens op Volgende.
    • Belangrijk:In een productieomgeving stelt u de CSP, het hash-algoritme en de sleutellengte in om te voldoen aan de compatibiliteitsvereisten van de toepassing.

19. On Pagina CA-naam configureren, onder de Algemene naam voor deze CA, de bestaande invoer wissen en typen EncryptieRaadpleeg Root CA. Klik Volgende.
    • Opmerking: A Onderscheidende naamsuffix is optioneel voor een root-CA. Dit wordt in een latere stap geconfigureerd.

20. Op de Geldigheidsperiode instellen pagina, onder Selecteer de geldigheidsperiode voor het certificaat dat voor deze CA is gegenereerd, wis de bestaande invoer en typ vervolgens 20Laat het selectievak op Jaar. Klik Volgende.

21. Houd de standaardinstellingen op de Certificaatdatabase configureren pagina en klik vervolgens op Volgende.

22. Op de Bevestig installatieselecties pagina, controleer de instellingen en klik vervolgens op Configure .

23. Bekijk de informatie over de Installatieresultaten pagina om te controleren of de installatie succesvol is en klik vervolgens op Sluiten.

Activiteit 3: Post-installatieconfiguratie uitvoeren voor root-CA

1. Zorg ervoor dat u bent aangemeld bij CA01 as CA01\Beheerder.
2. Open een opdrachtprompt. Om dit te doen, kunt u klikken op Start, Klik lopentype cmd En klik vervolgens op OK.
3. Om de Distinguished Name van de Active Directory-configuratiepartitie te definiëren, voert u de volgende opdracht uit vanaf een administratieve opdrachtprompt:
   • Certutil -setreg CA\DSConfigDN “CN=Configuratie,DC=EncryptionConsulting,DC=com”
4. Definiëren CRL-periode-eenheden  en CRL-periodes, voer de volgende opdrachten uit vanaf een administratieve opdrachtprompt:
   • Certutil -setreg CA\CRLPeriodUnits 52
   • Certutil -setreg CA\CRLPeriod “Weken”
   • Certutil -setreg CA\CRLDeltaPeriodUnits 0
5. Definiëren CRL Overlap Periode Eenheden en CRL-overlapperiode, voer de volgende opdrachten uit vanaf een administratieve opdrachtprompt:
   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod “Uren”
6. Definiëren Geldigheidsperiode-eenheden Typ de volgende opdracht voor alle door deze CA uitgegeven certificaten en druk op Enter. In dit lab zou de uitgevende CA van de onderneming een geldigheidsduur van 10 jaar voor zijn CA-certificaat moeten krijgen. Om dit te configureren, voert u de volgende opdrachten uit vanaf een beheerdersopdrachtprompt:
   • Certutil -setreg CA\ValidityPeriodUnits 10
   • Certutil -setreg CA\ValidityPeriod “Jaren”

Taak 1: Auditing inschakelen op de root-CA

CA-auditing is afhankelijk van het systeem Toegang tot auditobjecten ingeschakeld. De volgende instructies beschrijven hoe u het lokale beveiligingsbeleid gebruikt om objecttoegangscontrole in te schakelen.

1. Klik Start, Klik SysteembeheerEn selecteer Lokaal beveiligingsbeleid.
2. Uitvouwen Lokaal beleid en selecteer vervolgens Auditbeleid.
3. Dubbelklik Toegang tot auditobjecten en selecteer vervolgens Succes en Storing dan klikken OK.

4. Sluit de lokale beveiligingsbeleid-editor.

5. Schakel auditing voor de CA in door te selecteren welke groep gebeurtenissen u wilt auditen in de MMC-module van de certificeringsinstantie of door de registersleutelinstelling AuditFilter te configureren. Om auditing voor alle CA-gerelateerde gebeurtenissen te configureren, voert u de volgende opdracht uit vanaf een beheerdersopdrachtprompt:

   Certutil -setreg CA\AuditFilter 127

Taak 2: De AIA en CDP configureren

Er zijn verschillende methoden voor configureren van de Authority Information Access (AIA) en het distributiepunt voor certificaatintrekkingslijsten (CDP) locaties. U kunt de gebruikersinterface (in de eigenschappen van het CA-object), certutil gebruiken of het register rechtstreeks bewerken. De AIA wordt gebruikt om te verwijzen naar de openbare sleutel voor de Windows Server-certificeringsinstantie (CA). De CDP is waar de certificaatintrekking Er wordt een lijst bijgehouden, waarmee clientcomputers kunnen vaststellen of een certificaat is ingetrokken. In dit lab zijn er drie locaties voor de AIA en vier locaties voor de CDP.

Taak 3: De AIA configureren

Het gebruik van een certutil-opdracht is een snelle en veelgebruikte methode om de AIA te configureren. Wanneer u de volgende certutil-opdracht uitvoert, configureert u een statische bestandssysteemlocatie, een lichtgewicht directorytoegangspad (LDAP)-locatie en een HTTP-locatie voor de AIA. De certutil-opdracht om de AIA in te stellen, wijzigt het register, dus zorg ervoor dat u de opdracht uitvoert vanaf een opdrachtprompt en als administrator uitvoert. Voer de volgende opdracht uit:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

Nadat u deze opdracht hebt uitgevoerd, voert u de volgende opdracht uit om uw instellingen te bevestigen:

certutil -getreg CA\CACertPublicatieURL's

Als u in het register kijkt, vindt u het volgende pad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\EncryptionConsulting Root CAU kunt de CACertPublicationURL's bevestigen door de REG_MULTI_SZ-waarde te openen. U zou het volgende moeten zien:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Openbare sleutelservices,CN=Services,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

U kunt dit ook zien in de CA-console (certsrv). Om de console te openen, klikt u op Start, Klik SysteembeheerEn klik op Certificeringsinstantie. Vouw in het navigatievenster het Certificeringsinstantie (lokaal). Klik met de rechtermuisknop EncryptieRaadpleeg Root CA En klik vervolgens op Eigenschappen. Op de uitbreidingen tab, onder Selecteer extensie, Klik Autoriteit Informatie Toegang (AIA) en u ziet de grafische weergave van de AIA-instellingen.

Taak 4: Configureer de CDP

De certutil-opdracht om de CDP in te stellen wijzigt het register, dus zorg ervoor dat u de opdracht uitvoert vanuit een opdrachtprompt.

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl”

Nadat u deze opdracht hebt uitgevoerd, voert u de volgende certutil-opdracht uit om uw instellingen te controleren:

certutil -getreg CA\CRLPublicatie-URL's

In de registerlocatie:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\EncryptionConsulting Root CA  U kunt de waarde REG_MULTI_SZ openen en de configuratie van deze waarden bekijken:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

   10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

2. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl

U kunt dit ook zien in de CA-console (certsrv). Om de console te openen, klikt u op Start, Klik SysteembeheerEn klik op CertificeringsinstantieZorg ervoor dat in het navigatievenster Certificeringsinstantie (lokaal) is uitgevouwen. Klik met de rechtermuisknop EncryptionConsultng Root CA En klik vervolgens op Aanbod. Op de uitbreidingen tab, onder Selecteer extensie, Klik CRL-distributiepunt (CDP) en u ziet de grafische weergave van de CDP-instellingen.

Voer bij een administratieve opdrachtprompt de volgende opdrachten uit om Active Directory Certificate Services opnieuw te starten en de CRL te publiceren

net stop certsvc

net start certsvc

certutil -crl

Activiteit 4: Enterprise Issuing CA installeren

Taak 1: CA02 toevoegen aan het domein

Om CA02 aan het domein toe te voegen:

1. Meld u aan bij CA02 als lokale beheerder.
2. Klik Starttype systeem.cpl, en druk op ENTER. Klik Veranderen.
3. In de computernaamtype CA02 En klik vervolgens op OK.
4. Wanneer u de melding krijgt dat u de computer opnieuw moet opstarten, klikt u op OK. Klikken Sluiten. Klikken herstart nu.
5. Nadat CA02 opnieuw is opgestart, meldt u zich aan als lokale beheerder.
6. Klik Starttype systeem.cpl, en druk op ENTER. Klik Veranderen.
7. In Lid vanselecteer Domeinen typ vervolgens EncryptieConsulting.com. Klikken OK.
8. In Windows Security, voer de gebruikersnaam en wachtwoord voor het domeinbeheerdersaccount. Klik OK.
9. U bent van harte welkom op het EncryptionConsulting-domein. Klik OK.
10. Wanneer u de melding krijgt dat opnieuw opstarten vereist is, klikt u op OK. Klikken Sluiten. Klikken herstart nu.

Taak 2: CAPolicy.inf aanmaken voor Enterprise Issuing CA

1. Inloggen op EncryptionConsulting.com as ENCRYPTIONCONSU\Administrator(Zorg ervoor dat u de gebruiker inschakelt om in te loggen als ENCRYPTIONCONSU\Administrator)
2. Klik Startselecteer Run, en typ dan kladblok C:\Windows\CAPolicy.inf en druk op ENTER.
3. Wanneer u wordt gevraagd een nieuw bestand te maken, klikt u op Ja.

4. Typ het volgende als inhoud van het bestand.

   [Version]
   Signature="$Windows NT$"
   [PolicyStatementExtension]
   Policies=InternalPolicy
   [InternalPolicy]
   OID= 1.2.3.4.1455.67.89.5
   URL=http://pki.EncryptionConsulting.com/cps.txt
   [Certsrv_Server]
   RenewalKeyLength=2048
   RenewalValidityPeriod=Years
   RenewalValidityPeriodUnits=10
   LoadDefaultTemplates=0
   AlternateSignatureAlgorithm=0
   

5. Klik Dien in en Opslaan om het CAPolicy.inf bestand onder C: \ Windows directory

   Belangrijk: Zorg ervoor dat het CAPolicy.inf wordt opgeslagen als een . Inf bestand. Het bestand wordt niet gebruikt als het met een andere bestandsextensie wordt opgeslagen.

6. Kladblok sluiten

Taak 3: Publiceer het root-CA-certificaat en de CRL

1. Zorg ervoor dat u bent aangemeld bij CA02. EncryptionConsulting.com as EncryptionConsulting\Administrator.
2. Kopieer de bestanden Root CA-certificaat (CA01_EncryptionConsulting Root CA.crt) en Root CA CRL (EncryptionConsulting Root CA.crl) uit de map C:\Windows\System32\CertSrv\CertEnroll op de interne CA01-server naar het verwijderbare medium (A:).

3. Om op CA02 het EncryptionConsulting Root CA-certificaat en CRL in Active Directory te publiceren, voert u de volgende opdrachten uit vanaf een beheerdersopdrachtprompt. Zorg ervoor dat u de juiste stationsletter van uw verwisselbare media (voor A:) in de volgende opdrachten vervangt:

   certutil -f -dspublish “A:\CA01_EncryptionConsulting Root CA.crt” RootCA

   certutil -f -dspublish “A:\EncryptionConsulting Root CA.crl” CA01

4. Om het EncryptionConsulting Root CA-certificaat en de CRL te publiceren naar http://pki.EncryptionConsulting.com/CertEnroll, kopieert u het EncryptionConsulting Root CA-certificaat en de CRL naar de map \\srv1.EncryptionConsulting.com\C$\CertEnroll. Voer de volgende opdrachten uit vanaf een beheerdersopdrachtprompt. Zorg ervoor dat u de juiste stationsletter van uw verwisselbare media gebruikt (voor A:).

   kopieer “C:\CA01_EncryptionConsulting Root CA.crt” \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

   kopieer “C:\EncryptionConsulting Root CA.crl” \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

5. Om het EncryptionConsulting Root CA-certificaat en CRL toe te voegen aan de lokale opslag van CA02.com, voert u de volgende opdracht uit vanaf een beheerdersopdrachtprompt. Zorg ervoor dat u de juiste stationsletter van uw verwisselbare media (voor A:) in de volgende opdrachten vervangt:

   • certutil -addstore -f root “A:\CA01_ EncryptionConsulting Root CA.crt”
   • certutil -addstore -f root “A:\EncryptionConsulting CA.crl”

Activiteit 5: Ondergeschikte uitgevende CA installeren

Ondergeschikte uitgevende CA op CA02. EncryptionConsulting.com

1. Zorg ervoor dat u bent aangemeld bij CA02.EncryptionConsulting.com als EncryptionConsulting\ Administrator.
2. Open server Manager.
3. Klik met de rechtermuisknop rollen en selecteer vervolgens Rollen toevoegen.
4. Op de Voordat je begint pagina selecteren Volgende.

5. Op de Montage Type pagina, kies Rolgebaseerde of op de voorgrond geplaatste installatie, En klik vervolgens op Volgende
6. Op de server selectie pagina, Klik
7. Op de Selecteer Serverrollen pagina kiezen Active Directory-certificaatservicesEn klik op Volgende.

8. Op de Selecteer functies pagina op Volgende.

9. Over de inleiding tot Active Directory-certificaatservices pagina op Volgende.

10. Op de Selecteer Rol Services paginaselecteer Certificeringsinstantie en Certificeringsinstantie webinschrijving. Als je het Wizard Rollen toevoegen, Klik Vereiste rolservices toevoegen. Klik Volgende.

11. Op de Webserverrol IIS pagina op Volgende.
12. Laat de Rolservices op de standaardinstelling staan ​​en klik op Volgende.
13. Controleer de details op de bevestigingspagina en klik op Install.

14. Klik op "configureer Active Directory Certificate Services op de doelserver'.
15. Op de pagina Geef referenties op om rollen en services te configureren, moet de referentie worden opgegeven Encryptionconsu\Administrator, dan klikken Volgende.
16. Op de Selecteer Roldiensten om de pagina te configureren, Selecteer certificeringsinstantie en webinschrijving voor certificeringsinstantie Klik vervolgens op Volgende.

17. Op de Specificeer het installatietype pagina, zorg ervoor dat Enterprise is geselecteerd en klik vervolgens op Volgende.

18. Op de Specificeer CA-type 4040 hand404040 details hand4040 hand 3 details hand40 hand40 hand details details details details hand 3 Ondergeschikte CA En klik vervolgens op Volgende

19. Op de Privésleutel instellen pagina, zorg ervoor dat Maak een nieuwe privésleutel is geselecteerd en klik vervolgens op Volgende.

20. Laat de standaardinstellingen staan ​​op de Cryptografie configureren voor CA pagina, klik dan Volgende.
    Belangrijk: Bij installatie in een productieomgeving moeten de geselecteerde CSP, het hash-algoritme en de sleutellengte voldoen aan de vereisten voor toepassingscompatibiliteit.

21. On CA-naam configureren pagina, wis de bestaande invoer voor het vakje Algemene naam voor deze CA en voer in EncryptieConsulting Uitgevende CAen selecteer vervolgens Volgende.

    Let op: het DN-achtervoegsel wordt automatisch ingevuld en mag niet worden gewijzigd.

22. Op de Certificaat aanvragen bij een bovenliggende CA 4040 hand404040 details hand4040 hand 3 details hand40 hand40 hand details details details details hand 3 Een certificaataanvraag opslaan in een bestand op de doelcomputer optie en klik vervolgens Volgende.

23. Laat de standaardinstellingen staan ​​op de Certificaatdatabase configureren pagina en klik vervolgens op Volgende.

24. Op de Bevestig installatieselecties pagina op configureer.

25. Bekijk de informatie over de Installatieresultaten pagina om te controleren of de installatie succesvol is en klik vervolgens op Sluiten.

    • Het volgende waarschuwingsbericht wordt verwacht: "De installatie van Active Directory Certificate Services is onvolledig. Om de installatie te voltooien, gebruikt u het gevraagde bestand "C:CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req" om een ​​certificaat van de bovenliggende certificeringsinstantie (CA) te verkrijgen. Gebruik vervolgens de module Certificeringsinstantie (Certificate Authority) van Windows Server om het certificaat te installeren. Om deze procedure te voltooien, klikt u met de rechtermuisknop op het knooppunt met de naam van de CA en klikt u vervolgens op CA-certificaat installeren. De bewerking is voltooid. 0x0 (WIN32: 0)."

26. Kopieer C:\CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req naar uw verwisselbare media. Als u bijvoorbeeld naar een floppydiskstation met stationsletter A wilt kopiëren, voert u de volgende opdracht uit vanaf een opdrachtprompt:

    • kopieer “C:\CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req” A:\

Taak 1: Dien de aanvraag in en geef het certificaat voor de uitgevende CA-encryptie uit

Om de certificaataanvraag in te dienen en het gevraagde certificaat uit te geven:

1. Zorg ervoor dat u bent aangemeld bij CA01 als CA01\Administrator. Plaats het verwisselbare medium met de certificaataanvraag in CA01.
2. Open op CA01 een administratieve opdrachtprompt. Dien vervolgens de aanvraag in met de volgende opdracht (ervan uitgaande dat A: de stationsletter van uw verwisselbare media is):
   • certreq -submit “A:CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req”
   • Let op: Let op de Aanvraag-ID Nummer dat wordt weergegeven nadat u de aanvraag hebt ingediend. U gebruikt dit nummer bij het ophalen van het certificaat.
3. In de  Lijst met certificeringsinstanties dialoogvenster, zorg ervoor dat EncryptieRaadpleeg Root CA is geselecteerd en klik vervolgens op OK
4. Open de console van de certificeringsinstantie. Klik hiervoor op Start, Klik Systeembeheeren klik Certificeringsinstantie.
5. In de  certsrv [Certificeringsinstantie (lokaal)] dialoogvenster, in de consoleboom, uitvouwen EncryptieRaadpleeg Root CA.
6. Klik openstaande verzoekenKlik in het detailvenster met de rechtermuisknop op de aanvraag die u zojuist hebt ingediend, klik Alle takenEn klik op Issue.

7. Ga terug naar de beheerdersopdrachtprompt om het uitgegeven certificaat te accepteren door de volgende opdracht uit te voeren. Zorg ervoor dat u de juiste stationsletter van uw verwisselbare media vervangt door: A: evenals de juiste RequestID voor 2:
   • certreq -retrieve 2 “A:\ CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.crt”
8. In de  Dialoogvenster Lijst met certificeringsinstanties doos, zorg ervoor dat EncryptieRaadpleeg Root CA is geselecteerd en klik vervolgens op OK.

Taak 2: Installeer het Encryption Consulting CA-certificaat op CA02

Ga als volgt te werk om het certificaat te installeren en de Windows Server-certificeringsinstantieservice op CA02 te starten:

1. Zorg ervoor dat u bent aangemeld bij CA02.EncryptionConsulting.com als EncryptionConsu\Administrator. Plaats de verwisselbare media met het uitgegeven certificaat voor CA02.EncryptionConsulting.com in CA02.
2. Open de console van de certificeringsinstantie.
3. In de Certificeringsinstantie consoleboom, klik met de rechtermuisknop EncryptieConsulting Uitgevende CAEn klik op CA-certificaat installeren.
4. In de  Selecteer het bestand om de CA-installatie te voltooienNavigeer naar uw verwisselbare media. Zorg ervoor dat u Alle bestanden (*. *) en klik op de CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA certificaat. Klik Open.
5. Klik met de rechtermuisknop in de consoleboom EncryptieConsulting Uitgevende CA, Klik Alle takenEn klik op Service starten.
6. Vouw in de consoleboom het volgende uit: EncryptieConsulting Uitgevende CA En klik vervolgens op CertificaatsjablonenMerk op dat er geen certificaten worden weergegeven in het detailvenster. Dit komt doordat CAPolicy.inf heeft aangegeven dat de standaardsjablonen niet moeten worden geïnstalleerd in de regel Standaardsjablonen laden=0.

Activiteit 6: Voer post-installatieconfiguratietaken uit op de ondergeschikte uitgevende CA

Er zijn meerdere instellingen die geconfigureerd moeten worden om de installatie van de uitgevende CA te voltooien. Deze lijken op de taken die nodig waren om de configuratie van de root-CA te voltooien.

Taak 1: Certificaatintrekking en geldigheidsperioden van CA-certificaten configureren

Ga als volgt te werk om certificaatintrekking en geldigheidsperioden van CA-certificaten te configureren:

1. Zorg ervoor dat u bent aangemeld bij CA02.EncryptionConsulting.com als EncryptionConsu\Administrator.

2. Configureer de CRL- en Delta-CRL-instellingen door de volgende opdracht uit te voeren vanaf een administratieve opdrachtprompt:

   • Certutil -setreg CA\CRLPeriodUnits 1
   • Certutil -setreg CA\CRLPeriod “Weken”
   • Certutil -setreg CA\CRLDeltaPeriodUnits 1
   • Certutil -setreg CA\CRLDeltaPeriod “Dagen”

3. Definieer CRL-overlapinstellingen door de volgende opdracht uit te voeren vanaf een administratieve opdrachtprompt:

   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod “Uren”

4. De standaardinstelling voor de geldigheidsperiode is 2 jaar in het register. Pas deze instelling aan uw behoeften aan ten aanzien van de levensduur van entiteitscertificaten die zijn uitgegeven door de uitgevende certificeringsinstantie (CA) van EncryptionConsulting. Het is raadzaam om geen geldigheidsperiodes te configureren die langer zijn dan de helft van de totale levensduur van het certificaat van de uitgevende certificeringsinstantie (CA) van EncryptionConsulting, dat is uitgegeven met een geldigheidsduur van 10 jaar. Om de geldigheidsduur van uitgegeven certificaten te beperken tot 5 jaar, voert u de volgende opdrachten uit vanaf een beheerdersopdrachtprompt:

   • Certutil -setreg CA\ValidityPeriodUnits 5
   • Certutil -setreg CA\ValidityPeriod “Jaren”

Taak 2: Auditing inschakelen op de uitgevende CA

CA-auditing is afhankelijk van het systeem Toegang tot auditobjecten ingeschakeld. De volgende instructies beschrijven hoe u het lokale beveiligingsbeleid gebruikt om objecttoegangscontrole in te schakelen.

1. Klik Start, Klik SysteembeheerEn selecteer Lokaal beveiligingsbeleid.
2. Uitvouwen Lokaal beleid en selecteer vervolgens Auditbeleid.
3. Dubbelklik Toegang tot auditobjecten en selecteer vervolgens Succes en Storing dan klikken OK.

5. Sluit de lokale beveiligingsbeleid-editor.

6. Schakel auditing voor de CA in door te selecteren welke groep gebeurtenissen u wilt auditen in de MMC-module van de certificeringsinstantie of door de registersleutelinstelling AuditFilter te configureren. Om auditing voor alle CA-gerelateerde gebeurtenissen te configureren, voert u de volgende opdracht uit vanaf een beheerdersopdrachtprompt:

   Certutil -setreg CA\AuditFilter 127

Taak 3: De AIA configureren

Het gebruik van een certutil-opdracht is een snelle en veelgebruikte methode om de AIA te configureren. Wanneer u de volgende certutil-opdracht uitvoert, configureert u een statische bestandssysteemlocatie, een lichtgewicht directorytoegangspad (LDAP)-locatie en een HTTP-locatie voor de AIA. De certutil-opdracht om de AIA in te stellen, wijzigt het register, dus zorg ervoor dat u de opdracht uitvoert vanaf een opdrachtprompt en als administrator uitvoert. Voer de volgende opdracht uit:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

Nadat u deze opdracht hebt uitgevoerd, voert u de volgende opdracht uit om uw instellingen te bevestigen:

certutil -getreg CA\CACertPublicatieURL's

Als u in het register kijkt, vindt u het volgende pad: HKEY_LOCAL_MACHINE\Systeem\CurrentControlSet\Services\CertSvc\Configuratie\ EncryptieConsulting Uitgevende CAU kunt de CACertPublicationURL's bevestigen door de REG_MULTI_SZ-waarde te openen. U zou het volgende moeten zien:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Openbare sleutelservices,CN=Services,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

U kunt dit ook zien in de CA-console (certsrv). Om de console te openen, klikt u op Start, Klik SysteembeheerEn klik op Certificeringsinstantie. Vouw in het navigatievenster het Certificeringsinstantie (lokaal). Klik met de rechtermuisknop EncryptieRaadpleeg Root CA En klik vervolgens op Eigenschappen. Op de uitbreidingen tab, onder Selecteer extensie, Klik Autoriteit Informatie Toegang (AIA) en u ziet de grafische weergave van de AIA-instellingen.

Voer de volgende opdracht uit vanaf een administratieve opdrachtprompt om het EncryptionConsulting Issuing CA-certificaat te kopiëren naar de HTTP AIA-locatie:

kopieer “c:\Windows\System32\certsrv\certenroll\CA02.EncryptionConsulting.com_EncryptionConsulting Uitgevende CA.crt” \\srv1.EncryptionConsulting.com\c$\certenroll\

Taak 4: Configureer de CDP

De certutil-opdracht om de CDP in te stellen wijzigt het register. Zorg er daarom voor dat u de opdracht uitvoert vanaf een opdrachtprompt en als administrator uitvoert. Voer de volgende opdracht uit:

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl\n65:\\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl”

Nadat u deze opdracht hebt uitgevoerd, voert u de volgende certutil-opdracht uit om uw instellingen te controleren:

certutil -getreg CA\CRLPublicatie-URL's

In de registerlocatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuratie\ EncryptieConsulting Uitgevende CA U kunt de waarde REG_MULTI_SZ openen en de configuratie van deze waarden bekijken:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
2. ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
3. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl
4. \\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl

U kunt dit ook zien in de CA-console (certsrv). Om de console te openen, klikt u op Start, Klik SysteembeheerEn klik op CertificeringsinstantieZorg ervoor dat in het navigatievenster Certificeringsinstantie (lokaal) is uitgevouwen. Klik met de rechtermuisknop EncryptieRaadpleeg Root CA En klik vervolgens op Aanbod. Op de uitbreidingen tab, onder Selecteer extensie, Klik CRL-distributiepunt (CDP) en u ziet de grafische weergave van de CDP-instellingen.

Voer bij een administratieve opdrachtprompt de volgende opdrachten uit om Active Directory Certificate Services opnieuw te starten en de CRL te publiceren.

net stop certsvc && net start certsvc

certutil -crl

Activiteit 7: De Online Responder Role Service installeren en configureren

Taak 1: De Online Responder Role Service installeren op SRV1

1. 1. Zorg ervoor dat u bent aangemeld bij SRV1.EncryptionConsulting.com als EncryptionConsu\Administrator.
   2. Open Serverbeheer.
   3. Klik met de rechtermuisknop op rollenEn klik op Rollen toevoegen.
   4. Op de Voordat je begint pagina, selecteer dan Volgende.
   5. Op de Selecteer installatietype 4040 hand404040 details hand4040 hand 3 details hand40 hand40 hand details details details details hand 3 Op rollen gebaseerde of functiegebaseerde installatie En klik vervolgens op Volgende.
   6. Op de Serverselectie pagina op Volgende.
   7. Op de Selecteer Serverrollen 4040 hand404040 details hand4040 hand 3 details hand40 hand40 hand details details details details hand 3 Active Directory-certificaatservices En klik vervolgens op Volgende.

8. Op de Kenmerken pagina op Volgende.
9. On Inleiding tot de pagina Active Directory Certificate Services, Klik Volgende.
10. Op de Selecteer rolservices pagina, duidelijk the Certificeringsinstantie, en selecteer vervolgens Online Responder. Klikken Volgende.
    • Let op: U wilt geen certificeringsinstantie op SRV1.EncryptionConsulting.com installeren, daarom schakelt u dat selectievakje uit.
    • Indien de Voeg rolservices en functies toe die vereist zijn voor Online Responder pagina verschijnt, klik Vereiste rolservices toevoegen En klik vervolgens op Volgende. Dan, op de Webserver (IIS), Klik Volgende.

11. Op de Bevestig installatieselecties pagina op Install. Klikken Sluiten wanneer de installatie is voltooid.

12. Klik op "Active Directory Certificate Services configureren op de doelserverZorg ervoor dat op de pagina met inloggegevens Encryptionconsu\Administrator wordt genoemd, klik dan Volgende.

13. Op de Selecteer Rol, Services om te configureren 4040 hand404040 details hand4040 hand 3 details hand40 hand40 hand details details details details hand 3 “online Responder” en klik op Volgende.

14. Op de bevestiging pagina, controleer de details en klik Volgende.

Taak 2: Voeg de OCSP-URL toe aan de Encryption Consulting Issuing CA

Om de OCSP-URL toe te voegen aan de EncryptionConsulting Issuing CA:

1. 1. Zorg ervoor dat u bent aangemeld bij CA02. EncryptionConsulting.com als EncryptionConsu\Administrator
   2. In de  CertificeringsinstantieconsoleKlik met de rechtermuisknop op EncryptionConsulting in de consoleboom Uitgevende CAEn klik op Aanbod.
   3. Op de uitbreidingen tab, onder Selecteer extensieselecteer Autoriteit Informatie Toegang (AIA)En klik op Toevoegen.
   4. In Lokatietype http://srv1.EncryptionConsulting.com/ocsp
   5. En klik vervolgens op OK.
   6. kies Opnemen in de OCSP-extensie (Online Certificate Status Protocol).
      • Let op: een veelvoorkomende fout in de configuratie is het aanvinken van beide selectievakjes op het tabblad Extensies, wat onjuist is. Zorg ervoor dat Opnemen in de OCSP-extensie (Online Certificate Status Protocol) Alleen het selectievakje is geselecteerd.

7. Klik OK. Wanneer daartoe aangezet door de Certificeringsinstantie dialoogvenster om Active Directory Certificate Services opnieuw te starten, klikt u op Ja.

   Belangrijk: De uitgevende certificeringsinstantie (CA) van EncryptionConsulting zal nu de URL http://srv1.EncryptionConsulting.com/ocsp opnemen als onderdeel van de Authority Information Access (AIA)-extensie in alle nieuw uitgegeven, verlengde of opnieuw ingeschreven certificaten. Certificaten die vóór deze wijziging zijn ingeschreven bij de uitgevende certificeringsinstantie (CA) van EncryptionConsulting, zullen deze URL echter niet hebben.

Taak 3: Het OCSP Response Signing-certificaat configureren en publiceren op de Encryption Consulting-uitgevende CA

Het OCSP-responsondertekeningscertificaat configureren:

1. Zorg ervoor dat u op CA02.EncryptionConsulting.com bent aangemeld als EncryptionConsu\Administrator.
2. In de  Certificeringsinstantie console, zorg ervoor dat de EncryptionConsulting Issuing CA is uitgevouwen in de consoleboom.
3. Klik met de rechtermuisknop op Certificaatsjablonen En klik vervolgens op Beheren. Certificaatsjablonen opent en toont de certificaatsjablonen die zijn opgeslagen in Active Directory.
4. Klik met de rechtermuisknop in het detailvenster (middelste venster) OCSP-reactieondertekening En klik vervolgens op Aanbod.
5. Op de Security tab klik Toevoegen. Klikken Objecttypen.
6. In de  Objecttypen dialoogvenster, selecteer Computers En klik vervolgens op OK.
7. In Voer de objectnamen in die u wilt selecterentype SRV1 En klik vervolgens op Controleer namen. Klikken OK.
8. Zorg ervoor dat SRV1 is geselecteerd en in de Allow kolom, zorg ervoor dat de Lees en Inschrijven machtigingen zijn geselecteerd. Klik OK.
9. Sluit de MMC-console Certificaatsjablonen.
10. In certificaten console, klik met de rechtermuisknop Certificaatsjablonen, Selecteer dan Nieuwe en selecteer vervolgens Certificaat sjabloon om uit te geven.
11. In de  Certificaatsjablonen inschakelen dialoogvenster, klik OCSP-reactieondertekening en de klik OK.

Taak 4: Configureer de intrekkingsconfiguratie op de onlineresponder

Om de intrekkingsconfiguratie te configureren:

1. Zorg ervoor dat u op SRV1.EncryptionConsulting.com bent aangemeld als EncryptionConsu\Administrator.
2. Open Serverbeheer, navigeer naar Tools en klik op "Online Responder Management'.
3. Klik met de rechtermuisknop Intrekkingsconfiguratie En klik vervolgens op Intrekkingsconfiguratie toevoegen.
4. Op de Aan de slag met het toevoegen van een intrekkingsconfiguratie pagina klik Volgende.

5. In Naam, ga naar binnen EncryptieConsulting Uitgevende CAEn klik op Volgende.

6. Op de Selecteer CA-certificaatlocatie pagina ervoor zorgen dat Selecteer een certificaat voor een bestaande ondernemings-CA is geselecteerd, klik dan Volgende.

9. Laat de standaardinstellingen staan ​​op de Selecteer ondertekeningscertificaat pagina en klik vervolgens op Volgende.

10. Op de Herroepingsprovider pagina op leverancier.

11. Bekijk de keuzes die voor OCSP Responder worden weergegeven om CRL's in de vorm van LDAP- en HTTP-locaties te downloaden.

    • Opmerking: Afhankelijk van uw behoeften kunt u LDAP of HTTP selecteren als uw primaire locatie voor het downloaden van CRL's door OCSP Responder. U kunt de volgorde van LDAP- en HTTP-URL's wijzigen met omhoog or Naar beneden verplaatsen Laat de standaardinstellingen zoals ze worden weergegeven.

12. Ruim het op Vernieuw CRL's op basis van hun geldigheidsperiodes. In de Bijwerken, CRL's met dit vernieuwingsinterval (min) vak, type 15 En klik vervolgens op OK. Klikken Finish.

    • Opmerking: Als u deze instelling wijzigt om CRL's sneller te downloaden dan de normale vervaldatum van de CRL, kan de OCSP-responder snel nieuwe CRL's downloaden in plaats van de normale vervaldatum van de laatst gedownloade CRL te gebruiken. De productievereisten kunnen afwijken van de hier gekozen waarde.
13. Vouw in de console van de certificeringsinstantie het volgende uit: Matrixconfiguratie En klik vervolgens op SRV1.
14. Beoordeling Status van de intrekkingsconfiguratie Controleer in het middelste deelvenster of er een ondertekeningscertificaat aanwezig is en of de status OK is. De provider gebruikt de huidige configuratie met succes.

Taak 5: Groepsbeleid configureren om de OCSP-URL voor de EncryptionConsulting-uitgevende CA te verstrekken

Deze configuratie is alleen nodig om bestaande certificaathouders te laten profiteren van een nieuwe OCSP-responder zonder dat ze nieuwe certificaten opnieuw hoeven te registreren waaraan de vereiste OCSP-URL is toegevoegd.

1. Zorg ervoor dat u bent aangemeld bij DC01.EncryptionConsulting.com als EncryptionConsu\Administrator.
2. Open een administratieve opdrachtprompt en voer de volgende opdrachten uit:
   • cd \
   • certutil -config “ca02.EncryptieConsulting.com\EncryptionConsulting Uitgevende CA” -ca.cert EncryptionConsultingissuingca.cer
3. Klik Start, Klik lopenen typ vervolgens gpmc.msc. Druk op ENTER.
4. Uitvouwen Forest, uitbreiden Klantgroepen, EncryptionConsulting.com uitbreidenen breid het vervolgens uit Groepsbeleidsobjecten.
5. Klik met de rechtermuisknop Standaarddomeinbeleid, dan klikken Edit.
6. Onder computer Configuration, uitbreiden Policies, uitbreiden Windows-instellingen, uitbreiden security Settingsen breid het vervolgens uit Public Key Policies.
7. Klik met de rechtermuisknop Tussenliggende certificeringsinstantiesEn klik op import.
8. Op de Welkom bij de wizard Certificaat importeren pagina op Volgende.

9. In de Bestandsnaamtype C:\EncryptionConsultingissuingca.cerEn klik op Volgende.

10. Op de Certificaat opslaan pagina op Volgende.
11. Op de De wizard Certificaat importeren voltooien, Klik Finish En klik vervolgens op OK.

12. Selecteer in de consoleboom Tussenliggende certificeringsinstanties
13. Klik met de rechtermuisknop in het detailvenster EncryptionConsulting Uitgifte CA-certificaat, dan klikken Aanbod.
14. Op de OCSP tabblad, in URL toevoegen invoeren http://srv1.EncryptionConsulting.com/ocspEn klik op URL toevoegen. Klikken OK.

15. Sluit de Groepsbeleidsbeheer-editor en sluit vervolgens de Groepsbeleidsbeheerconsole.

Activiteit 8: De MSPKI-hiërarchiestatus verifiëren

Taak 1: Win10

1. Meld u aan bij WIN10 als lokale beheerder.
2. Klik Starttype sysdm.cpl, en druk op ENTER. Klikken Veranderen(Zorg ervoor dat de computernaam al is ingesteld op WIN10 – anders, verander het)
3. In Lid vanselecteer Domeinen typ vervolgens EncryptionConsulting.com. Klikken OK.
4. In Windows Security, voer de Gebruikersnaam en wachtwoord voor het domeinbeheerdersaccount. Klik OK.
5. U bent van harte welkom op het EncryptionConsulting-domein. Klik OK.
6. Wanneer u de melding krijgt dat opnieuw opstarten vereist is, klikt u op OK. Klikken Sluiten. Klikken herstart nu.

Taak 2: Controleer de PKI-gezondheid met Enterprise PKI

Ga als volgt te werk om de Enterprise PKI-console te gebruiken om de PKI-status te controleren:

1. Zorg ervoor dat u op CA02.EncryptionConsulting.com bent aangemeld als EncryptionConsu\Administrator.
2. Open Serverbeheer.

3. In de consoleboom, onder rollen en Active Directory-certificaatservices, Klik Enterprise PKI.

   • Als alternatief kunt u Enterprise PKI uitvoeren door: PKIView.msc vanaf een administratieve opdrachtprompt.
4. Klik met de rechtermuisknop Enterprise PKI En klik vervolgens op AD-containers beheren.

5. Op de NTAuth-certificaten tabblad, controleer of het EncryptionConsulting Issuing CA-certificaat wordt weergegeven met een status van OK.
6. Op de AIA-container tabblad, controleer beide EncryptieRaadpleeg Root CA en EncryptieConsulting Uitgevende CA certificaten zijn aanwezig met een status van OK.
7. Op de CDP-container tabblad, verifiëren EncryptieConsulting Root CA basis CRL, EncryptieConsulting Uitgevende CA-basisen  Delta CRLs zijn aanwezig met een status van OK.
8. On Certificeringsinstanties Container, verifieer EncryptieRaadpleeg Root CA certificaat is aanwezig met een status van OK.
9. On Container voor inschrijvingsdiensten, verifieer EncryptieConsulting Uitgevende CA certificaat is aanwezig met een status van OK.

Taak 3: Certificaatdistributie configureren op de Encryption Consulting uitgevende CA

Om een ​​certificaat voor computers in het bedrijf te publiceren:

1. Zorg ervoor dat u op CA02.com bent aangemeld als EncryptionConsu\Administrator.
2. In de  Certificeringsinstantie console, zorg ervoor dat EncryptieConsulting Uitgevende CA wordt uitgebreid.
3. Klik met de rechtermuisknop Certificaatsjablonen kiezen Nieuwe en selecteer Certificaat sjabloon om uit te geven.
4. Op de Certificaatsjablonen inschakelen dialoogvenster, klik Werkstationauthenticatie, pagina en klik vervolgens op OK.

Taak 4: Een certificaat verkrijgen met WIN10 en de PKI-status verifiëren

Om een ​​certificaat voor WIN10 te verkrijgen en de PKI-status te verifiëren:

1. Meld u aan bij Win10.com als EncryptionConsu\Administrator. (Zorg ervoor dat u de gebruiker aanmeldt als EncryptionConsu\Administrator.)
2. Klik Starttype mmc, en druk vervolgens op ENTER.
3. Klik Dien inEn klik op Add / Remove Snap-in.
4. Klik Certificaten, dan klikken Toevoegen. Kiezen ComputeraccountEn klik op Finish. Klikken OK.

5. Uitvouwen Certificaten, klik met de rechtermuisknop persoonlijke, Klik Alle takenEn klik op Vraag een nieuw certificaat aan.
6. Op de Voordat u begint pagina op Volgende.
7. Op de Selecteer certificaatinschrijvingsbeleid pagina op Volgende.
8. kies Werkstationauthenticatieen klik Inschrijven. Wanneer het certificaat is ingeschreven, klikt u op Inschrijven.

9. Vouw in de consoleboom het volgende uit: persoonlijkeen klik CertificatenKlik met de rechtermuisknop in het detailvenster op  EncryptionConsulting.com certificaat, klik Alle takenEn klik op Exporteren.
10. Op de Welkom bij de wizard Certificaat exporteren pagina op Volgende.

11. Op de Exporteer privésleutel, Klik Volgende(Nee, exporteer niet de standaard geselecteerde privésleutel).

12. Op de Exportbestandsformaat Klik op Volgende op de pagina. [DER gecodeerde binaire X.509 (.CER) is de standaardselectie].
13. Op de Te exporteren bestand pagina, type C:\win10En klik op Volgende.
14. Op de De wizard Certificaat exporteren voltooien pagina, klik dan FinishEn klik op OK.

15. Open een opdrachtprompt en voer de volgende opdrachten uit: (Om een ​​opdrachtprompt te openen, klikt u op Starttype cmd, en druk vervolgens op ENTER)

    • cd\
    • certutil -URL C:\win10.cer

16. Voer in de URL Retrieval Tool de volgende stappen uit: terugvinden sectie:

    • kies OCSP (van AIA) optie en klik vervolgens op terugvindenBevestig dat de status wordt weergegeven als geverifieerd.
    • kies CRL's (van CDP) optie en klik vervolgens op terugvindenBevestig dat de status wordt weergegeven als geverifieerd.
    • Selecteer het Certificaten (van AIA) optie en klik vervolgens op terugvindenBevestig dat de status wordt weergegeven als geverifieerd.
17. Klik afrit om de URL Retrieval Tool te sluiten.
18. Voer de volgende opdracht uit vanaf een opdrachtprompt om het ophalen van de certificaatketen en de intrekkingsstatus grondig te controleren.
    • certutil -verify -urlfetch c:\win10.cer
19. Controleer de uitvoer en zorg ervoor dat alle ketenophalingen en intrekkingsstatussen succesvol zijn geverifieerd.