Microsoft Active Directory Certificate Services (AD CS) met behulp van Azure Blob Storage

Implementatie van Active Directory-certificaatservices is een eenvoudige manier voor bedrijven om hun PKI-infrastructuur op te bouwen. Maar het heeft ook zijn tekortkomingen, zoals

• Gebrek aan implementatie in meerdere regio's
• Hoge latentie op CDP- en AIA-punten

Om dit te ondervangen, moeten organisaties regiospecifieke PKI-infrastructuur implementeren. Dit kan lastiger te onderhouden zijn en leidt tot complexiteit in de gehele infrastructuur.

Met Azure kunnen organisaties een PKI-infrastructuur implementeren die wereldwijd kan worden gebruikt met lage latentie en hoge beschikbaarheid.

In dit artikel laten we u zien hoe u uw eigen PKI-architectuur op Azure kunt opzetten.

Let op: Als dit de eerste keer is dat u een PKI implementeert, raad ik u aan de volgende stappen te volgen: ADCS Two Tier PKI-hiërarchie-implementatie omdat het een eenvoudigere aanpak is en ook de basisprincipes raakt.

Voorwaarden

• Een Azure-account waar we virtuele machines en blob-opslag zullen creëren
• Een aangepaste domeinnaam
• Een offline Windows Server VM, die onze root-CA zal zijn

[LET OP: Dit is een testscenario. Hierdoor komen CDP- en AIA-punten mogelijk niet overeen met uw vereisten. Gebruik waarden die geschikt zijn voor uw vereisten.]

CDP- en AIA-punten voorbereiden

We gaan blob-opslag creëren die zal fungeren als onze CDP/AIA-punten voor onze PKI infrastructuur. We koppelen het ook aan ons aangepaste domein om het door te sturen naar onze blob.

Azure Blob Storage maken

1. Eerst moeten we inloggen op ons Azure-account en naar Opslagaccounts navigeren

   

2. We gaan een nieuw opslagaccount aanmaken. Klik daarom linksboven op 'Create'.

   

3. Geef de nodige details over de basisprincipes. Voor redundantie zou ik ten minste Zone-Redundant Storage (ZRS) aanbevelen.

   

4. Laat op het tabblad Geavanceerd alles op de standaardinstellingen staan ​​en klik op Volgende

5. Op het tabblad Netwerken wordt aanbevolen om openbare toegang te hebben vanaf geselecteerde virtuele netwerken en IP-adressen en het virtuele netwerk te selecteren waar alle virtuele machines worden geïmplementeerd. Als er geen virtueel netwerk bestaat, maak er dan een aan.

   

6. Klik op het tabblad Gegevensbescherming op Volgende.
7. Op het tabblad Versleuteling laat u alle instellingen op de standaardinstellingen staan ​​en klikt u op Volgende.
8. Geef de relevante tags op en klik op Volgende.
9. Op het tabblad 'Beoordelen' kunt u controleren of alles er goed uitziet en op 'Maken' klikken.

Hiermee wordt de blob-opslag aangemaakt. Vervolgens koppelen we deze blob-opslag aan ons aangepaste domein en zorgen we ervoor dat deze toegankelijk is via HTTP.

Een aangepast domein toewijzen aan Azure Blog Storage

Voor deze stap heb je een aangepast domein nodig. Zodra je bent ingelogd, kun je naar de DNS-instellingen gaan.

1. Navigeer in de DNS-instellingen naar DNS-records en voer een CNAME-record in.

2. Nu moeten we de hostnaam voor je opslagaccount ophalen. Hiervoor kunnen we navigeren Instellingen > Eindpunten in het linkerdeelvenster en kopieer de statische website onder Statische website. Het zou er ongeveer zo uit moeten zien: https://pkitest.z13.web.core.windows.net (Https: //.z13.web.core.windows.net/)

   Verwijder de https:// en de extra /. Het zou eruit zien als pkitest.z13.web.core.windows.net, wat onze hostnaam is.

3. Geef nu in de DNS-instellingen voor de hostnaam van het aangepaste domein 'pkitest' op en voor de hostnaam de hostnaam van het opslageindpunt.

   

   Klik om een ​​record te maken

4. Navigeer naar Azure Storage-account, klik op Netwerken voor Beveiliging + Netwerken en selecteer Aangepast domein op het tabblad hierboven.

5. Geef het subdomein op dat u hebt gemaakt.

   

6. Klik op Opslaan. Na succesvolle validatie ontvangt u een validatiemelding.

   

Uitschakelen van beveiligde overdracht vereist

Omdat deze blob een CDP/AIA-punt is, hebben we HTTP-toegang tot de blog nodig. Daarom moeten we de beveiligde overdracht uitschakelen. Als HTTP-toegang is ingeschakeld, is deze blob niet mogelijk; onze PKI kan deze blob dan niet als CDP/AIA-punt gebruiken.

1. Navigeer naar Configuratie voor Instellingen

2. Set Veilige overdracht vereist naar invalide

   

3. Klik op Opslaan

Testen van de toegankelijkheid van het opslagaccount

Met dit gedeelte zorgen we ervoor dat ons opslagaccount toegankelijk is via een aangepast domein.

1. Eerst zouden we een container creëren en er een bestand naartoe uploaden

2. Navigeer naar Containers onder Gegevensopslag

   

3. Klik in de linkerbovenhoek op

4. Geef de naam op, stel de openbare toegang in als een blob en klik op Maken

   De container wordt aangemaakt

   

5. Klik op de naam en navigeer erin

6. Klik in de linkerbovenhoek op

7. Selecteer een bestand om te testen (bij voorkeur een pdf- of txt-bestand)

   

8. Klik op Uploaden en zodra het is geüpload, zou het beschikbaar moeten zijn in de container

   

9. Nu gaan we proberen toegang te krijgen tot het bestand met behulp van een aangepast domein. De URL zou moeten zijn:

   http://<subdomain.customdomain>/<mycontainer>/<myblob>

   Voor ons zou het domein dus moeten zijn:

   http://pkitest.encryptionconsulting.com/pkitest/TestFile.pdf

   Zorg ervoor dat het bestand wordt geopend in HTTP en dat het bestand wordt weergegeven of gedownload

   

Dit is het einde van ons gedeelte over het voorbereiden van CDP- en AIA-punten. Vervolgens beginnen we met het aanmaken van onze PKI. U kunt nu het testbestand uit de container verwijderen, aangezien het alleen het certificaat en de CRL's bevat.

Domeincontroller aanmaken

In deze stapsgewijze handleiding wordt gebruikgemaakt van een Active Directory Domain Services (AD DS)-forest met de naam encon.com. DC01 fungeert als domeincontroller.

Eerst implementeren we een virtuele machine op Azure. Zorg ervoor dat beide IP's statisch zijn.

Zorg ervoor dat tijdens de implementatie:

1. VM's worden op hetzelfde virtuele netwerk geïmplementeerd
2. Als het in dezelfde regio wordt geïmplementeerd, zorg er dan voor dat het subnet hetzelfde is

3. Openbaar IP-adres is statisch

   

4. Zodra de VM is aangemaakt, navigeert u naar Netwerken onder Instellingen en klik op Netwerkinterface

   

   1. Navigeer naar IP-configuratie onder instellingen

   2. Klik op ipconfig1 in het menu en verander de IP-privé-instellingen van Dynamisch naar Statisch

      

   3. Klik op Opslaan en ga terug naar de VM

Geef andere parameters op volgens uw vereisten en maak de virtuele machine.

Netwerk configureren

Zodra de VM is aangemaakt, logt u in en volgt u de onderstaande stappen

1. Meld u aan bij DC01 als lokale gebruiker
2. Klik Starttype ncpa.cpl en druk op ENTER
3. Klik op EthernetEn klik op Aanbod onder Activiteit
4. Dubbelklik op Internetprotocol versie 4 (IPv4)
5. Verander alleen de DNS-serveradresen het privé-IPv4 van DC01 bieden

6. Voor alternatieve DNS geeft u 8.8.8.8 of een andere gewenste openbare DNS-service op.

   

7. Klik op OK en start de VM opnieuw op vanuit de portal
8. Meld u na het opnieuw opstarten aan bij DC01 als lokale gebruiker
9. Klik Starttype sysdm.cpl en druk op ENTER
10. Wijzig PC-naam naar DC01en herstart nu als daarom gevraagd wordt.

Active Directory Domain Services installeren en een nieuw forest toevoegen

1. Open server ManagerOm dit te doen, kunt u op de knop klikken Serverbeheerpictogram in de werkbalk of klik Start, dan klikken server Manager.
2. Klik BeherenEn klik op Rollen en functies toevoegen
3. Voordat u begint, klikt u op Volgende
4. Klik op Installatietype Volgende
5. Klik op Serverselectie Volgende
6. Kies bij Serverrollen voor Active Directory-domeinservices, Klik Functies toevoegenEn klik op Volgende
7. Klik op Functies Volgende
8. Klik op AD DS op Volgende
9. Klik bij Bevestiging op Install.

10. Na installatie, ofwel

    1. Klik op Promoot deze server tot een domeincontroller over de wizard Rollen en functies toevoegen

       

    2. Of klik op Promoot deze server tot een domeincontroller over configuraties na implementatie in meldingen

       

11. Kies bij Implementatieconfiguratie voor het toevoegen van een nieuw forest en geef de rootdomeinnaam op ("encon.com")

    

12. Geef bij de opties voor de domeincontroller het wachtwoord voor de Directory Services Restore Mode op en klik op Volgende
13. Klik onder DNS-opties op Volgende
14. Klik onder Extra opties op Volgende
15. Klik onder Paden op Volgende
16. Klik onder Opties voor beoordeling op Volgende
17. Klik onder Vereistencontrole op Install
18. Zodra de installatie voltooid is, wordt de externe verbinding verbroken.

19. Meld je aan bij DC01 als encon\

    

20. DC01 is nu klaar

Offline root-CA maken

De standalone offline root-CA mag niet in het domein worden geïnstalleerd. Deze mag zelfs helemaal niet met een netwerk worden verbonden.

We maken deze root-CA on-premises aan. Ik maak deze op Proxmox, maar u kunt VMware of VirtualBox gebruiken voor deze installatie.

Volg na de installatie van Windows Server 2019 de onderstaande stappen

1. Meld u aan bij CA01 als CA01\Administrator.
2. Klik op Start, klik op Uitvoeren, typ kladblok C:\Windows\CAPolicy.inf en druk op ENTER.
3. Wanneer u wordt gevraagd een nieuw bestand te maken, klikt u op Ja.

4. Typ het volgende als inhoud van het bestand.

   [Versie] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048; aanbevolen 4096 RenewalValidityPeriod=Jaren RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

5. Klik op Bestand en Opslaan om het bestand CAPolicy.inf op te slaan in de map C:\Windows. Sluit Kladblok.

Offline root-CA installeren

1. Meld u aan bij CA01 als CA01\Administrator.
2. Klik StartEn klik op server Manager.
3. Klik BeherenEn klik op Rollen en functies toevoegen
4. Klik op de pagina Voordat u begint op Volgende.
5. Selecteer op de pagina Serverrollen selecteren Active Directory-certificaatservicesEn klik op Volgende.
6. Klik op de pagina Inleiding tot Active Directory Certificate Services op Volgende.
7. Zorg ervoor dat op de pagina Rolservices selecteren: Certificeringsinstantie is geselecteerd, dan Volgende.
8. Zorg ervoor dat op de pagina Type installatie opgeven de optie Zelfstandig is geselecteerd en klik vervolgens op Volgende.
9. Zorg ervoor dat op de pagina CA-type opgeven: Root-CA is geselecteerd en klik vervolgens op Volgende.
10. Zorg ervoor dat op de pagina Persoonlijke sleutel instellen: Maak een nieuwe privésleutel is geselecteerd en klik vervolgens op Volgende.
11. Laat de standaardinstellingen op de pagina Configureer cryptografie voor CA staan ​​en klik op Volgende.
12. Op de pagina CA-naam configureren, onder de algemene naam voor deze CA, wist u de bestaande invoer en typt u Encon Root CA. Klik Volgende.
13. Op de pagina Geldigheidsperiode instellen, onder Geldigheidsperiode selecteren voor het certificaat dat voor deze CA is gegenereerd, wist u de bestaande invoer en typt u 20. Laat het selectievakje ingesteld op Jaren. Klik Volgende.
14. Behoud de standaardinstellingen op de pagina Certificaatdatabase configureren en klik op Volgende.
15. Controleer de instellingen op de pagina Bevestig installatieselecties en klik vervolgens op Install.
16. Controleer de informatie op de pagina Installatieresultaten om te controleren of de installatie is geslaagd en klik op Sluiten.

Configuratie na installatie op root-CA

1. Zorg ervoor dat u bent aangemeld bij CA01 as CA01\Beheerder.
2. Open een opdrachtprompt. Om dit te doen, kunt u klikken op Start, Klik lopentype cmd En klik vervolgens op OK.

3. Om de Distinguished Name van de Active Directory-configuratiepartitie te definiëren, voert u de volgende opdracht uit vanaf een administratieve opdrachtprompt

   Certutil -setreg CA\DSConfigDN "CN=Configuration,DC=Encon,DC=com"

4. Definiëren CRL-periode-eenheden en CRL-periode, voer de volgende opdrachten uit vanaf een administratieve opdrachtprompt:

   1. Certutil -setreg CA\CRLPeriodUnits 52
   2. Certutil -setreg CA\CRLPeriod "Weeks"
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 0

5. Definiëren CRL Overlap Periode Eenheden en CRL-overlapperiode, voer de volgende opdrachten uit vanaf een administratieve opdrachtprompt:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod "Hours"

6. Definiëren Geldigheidsperiode-eenheden Typ de volgende opdracht voor alle door deze CA uitgegeven certificaten en druk op Enter. In dit lab zou de uitgevende CA van de onderneming een geldigheidsduur van 20 jaar voor zijn CA-certificaat moeten krijgen. Om dit te configureren, voert u de volgende opdrachten uit vanaf een beheerdersopdrachtprompt:

   1. Certutil -setreg CA\ValidityPeriodUnits 20
   2. Certutil -setreg CA\ValidityPeriod "Years"

Configuratie van CDP- en AIA-punten

Er zijn verschillende methoden om de locaties van de Authority Information Access (AIA) en de distributiepunten voor certificaatintrekkingslijsten (CDP) te configureren. De AIA verwijst naar de openbare sleutel voor de certificeringsinstantie (CA). U kunt de gebruikersinterface (in de eigenschappen van het CA-object), certutil of rechtstreeks het register bewerken gebruiken. De CDP is de locatie waar de certificaatintrekkingslijst wordt bijgehouden, waarmee clientcomputers kunnen bepalen of een certificaat is ingetrokken. Dit lab heeft drie locaties voor de AIA en vier locaties voor de CDP.

AIA-punten configureren

Een certutil-opdracht is een snelle en veelgebruikte methode voor het configureren van de AIA. De certutil-opdracht om de AIA in te stellen wijzigt het register, dus zorg ervoor dat u de opdracht uitvoert vanaf een opdrachtprompt en als administrator uitvoert. Wanneer u de volgende certutil-opdracht uitvoert, configureert u een statische bestandssysteemlocatie, een HTTP-locatie voor de AIA en een lichtgewicht directorytoegangspad (LDAP). Voer de volgende opdracht uit:

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Let op: U moet het http-adres op de AIA-locatie wijzigen. Voor dit scenario was ons http-containeradres http://pkitest.encryptionconsulting.com/pkitest/, die voor u kunnen verschillen.

De CDP-punten configureren

De certutil-opdracht om de CDP in te stellen wijzigt het register, dus zorg ervoor dat u de opdracht uitvoert vanuit een opdrachtprompt.

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/%3%8%9.crl \n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Let op: U moet het http-adres op de CDP-locatie wijzigen. Voor dit scenario was ons http-containeradres http://pkitest.encryptionconsulting.com/pkitest/, die voor u kunnen verschillen.

Voer bij een administratieve opdrachtprompt de volgende opdrachten uit om Active Directory Certificate Services opnieuw te starten en de CRL te publiceren

net stop certsvc && net start certsvc

certutil -crl

Uitgevende CA aanmaken

Enterprise-CA's moeten aan het domein worden toegevoegd. Voordat u de Enterprise Issuing CA (CA02) installeert, moet u eerst de server aan het domein toevoegen. Vervolgens kunt u de rolservice 'Certificeringsinstantie' op de server installeren.

Eerst implementeren we een virtuele machine op Azure. Zorg ervoor dat beide IP's statisch zijn.

Zorg ervoor dat tijdens de implementatie:

1. VM's worden op hetzelfde virtuele netwerk geïmplementeerd
2. Als het wordt ingezet op de dezelfde regioZorg ervoor dat het subnet hetzelfde is

3. Openbaar IP-adres is statisch

   

4. Zodra de VM is aangemaakt, navigeert u naar Netwerken onder Instellingen en klik op Netwerkinterface



1. Navigeer naar IP-configuratie onder instellingen

2. Klik op ipconfig1 in het menu en verander de IP-privé-instellingen van Dynamisch naar Statisch

   

3. Klik op Opslaan en ga terug naar de VM

Geef andere parameters op volgens uw vereisten en maak de virtuele machine.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Netwerk configureren

1. Meld u aan bij CA02 als lokale gebruiker
2. Klik Starttype ncpa.cplen druk op ENTER
3. Klik op EthernetEn klik op Aanbod onder Activiteit
4. Dubbelklik op Internetprotocol versie 4 (IPv4)

5. Verander alleen de DNS-serveradresen geef het privé-IPv4-adres van DC01 op (als beide tot dezelfde regio behoren), of geef het openbare IP-adres van DC01 op (als ze tot verschillende regio's behoren)

   

6. Klik op OK en start de VM opnieuw op vanuit de portal
7. Meld u na het opnieuw opstarten aan bij CA02 als lokale gebruiker
8. Klik Starttype sysdm.cplen druk op ENTER

9. Wijzig PC-naam naar CA02 Geef de domeinnaam op in het domein. Geef de inloggegevens voor DC01 op en wacht tot u een succesbericht ontvangt.

   

10. Klik op herstart nu als daarom gevraagd wordt.

CAPolicy aanmaken in uitgevende CA

1. Meld u aan bij CA01 als CA01\Administrator.
2. Klik op Start, klik op Uitvoeren, typ kladblok C:\Windows\CAPolicy.inf en druk op ENTER.
3. Wanneer u wordt gevraagd een nieuw bestand te maken, klikt u op Ja.

4. Typ het volgende als inhoud van het bestand.

   [Versie] Handtekening="$Windows NT$" [PolicyStatementExtension] Beleid=InternBeleid [InternBeleid] OID= 1.2.3.4.1455.67.89.5 URL= http://pkitest.encryptionconsulting.com/pkitest/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Jaren RenewalValidityPeriodUnits=10 LoadDefaultTemplates=0
   

5. Klik op Bestand en Opslaan om het bestand CAPolicy.inf op te slaan in de map C:\Windows. Sluit Kladblok.

Publiceren van root-CA-certificaten en CRL's in CA02

1. Meld u aan bij CA01 als lokale beheerder
2. Navigeer naar C:\Windows\System32\CertSrv\CertEnroll

3. Kopieer de aanwezige CRL's en certificaten

   

4. Plak de bestanden in de C-schijf in CA02

   Let op: Als u RDP gebruikt, kunt u direct kopiëren en plakken

   

5. Om op CA02 het Encon Root CA-certificaat en CRL in Active Directory te publiceren, voert u de volgende opdrachten uit vanaf een administratieve opdrachtprompt.

           certutil -f -dspublish "C:\CA01_Encon Root CA.crt" RootCA certutil -f -dspublish "C:\Encon Root CA.crl" CA01
       

6. Als u het Fabrikam Root CA-certificaat en CRL wilt toevoegen aan de lokale opslaglocatie CA02.Fabrikam.com, voert u de volgende opdracht uit vanaf een administratieve opdrachtprompt.

       certutil -addstore -f root "C:\CA01_Encon Root CA.crt" certutil -addstore -f root "C:\Encon Root CA.crl"
       

Uitgevende CA installeren

1. Zorg ervoor dat u bent ingelogd als Encon-gebruiker in CA02

2. Klik Starten klik vervolgens op server Manager

3. Klik BeherenEn klik op Rollen en functies toevoegen

4. Klik Volgende on Voordat u begint

   

5. Klik op Installatietype Volgende

   

6. On Serverselectie, Klik Volgende

   

7. On Serverrollen, kies Active Directory-certificaatservices, Klik op Functies toevoegen wanneer gevraagd en klik Volgende

   

8. On Kenmerken, Klik Volgende

   

9. Klik in AD CS op Volgende.

   

10. On Roldiensten, Kies Webinschrijving van certificeringsinstantie, Klik op Functies toevoegen wanneer daarom wordt gevraagd, en klik Volgende

    

11. Klik op Volgende bij Webserverrol (IIS) en Rolservices

    

12. Klik bij Bevestiging op Install

    

Configuratie van uitgevende CA

1. Na installatie, ofwel

   1. Klik op Active Directory-certificaatservices configureren op de doelserver in de wizard Rollen en functies toevoegen

      

   2. Of klik op Active Directory-certificaatservices configureren op Berichtencentrum

      

2. Klik bij Referenties op Volgende

   

3. Kies onder Roldiensten beide Certificate Authority net zoals Webinschrijving van certificeringsinstantie

   

4. On Installatietype, ervoor zorgen Enterprise-CA is gekozen en klik Volgende

   

5. Kies bij CA-type voor Ondergeschikte CA en klik op Volgende

   

6. Kies bij Private Key voor: Maak een nieuwe privésleutel

   

7. Bij Cryptografie laat u de standaardinstellingen staan ​​en klikt u op Volgende

   

8. Geef bij CA-naam de algemene naam op als Encon-uitgevende CA en laat alles op de standaardwaarde staan.

   

9. Zorg ervoor dat bij Certificaataanvraag de optie Certificaataanvraag opslaan in bestand is geselecteerd en klik op Volgende

   

10. Klik op Volgende in de Certificaatdatabase

    

11. Bij bevestiging na beoordeling, klik op Configure

    

12. De uitgevende CA zou nu geconfigureerd moeten zijn. Klik op Sluiten.

    

13. Nadat de uitgevende CA is geconfigureerd, verschijnt er een bestand op schijf C. Kopieer dit bestand naar schijf C in de root-CA.

    

Uitgifte Encon Uitgifte CA-certificaat

1. Kopieer het uitgevende CA-aanvraagbestand naar de root-CA C-schijf
2. Open de opdrachtprompt

3. Voer het commando uit

   certreq -submit "C:\CA02.encon.com_encon-CA02-CA.req"

4. Selecteer Root CA uit de lijst met certificeringsinstanties

   

5. Zodra een verzoek is ingediend, ontvangt u een RequestID

   

6. Open Certificate Authority van Extra in Serverbeheer

   

7. Navigeer naar 'In behandeling zijnde verzoeken'

   

8. Klik met de rechtermuisknop op de RequestID die u hebt gekregen bij het indienen van de aanvraag, klik op Alle taken en klik op Probleem

   

9. Zodra de opdracht is uitgegeven, navigeert u opnieuw naar de opdrachtprompt en voert u deze uit

   certreq -retrieve 2 "C:\CA02.encon.com_Encon Issuing CA.crt"

10. Selecteer Root CA uit de lijst met certificeringsinstanties

    

11. Zodra het is opgehaald, wordt het bericht 'succesvol' weergegeven

    

12. Kopieer het uitgegeven certificaat van Root CA naar CA02

    

13. Meld u aan bij CA02 als Encon-gebruiker en kopieer het certificaat naar de C-schijf

14. Open Certificate Authority van Extra in Serverbeheer

    

15. Klik met de rechtermuisknop op Encon Issuing CA, klik op Alle taken en klik op CA-certificaat installeren

    

16. Navigeer naar schijf C en selecteer Alle bestanden naast Bestandsnaam totdat het gekopieerde certificaat zichtbaar is

    

17. Selecteer het uitgegeven certificaat en klik Open

    Klik met de rechtermuisknop op Encon Issuing CA, klik op Alle taken en klik op Service starten

    

Configuratie na installatie op uitgevende CA

1. Zorg ervoor dat u bent aangemeld bij CA02 as Encon-gebruiker
2. Open een opdrachtprompt. Om dit te doen, kunt u klikken op Start, Klik lopentype cmd en klik vervolgens op OK.

3. Definiëren CRL-periode-eenheden en CRL-periode, voer de volgende opdrachten uit vanaf een administratieve opdrachtprompt:

   1. Certutil -setreg CA\CRLPeriodUnits 1
   2. Certutil -setreg CA\CRLPeriod “Weken”
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 1
   4. Certutil -setreg CA\CRLDeltaPeriod “Dagen”

4. Definiëren CRL Overlap Periode Eenheden en CRL-overlapperiode, voer de volgende opdrachten uit vanaf een administratieve opdrachtprompt:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod “Uren”

5. Definiëren Geldigheidsperiode-eenheden Typ de volgende opdracht voor alle door deze CA uitgegeven certificaten en druk op Enter. In dit lab zou de uitgevende CA van de onderneming een geldigheidsduur van 20 jaar voor zijn CA-certificaat moeten krijgen. Om dit te configureren, voert u de volgende opdrachten uit vanaf een beheerdersopdrachtprompt:

   1. Certutil -setreg CA\ValidityPeriodUnits 5
   2. Certutil -setreg CA\ValidityPeriod “Jaren”

Configuratie van CDP- en AIA-punten

Er zijn verschillende methoden om de locaties van de Authority Information Access (AIA) en de distributiepunten voor certificaatintrekkingslijsten (CDP) te configureren. De AIA verwijst naar de openbare sleutel voor de certificeringsinstantie (CA). U kunt de gebruikersinterface (in de eigenschappen van het CA-object), certutil of het register rechtstreeks bewerken gebruiken.

In de CDP wordt de certificaatintrekkingslijst bijgehouden, waarmee clientcomputers kunnen vaststellen of een certificaat is ingetrokken. Dit lab heeft drie locaties voor de AIA en drie voor de CDP.

AIA-punten configureren

Een certutil-opdracht is een snelle en veelgebruikte methode voor het configureren van de AIA. De certutil-opdracht om de AIA in te stellen wijzigt het register, dus zorg ervoor dat u de opdracht uitvoert vanaf een opdrachtprompt en als administrator uitvoert.

Wanneer u de volgende certutil-opdracht uitvoert, configureert u een statische bestandssysteemlocatie, een HTTP-locatie voor de AIA en een lichtgewicht directorytoegangspad (LDAP). Voer de volgende opdracht uit:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11”

Let op: U moet het http-adres op de AIA-locatie wijzigen. Voor dit scenario was ons http-containeradres http://pkitest.encryptionconsulting.com/pkitest/, die voor u kunnen verschillen.

De CDP-punten configureren

De certutil-opdracht om de CDP in te stellen wijzigt het register, dus zorg ervoor dat u de opdracht uitvoert vanuit een opdrachtprompt.

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/CertEnroll/%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10”

Let op: U moet het http-adres op de CDP-locatie wijzigen. Voor dit scenario was ons http-containeradres http://pkitest.encryptionconsulting.com/pkitest/, die voor u kunnen verschillen.

Volgens het CDP-punt bevindt de CertEnroll-map zich in de pkitest-container in Azure Blob. Dit komt doordat de map recursief wordt gekopieerd van de CertSrv-map naar de blob-opslag.

Voer bij een administratieve opdrachtprompt de volgende opdrachten uit om Active Directory Certificate Services opnieuw te starten en de CRL te publiceren

net stop certsvc & &net start certsvc

certutil -crl

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Certificaten en CRL's uploaden naar de Blob-opslag

Volgens onze CDP- en AIA-punten zouden de certificaten beschikbaar zijn in de blob-opslag in Azure. Als we PKIView.msc uitvoeren bij de uitgevende certificeringsinstantie (CA), zullen we fouten tegenkomen waarbij de certificaten of CRL's niet worden gevonden.



Om dit op te lossen, moeten we uploaden

• Root CA-certificaten
• Root CA CRL
• Uitgifte van CA-certificaten

Uitgevende CA-CRL's worden geüpload via een script dat we hierna uitvoeren.

Om de bestanden te uploaden, kopieert u ze van de betreffende machines en bewaart u ze op uw hostcomputer. U vindt deze bestanden in C:\Windows\System32\certsrv\CertEnroll op zowel de root-CA als de uitgevende CA.

Let op: kopieer niet de CRL's van de uitgevende CA.



Nadat u het hebt gekopieerd, volgt u de onderstaande stappen

1. Navigeer naar het opslagaccount en klik op de pkitest die u hebt gemaakt

   

2. Klik op containers onder Gegevensopslag

   

3. Klik op de map pkitest

4. Klik op Uploaden linksboven

   

5. Klik op het bladerpictogram en selecteer alle bestanden die u wilt uploaden en klik op Openen

   

6. Selecteer Overschrijven als de bestanden al bestaan ​​en klik vervolgens op Uploaden

   

7. Na het uploaden zouden alle bestanden beschikbaar moeten zijn

   

Zodra de bestanden zijn geüpload, navigeer je naar CA02 en open je PKIView.msc opnieuw. De CDP-punten van de root- en uitgevende CA zouden nu beschikbaar moeten zijn, maar het AIA-punt gaf nog steeds een foutmelding omdat we die bestanden niet naar de pkitest-map hadden gekopieerd.



Script om uitgevende CA CRL's te kopiëren

Voordat we beginnen, moeten we downloaden AzCopy. Pak de app na het downloaden uit in C:\ om toegankelijk te zijn. We gebruiken deze locatie in ons script. Wijzig het pad van het script als u de applicatie op een andere locatie wilt opslaan.



Je hebt nu ook een map nodig om de code in op te slaan. Ik raad aan om een ​​map aan te maken op schijf C met de naam AZCopyCode. Download het script hieronder en sla het daar op. We moeten een paar aanpassingen doen om het werkend te krijgen.

Let op: Deze code is oorspronkelijk gemaakt door dstreefkerk. Deze code werkt wel voor Windows Server 2022. Ik heb een aantal wijzigingen aangebracht en een paar bugs opgelost.

Code: https://github.com/Encryption-Consulting-LLC/AzCopyCode/blob/main/Invoke-UpdateAzureBlobPKIStorage.ps1

Github Gist moet worden ingesloten:

<script src=”https://gist.github.com/coffee-coded/4cbeb0de02628bc2da6b182dc11bad0b.js”></script>

Code wijzigingen

1. Navigeer naar het opslagaccount en klik op de pkitest die u hebt gemaakt

   

2. Klik op containers onder Gegevensopslag

   

3. Klik op de map pkitest

4. Klik op Shared Access Token onder Instellingen. Geef de juiste rechten op en kies een vervaldatum (bij voorkeur één jaar).

   

5. Klik op SAS-token genereren en kopieer Blob SAS-token
6. Open de code in Kladblok of uw favoriete code-editor

7. Plak het SAS-token voor de variabele

   $azCopyDestinationSASKey

8. Navigeer naar eigenschappen onder Instellingen, kopieer de URL en plak deze voor $azCopyDestination
9. Wijzig indien van toepassing de log- en logarchieflocaties.
10. Wijzig de locatie van AzCopy in $azCopyBinaryPath als u azCopy op een andere locatie hebt opgeslagen.
11. Zodra er wijzigingen zijn aangebracht, slaat u deze op in C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1
12. Open PowerShell in CA02
13. Navigeer naar C:\AZCopyCode
14. Voer Invoke-UpdateAzureBlobPKIStorage.ps1 uit

15. Nadat het is gekopieerd, wordt weergegeven hoeveel bestanden er zijn gekopieerd, met 100% en alles voltooid met 0 Mislukt

    

16. Open PKIView.msc en er zouden nu geen fouten meer zichtbaar moeten zijn

    

17. De algehele PKI moet gezond zijn.

    

Problemen oplossen

Voor dit scenario veronderstellen we dat u een foutmelding krijgt



Kopieer de URL door met de rechtermuisknop op de locatie te klikken en deze naar een kladblok te kopiëren. Het zou er ongeveer zo uit moeten zien.

http://pkitest.encryptionconsulting.com/pkitest/Encon%20Root%20CA.crl%20

Als u dit probeert te openen in de browser, krijgt u nog steeds een foutmelding omdat er een %20 achter staat, wat wijst op een spatie. Om dit probleem op te lossen, moeten de CDP- en AIA-punten in de root-CA worden gewijzigd en moet de uitgevende CA opnieuw worden aangemaakt.

Het script automatiseren

We zouden dit script automatiseren met Taakplanner om het elke week uit te voeren. U kunt dit naar wens aanpassen.

1. Open Taakplanner

2. Klik met de linkermuisknop op Taakplanner (lokaal) en klik op Basistaak maken

   

3. Geef een naam en beschrijving voor de taak

   

4. Taaktrigger is geconfigureerd voor wekelijks

   

5. Selecteer de datum en tijd waarop het script wordt uitgevoerd

   

6. Selecteer bij Actie de optie Start een programma en klik op Volgende

   

7. Onder Start, een Programma, In Programma/Script schrijven

   powershell -file "C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1"

   

8. Klik op Ja op de prompt

   

9. Controleer het dialoogvenster Open Eigenschappen en klik op Voltooien

   

10. Zodra dit is voltooid, is AZ Copy beschikbaar in de Taakplannerbibliotheek.

    

11. Klik met de rechtermuisknop op AZ Copy en klik op Uitvoeren

12. Vernieuw en controleer het tabblad Geschiedenis. De voltooide actie zou in de geschiedenis moeten verschijnen.

    

Conclusie

Hiermee ronden we onze AD CS-installatie met Azure Blob Storage af. Het is eenvoudiger te beheren, maar we bereiken ook hoge beschikbaarheid met Azure's Blob Storage. Dit helpt organisaties bij het creëren van een PKI die wereldwijd operationeel kan zijn met minimale latentie en hoge prestaties, waar u zich ook bevindt. Neem contact op met ons als u problemen ondervindt. info@encryptionconsulting.com