Steg-för-steg-guide för ADCS tvånivås PKI-hierarkidistribution

Introduktion och översikt över testlabbet

Det finns fem datorer/maskiner involverade i detta tvånivåiga PKI-hierarkilabb som använder Microsoft ADCS.

1. Det finns en domänkontrollant (DC01) som också kör Active Directory-integrerad Domain Name Service (DNS). Den här datorn kommer också att tillhandahålla LDAP-platsen (Lightweight Directory Access Protocol) för CDP:n och AIA-punkten för MSPKI-konfigurationen.
2. En fristående offline rot-CA (CA01).
3. En företagsutfärdande CA (CA02).
4. En webbserver (SRV1) (HTTP CDP/AIA) och
5. En Windows 10 (Win10) klientdator.

Virtuell maskin	roller	OS typ	IP-adress	nätmask	Önskad DNS-server
DC01.encryptionconsulting.com	DC och DNS – LDAPCDP/AIA	Windows Server 2019	192.168.1.10	255.255.255.0	192.168.1.10
CA01	Fristående offline rot-CA	Windows Server 2019	NA	NA	NA
CA02.encryptionconsulting.com	Företagsutgivande CA	Windows Server 2019	192.168.1.12	255.255.255.0	192.168.1.10
SRV1.encryptionconsulting.com	Webbserver – HTTP CDP/AIA	Windows Server 2019	192.168.1.13	255.255.255.0	192.168.1.10
WIN10.encryptionconsulting.com	Windows-klientdator	Windows 10	192.168.1.14	255.255.255.0	192.168.1.10

Viktiga steg

Det finns åtta huvudsteg i den här steg-för-steg-guiden som listas nedan (vart och ett innehåller flera deluppgifter).

1. Installera Active Directory-skogen
2. Förbered webbservern för CDP- och AIA-publicering
3. Installera den fristående offline-root-CA:n
4. Utför konfigurationssteg efter installationen på den fristående offline-rot-CA:n
5. Installera underordnad utfärdande certifikatutfärdare
6. Utför konfigurationen efter installationen på den underordnade utfärdande certifikatutfärdaren
7. Installera och konfigurera online-respondern
8. Verifiera MSPKI-hierarkins hälsa

Aktivitet 1. Active Directory-skog

Uppgift 1: Installera en ny skog med hjälp av Serverhanteraren

Så här installerar du EncryptionConsulting.com-skogen:

1. Gå till Portal.azure.com och logga in DC01 as DC01\Administratör.
2. Öppet server manager. Välj Start, klicka på Administrativa verktyg och klicka sedan på server manager.
3. Högerklicka i konsolträdet hantera och klicka sedan på Lägg till roller & Funktioner
4. På Innan du börjar sida, klicka Nästa.
5. På Välj Installationstyp, klicka på Rollbaserad eller funktionsbaserad
6. On Serverval, Välj en servern från serverpoolen och klicka på Klicka sedan på Nästa
7. På Välj Serverroller sida, välj Active Directory Domain Services. Klicka Nästa.
   1. Om uppmanas av Guiden Lägg till roller, klicka på Lägg till nödvändiga funktioner och klicka sedan på Nästa.
8. På Funktioner sidan, klicka på nästa.
9. På Active Directory Domain Services sida, klicka Nästa.
10. På Bekräfta installationsval sida, klicka installera.
11. När du är klar klickar du på hyperlänken för att befordra den här servern till en domänkontrollant

12. På Välkommen till installationsguiden för Active Directory Domain Services sida, klicka Nästa.
13. På Implementeringskonfiguration sida, välj Lägg till en ny skog, Specificera Skogsrotdomän sida, in FQDN för skogens rotdomän, Typ Krypteringskonsultation.comOch klicka sedan på Nästa.

14. På Ställ in skogens funktionsnivå sida, i Skogsfunktionell nivå rullgardinsmeny, välj Windows Server 2016 och klicka sedan på Nästa

På Administratörslösenord för återställningsläge för katalogtjänster sidan, skriv in och bekräfta lösenordet för återställningsläget och klicka sedan på NästaDet här lösenordet måste användas för att starta AD DS i återställningsläge för katalogtjänster för uppgifter som måste utföras offline.

DNS-server är valt som standard så att din skogs-DNS-infrastruktur kan skapas under installationen av AD DS. I vårt scenario kommer vi att använda Active Directory-integrerad DNS, så vi har valt att installera DNS

15. På den ytterligare Montering sida, klicka Nästa.

Om ingen statisk IP-adress har tilldelats nätverkskortet visas ett varningsmeddelande som uppmanar dig att ange statiska adresser.

Guiden visar ett meddelande som anger att det inte går att skapa en delegering för DNS-servern. Klicka på Ja att fortsätta.

16. På Plats för databas, loggfiler och SYSVOL sida, klicka Nästa.

17. På Förutsättningskontroll sidan, granska dina val och klicka på installera Active Directory-domäntjänster.

18. Vänta en stund tills installationen är klar och systemet startas om.

OBS: Om du använder Active Directory-integrerad DNS, IP-adressen för Önskad DNS-server för den första domänkontrollanten i skogen sätts automatiskt till loopback-adressen 127.0.0.1. Detta hjälper till att säkerställa att IP-adressen för den första domänkontrollanten matchas i DNS även om serverns statiska IP-adress ändras.Om du föredrar att konfigurera DNS-serverns faktiska IP-adress snarare än loopback-adressen, ersätt den med 192.168.1.10 efter omstarten.

Uppgift 2: HTTP-webbserver: CDP- och AIA-publikation

1. Logga in på SRV1 som lokal administratör.
2. Klicka Start, Typ sysdm. cpl, och tryck på ENTER. Klicka Ändra.
3. In Medlem i, Välj Domänoch skriv sedan Krypteringskonsultation.com Klicka OK.
4. In Windows Security, gå in i Användarnamn och Lösenord för domänadministratörskontot. Klicka OK.
5. Du borde vara välkommen till Krypteringskonsulting domänklick OK.
6. När du uppmanas att en omstart krävs klickar du på OK. Klicka Stäng. Klicka starta nu.

Uppgift 3: Installera webbserverrollen (IIS)

1. Logga in Krypteringskonsultation.com as Krypteringskonsu\Administratör. (Se till att du byter användare för att logga in som Krypteringskonsument\Administratör)
2. Öppna Serverhanteraren.
3. Högerklicka på Roller och Välj sedan Lägg till roller.
4. På Innan du börjar sidan välj Nästa.
5. På sidan Välj installationstyp väljer du Rollbaserad eller funktionsbaserad installation

6. On Välj målserver, Välj en servern från serverpoolen och klicka på EncryptionConsulting.com, sedan klick Nästa

7. På Välj Serverroller sida välj Webbserver (IIS) och klicka sedan på Nästa

8. På Välj funktioner sida, klicka Nästa
9. På Webbserver (IIS) sida, klicka Nästa

10. Lämna standardinställningarna på Välj rolltjänster sidan och klicka sedan på Nästa.

11. On Bekräfta installationsval sida, klicka installera.

12. På Installationsresultat sida, klicka Stäng

Uppgift 5: Skapa CertEnroll-mapp och bevilja delnings- och NTFS-behörigheter till Cert Publishers-gruppen

Din uppgift är att dela och konfigurera delnings- och NTFS-behörigheterna för CertEnroll-mappen.

1. Logga in Krypteringskonsultation.com as Krypteringskonsu\Administratör.
2. Klicka Start och välj Dator att öppna Utforskaren och sedan gå till C: driv
3. Skapa en mapp som heter CertEnroll vid roten av C: driv
4. Högerklicka på CertEnroll mapp och välj Våra Bostäder.

5. På Sidan CertEnroll-egenskaper välj Dela fliken för att konfigurera delningsbehörigheter.
6. Klicka på Avancerat delningsalternativ och Välj sedan Dela den här mappen.
7. Klicka på Tillstånd och Klicka sedan på Lägg till.
8. On Välj sidan Användare eller GrupperI Ange objektnamnen som ska väljas, Typ Krypteringskonsument\Cert-utgivare, och klicka sedan på
9. På Behörigheter för CertEnroll dialogrutan väljer du Cert Publishers gruppen och sedan i Tillåt kolumn välj Ändra behörighet. Klicka OK två gånger för att gå tillbaka till CertEnroll-egenskaperna sida.
10. Välj Säkerhet fliken och klicka Redigera för att konfigurera NTFS-behörigheter.
11. On Behörigheter för CertEnroll sidklick Lägg till.Windows
12. On Välj sidan Användare eller GrupperUnder Ange objektnamnen för att välja, stiga på Krypteringskonsument\Cert-utgivare, och klicka sedan på OK.
13. På Behörigheter för CertEnroll sidmarkering, Cert-förlagen grupp, och sedan under Tillåt kolumn välj Ändra tillåtelse Klicka OK.

14. På CertEnroll-egenskaper sida, klicka OK.

Uppgift 6: Skapa virtuell CertEnroll-katalog i IIS

1. Se till att du är inloggad på Krypteringskonsultation.com as Krypteringskonsu\Administratör.
2. Klicka Start, Administrativa verktyg, och välj sedan Manager för Internet Information Services (IIS)..
3. På Anslutningar, bygga ut SRV1 och sedan expandera Områden.
4. Högerklicka på Standardwebbplats och välj Lägg till virtuell katalog.
5. On Lägg till virtuell katalog sida, in Alias, Typ CertEnroll. I Fysisk väg, Typ C:\CenterrollOch klicka sedan på OK.

6. I Anslutningar under rutan Standardwebbplats, se till att CertEnroll virtuell katalog är vald.
7. I CertEnroll-hemsida rutan, dubbelklicka på Katalogsökning.
8. I Actions klick i rutan Möjliggöra.

Uppgift 7: Aktivera dubbel escape på IIS-servern

Att tillåta dubbel escape gör det möjligt för webbservern att vara värd för Delta CRL:er.

1. Se till att du är inloggad på Krypteringskonsultation.com as Krypteringskonsu\Administratör.
2. Öppna en kommandotolk. Klicka på för att göra det. Start, klicka på Körningoch skriv sedan cmd. Klicka OK.
3. Skriv sedan in cd %windir%\system32\inetsrv\  och tryck på ENTER.

4. Skriv följande kommando och tryck på Enter.

   Appcmd satte konfigurationsvärdet "Standardwebbplats" /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True

5. Starta om IIS-tjänsten. Skriv för att göra det. iisåterställ och tryck på ENTER.

Uppgift 8: Skapa CNAME (pki.EncryptionConsulting.com) i DNS

1. Se till att du är inloggad på Krypteringskonsultation.com as Krypteringskonsu\Administratör.
2. Öppna DNS-konsolen. Du kan göra det genom att klicka på Start, klick Körningoch skriv sedan dnsmgmt.msc. Klicka OK.
3. Bygga ut Framåtsökningszoner, välj och högerklicka sedan Krypteringskonsultation.com zon. Klicka Nytt alias (CNAME).
4. In Aliasnamn (använder överordnad domän om det lämnas tomt), Typ PKII Fullständigt kvalificerat domännamn (FQDN) för målvärden fält, typ Krypteringskonsultation.com. och klicka sedan på OK.

Anmärkningar – Inkludera den avslutande ”.” i FQDN-filen i föregående steg. I en produktionsmiljö kan detta alias omvandlas till en lastbalanserare som distribuerar förfrågningar till valfritt antal webbservrar som innehåller CA-certifikat och CRL:er.

Aktivitet 2: Installera den fristående offline-rot-CA:n

Den fristående offline-root-CA:n bör inte installeras i domänen. Faktum är att den inte ens bör vara ansluten till ett nätverk alls.

Uppgift 1: Skapa en CAPolicy.inf för den fristående offline-rot-CA:n

Så här skapar du en CAPolicy.inf för den fristående offline-rot-CA:n:

1. Logga in på CA01 som CA01\Administratör.
2. Klicka Start, klick Kör, och skriv sedan in anteckningsblock C:\Windows\CAPolicy.inf och tryck på ENTER.
3. När du uppmanas att skapa en ny fil klickar du på Ja.

4. Skriv in följande som innehåll i filen.

   [Version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048; rekommenderas 4096 RenewalValidityPeriod=År RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

Klicka på Arkiv och Spara för att spara filen CAPolicy.inf i katalogen C:\Windows.

Varning CAPolicy.inf med filändelsen .inf. Skriv .inf i slutet av filnamnet och välj alternativen enligt beskrivningen. Filen sparas som en textfil och används inte under CA-installationen.

5. Stäng Anteckningar.

OBS! Se till att du ändrar datornamnet till "CA01". Windows > Kör > sysdm.cpl > Ändra datornamnet och starta om maskinen.

Uppgift 2: Installera den fristående offline-rot-CA:n

Så här installerar du den fristående offline-root-CA:n:

1. Logga in på CA01 som CA01\Administratör.
2. Klicka Start, klicka på Administrativa verktygoch klicka sedan på server manager.
3. Högerklicka på roller och klicka sedan på Lägg till roller.
4. På Innan du börjar sidklick Nästa.
5. På Installation Typ sida, välj Rollbaserad eller Featured-baserad installation, och klicka sedan på Nästa.
6. På serverval sida, klick nästa.
7. På Välj Serverroller sida välj Active Directory-certifikattjänsterOch klicka sedan på Nästa.

8. Klicka på Nästa på sidan för att välja funktioner.
9. På Introduktion till Active Directory-certifikattjänster sida, klicka Nästa.
10. På Välj rolltjänster sidan, se till att Certifieringsmyndighet är vald, och sedan Nästa.

11. Klicka på installera på bekräftelsesidan

12. Klicka på "Konfigurera Active Directory-certifikattjänster på destinationsservern".
13. På Ange autentiseringsuppgifter för att konfigurera roller och tjänster sida, bör inloggningsuppgifterna vara CA01\Administratör, Klicka sedan Nästa.
14. På Välj Roll, tjänster att konfigurera sida, välj Certifikatutfärdare, och klicka sedan på Nästa.
15. På Ange installationstyp sidan, se till att Fristående är valt och klicka sedan på Nästa.
    • Obs: Företagsalternativet är gråmarkerat eftersom CA01-servern inte är ansluten till Active Directory-domänen.

16. På Ange CA-typ sidan, se till att Rot-CA är valt och klicka sedan på Nästa.

17. På Konfigurera privat nyckel sidan, se till att Skapa en ny privat nyckel är valt och klicka sedan på Nästa.

18. Lämna standardinställningarna på Konfigurera kryptografi för CA sida och klicka sedan på Nästa.
    • ViktigtI en produktionsmiljö skulle du ställa in CSP, hashalgoritm och nyckellängd för att uppfylla kraven för applikationskompatibilitet.

19. On Konfigurera sidan CA-namn, under Vanligt namn för denna CA, avmarkera den befintliga posten och skriv KrypteringKonsultation Rot-CA. Klick Nästa.
    • Anm .: A Suffix för unikt namn är valfritt för en rot-CA. Detta kommer att konfigureras i ett senare steg.

20. På Ange giltighetsperiod sida, under Välj giltighetsperiod för certifikatet som genereras för denna CA, rensa den befintliga posten och skriv sedan 20Lämna markeringsrutan inställd på År. Klick Nästa.

21. Behåll standardinställningarna på Konfigurera certifikatdatabas sidan och klicka sedan på Nästa.

22. På Bekräfta installationsval sidan, granska inställningarna och klicka sedan på Inställd.

23. Granska informationen på Installationsresultat sidan för att bekräfta att installationen lyckades och klicka sedan på Stäng.

Aktivitet 3: Utför konfiguration efter installation för rot-CA

1. Se till att du är inloggad på CA01 as CA01\Administratör.
2. Öppna en kommandotolk. För att göra det kan du klicka på Start, klicka på Körning, Typ cmd och klicka sedan på OK.
3. För att definiera Active Directory Configuration Partition Distinguished Name, kör följande kommando från en administrativ kommandotolk:
   • Certutil -setreg CA\DSConfigDN “CN=Konfiguration,DC=Krypteringskonsultation,DC=com”
4. Att definiera CRL-periodenheter  och CRL-perioder, kör följande kommandon från en administrativ kommandotolk:
   • Certutil -setreg CA\CRLPeriodUnits 52
   • Certutil -setreg CA\CRLPeriod "Veckor"
   • Certutil -setreg CA\CRLDeltaPeriodUnits 0
5. Att definiera CRL-överlappningsperiodenheter och CRL-överlappningsperiod, kör följande kommandon från en administrativ kommandotolk:
   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod “Timmar”
6. Att definiera Giltighetsperiod Enheter För alla certifikat utfärdade av denna CA, skriv följande kommando och tryck sedan på Enter. I det här labbet bör den företagsutfärdande CA:n få en livslängd på 10 år för sitt CA-certifikat. För att konfigurera detta, kör följande kommandon från en administrativ kommandotolk:
   • Certutil -setreg CA\ValidityPeriodUnits 10
   • Certutil -setreg CA\ValidityPeriod “År”

Uppgift 1: Aktivera granskning på rot-CA:n

CA-revision beror på system Granska objektåtkomst aktiveras. Följande instruktioner beskriver hur du använder den lokala säkerhetspolicyn för att aktivera granskning av objektåtkomst.

1. Klicka Start, klicka på Administrativa verktygOch väljer sedan Lokal säkerhetspolicy.
2. Bygga ut Lokala policyer och välj sedan Revisionspolicy.
3. Dubbelklicka Granska objektåtkomst och välj sedan framgång och Misslyckande Klicka sedan på OK.

4. Stäng redigeraren för lokal säkerhetspolicy.

5. Aktivera granskning för certifikatutfärdaren genom att välja vilken grupp av händelser som ska granskas i MMC-snapin-modulen för certifikatutfärdaren eller genom att konfigurera registernyckelinställningen AuditFilter. För att konfigurera granskning för alla händelser relaterade till certifikatutfärdaren, kör följande kommando från en administrativ kommandotolk:

   Certutil -setreg CA\AuditFilter 127

Uppgift 2: Konfigurera AIA och CDP

Det finns flera olika metoder för konfigurera Authority Information Access (AIA) och distributionspunkten för certifikatåterkallningslistan (CDP) platser. Du kan använda användargränssnittet (i CA-objektets egenskaper), certutil eller redigera registret direkt. AIA används för att peka på den publika nyckeln för Windows Server-certifieringsutfärdaren (CA). CDP:n är där återkallelse av certifikat listan underhålls, vilket gör det möjligt för klientdatorer att avgöra om ett certifikat har återkallats. I det här labbet kommer det att finnas tre platser för AIA och fyra platser för CDP.

Uppgift 3: Konfigurera AIA:n

Att använda ett certutil-kommando är en snabb och vanlig metod för att konfigurera AIA. När du kör följande certutil-kommando konfigurerar du en statisk filsystemplats, en LDAP-plats (Lightweight Directory Access Path) och en HTTP-plats för AIA. Certutil-kommandot för att ställa in AIA modifierar registret, så se till att du kör kommandot från en kommandotolk som administratör. Kör följande kommando:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

När du har kört kommandot, kör följande kommando för att bekräfta dina inställningar:

certutil -getreg CA\CACertPublicationURLs

Om du tittar i registret, under följande sökväg: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\EncryptionConsulting Rot-CA, kan du bekräfta CACertPublicationURL:erna genom att öppna REG_MULTI_SZ-värdet. Du bör se följande:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Tjänster för publik nyckel,CN=Tjänster,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

Du kan också se detta i CA-konsolen (certsrv). För att öppna konsolen, klicka på Start, klicka på Administrativa verktygOch klicka sedan på Certifieringsmyndighet. I navigeringsfönstret expanderar du Certifikatutfärdare (lokal). Högerklicka KrypteringKonsultation Rot-CA och klicka sedan på Egenskaper. På förlängningar flik, under Välj tillägg, klicka på Åtkomst till myndighetsinformation (AIA) och du kommer att se den grafiska representationen av AIA-inställningarna.

Uppgift 4: Konfigurera CDP:n

Kommandot certutil för att ställa in CDP modifierar registret, så se till att du kör kommandot från ett kommando

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n2:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl”

När du har kört det kommandot kör du följande certutil-kommando för att verifiera dina inställningar:

certutil -getreg CA\CRLPublikationsURL:er

På registerplatsen:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\EncryptionConsulting Rot-CA  Du kan öppna REG_MULTI_SZ-värdet och se konfigurationen av dessa värden:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

   10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

2. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl

Du kan också se detta i CA-konsolen (certsrv). För att öppna konsolen, klicka på Start, klicka på Administrativa verktygOch klicka sedan på CertifieringsmyndighetI navigeringsfönstret, se till att Certifikatutfärdare (lokal) är expanderad. Högerklicka Krypteringskonsultation Rot-CA och klicka sedan på Våra Bostäder. På förlängningar flik, under Välj tillägg, klicka på CRL-distributionspunkt (CDP) och du kommer att se den grafiska representationen av CDP-inställningarna.

Kör följande kommandon vid en administrativ kommandotolk för att starta om Active Directory Certificate Services och publicera CRL:n

nätstopp certsvc

net start certsvc

certutil -crl

Aktivitet 4: Installera företagsutfärdande certifikatutfärdare

Uppgift 1: Koppla CA02 till domänen

För att ansluta CA02 till domänen:

1. Logga in på CA02 som lokal administratör.
2. Klicka Start, Typ sysdm. cpl, och tryck på ENTER. Klicka Ändra.
3. I datornamn, Typ CA02 och klicka sedan på OK.
4. När du uppmanas att starta om datorn klickar du på OK. Klicka Stäng. Klicka starta nu.
5. När CA02 har startats om loggar du in som lokal administratör.
6. Klicka Start, Typ sysdm. cpl, och tryck på ENTER. Klicka Ändra.
7. In Medlem i, Välj Domänoch skriv sedan Krypteringskonsulttjänster.storkök. Klicka OK.
8. In Windows Security, gå in i Användarnamn och Lösenord för domänadministratörskontot. Klicka OK.
9. Du bör vara välkommen till EncryptionConsulting-domänen. Klicka OK.
10. När du uppmanas att en omstart krävs klickar du på OK. Klicka Stäng. Klicka starta nu.

Uppgift 2: Skapa CAPolicy.inf för företagsutfärdande CA

1. Logga in Krypteringskonsultation.com as KRYPTERINGSKONSU\Administratör. (Se till att du byter användare för att logga in som KRYPTERINGSKONSU\Administratör)
2. Klicka Start, Välj Kör, och skriv sedan in anteckningsblock C:\Windows\CAPolicy.inf och tryck på ENTER.
3. När du uppmanas att skapa en ny fil klickar du på Ja.

4. Skriv in följande som filens innehåll.

   [Version]
   Signature="$Windows NT$"
   [PolicyStatementExtension]
   Policies=InternalPolicy
   [InternalPolicy]
   OID= 1.2.3.4.1455.67.89.5
   URL=http://pki.EncryptionConsulting.com/cps.txt
   [Certsrv_Server]
   RenewalKeyLength=2048
   RenewalValidityPeriod=Years
   RenewalValidityPeriodUnits=10
   LoadDefaultTemplates=0
   AlternateSignatureAlgorithm=0
   

5. Klicka Fil och Spara för att spara CAPolicy.inf fil under C: \ Windows katalog

   Viktigt: Se till att CAPolicy.inf sparas som en Inf. fil. Filen kommer inte att användas om den sparas med någon annan filändelse.

6. Stäng Anteckningar

Uppgift 3: Publicera rot-CA-certifikatet och CRL:n

1. Se till att du är inloggad på CA02. Krypteringskonsultation.com as Krypteringskonsultation\Administratör.
2. Kopiera rot-CA-certifikatfilerna (CA01_EncryptionConsulting Root CA.crt) och rot-CA-CRL-filerna (EncryptionConsulting Root CA.crl) från katalogen C:\Windows\System32\CertSrv\CertEnroll på CA01:s interna server till flyttbart medium (A:).

3. För att publicera EncryptionConsulting Root CA-certifikat och CRL i Active Directory på CA02, kör följande kommandon vid en administrativ kommandotolk. Se till att du ersätter rätt enhetsbeteckning för ditt flyttbara medium (för A:) i följande kommandon:

   certutil -f -dspublish “A:\CA01_EncryptionConsulting Root CA.crt” RootCA

   certutil -f -dspublish “A:\EncryptionConsulting Root CA.crl” CA01

4. För att publicera EncryptionConsulting Root CA-certifikatet och CRL till http://pki.EncryptionConsulting.com/CertEnroll, kopiera EncryptionConsulting Root CA-certifikatet och CRL till katalogen \\srv1.EncryptionConsulting.com\C$\CertEnroll. Kör följande kommandon från en administrativ kommandotolk. Se till att du ersätter rätt enhetsbeteckning för ditt flyttbara medium (för A:)

   kopiera “C:\CA01_EncryptionConsulting Root CA.crt” \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

   kopiera “C:\EncryptionConsulting Root CA.crl” \\SRV1.EncryptionConsulting.com\C$\CertEnroll\

5. För att lägga till EncryptionConsulting Root CA-certifikat och CRL i CA02.com:s lokala arkiv, kör följande kommando från en administrativ kommandotolk. Se till att du ersätter rätt enhetsbeteckning för ditt flyttbara medium (för A:) i följande kommandon:

   • certutil -addstore -f root “A:\CA01_ Krypteringskonsultation Rot-CA.crt”
   • certutil -addstore -f root “A:\EncryptionConsulting CA.crl”

Aktivitet 5: Installera underordnad utfärdande CA

Underordnad utfärdande CA på CA02. EncryptionConsulting.com

1. Se till att du är inloggad på CA02. EncryptionConsulting.com som EncryptionConsulting\-administratör.
2. Öppet server manager.
3. Högerklicka roller och välj sedan Lägg till roller.
4. På Innan du börjar sida välj Nästa.

5. På Installation Typ sida, välj Rollbaserad eller Featured-baserad installation, och klicka sedan på Nästa
6. På serverval sida, klick
7. På Välj sidan Serverroller välj Active Directory-certifikattjänsterOch klicka sedan på Nästa.

8. På Välj funktioner sida, klicka Nästa.

9. Om introduktionen till Active Directory-certifikattjänster sida, klicka Nästa.

10. På Välj sidan Rolltjänster, Välj Certifieringsmyndighet och Webbregistrering för certifieringsutfärdare. Om du ser Guiden Lägg till roller, klicka på Lägg till obligatoriska rolltjänster. Klick Nästa.

11. På Webbserverroll IIS sida, klicka Nästa.
12. Lämna rolltjänsterna som standard och klicka på Nästa.
13. På bekräftelsesidan granskar du informationen och klickar på installera.

14. Klicka på "konfigurera Active Directory-certifikattjänster på målservern".
15. På sidan Ange autentiseringsuppgifter för att konfigurera roller och tjänster ska autentiseringsuppgifterna vara Krypteringskonsu\Administratör, Klicka sedan Nästa.
16. På Välj rolltjänster för att konfigurera sidan, välj Certifikatutfärdare och Webbregistrering för certifikatutfärdare klicka sedan på Nästa.

17. På Ange installationstyp sidan, se till att Företag är valt och klicka sedan på Nästa.

18. På Ange CA-typ sida, välj Underordnad CA och klicka sedan på Nästa

19. På Konfigurera privat nyckel sidan, se till att Skapa en ny privat nyckel är valt och klicka sedan på Nästa.

20. Lämna standardinställningarna på Konfigurera kryptografi för CA sidan och klicka sedan på Nästa.
    Viktigt: Vid installation i en produktionsmiljö måste vald CSP, hashalgoritm och nyckellängd stödja kraven för programkompatibilitet.

21. On Konfigurera CA-namn på sidan, avmarkera den befintliga posten för rutan Vanligt namn för denna CA och ange Krypteringskonsultation Utfärdande CA, välj sedan Nästa.

    Obs – Suffixet för unikt namn fylls i automatiskt och bör inte ändras.

22. På Begär certifikat från en överordnad certifikatutfärdare sida, välj Spara en certifikatförfrågan till filen på måldatorn alternativet och klicka sedan på Nästa.

23. Lämna standardinställningarna på Konfigurera certifikatdatabas sida och klicka sedan på Nästa.

24. På Bekräfta installationsval sida, klicka konfigurera.

25. Granska informationen på Installationsresultat sidan för att bekräfta att installationen lyckades och klicka sedan på Stäng.

    • Följande varningsmeddelande förväntas: ”Installationen av Active Directory Certificate Services är ofullständig. För att slutföra installationen, använd den begärda filen “C:CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req” för att hämta ett certifikat från den överordnade certifikatutfärdaren. Använd sedan snapin-modulen för Windows Server-certifikatutfärdaren för att installera certifikatet. För att slutföra den här proceduren högerklickar du på noden med namnet på certifikatutfärdaren och klickar sedan på Installera certifikatutfärdarcertifikat. Åtgärden slutfördes. 0x0 (WIN32: 0).”

26. Kopiera C:\ CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req till ditt flyttbara medium. Om du till exempel vill kopiera till en diskettenhet med enhetsbeteckningen A: kör du följande kommando från en kommandotolk:

    • kopiera “C:\CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req” A:\

Uppgift 1: Skicka in begäran och utfärda krypteringskonsultation Utfärda CA-certifikat

För att skicka in certifikatbegäran och utfärda det begärda certifikatet:

1. Se till att du är inloggad på CA01 som CA01\Administratör. Placera det flyttbara mediet med certifikatbegäran i CA01.
2. På CA01, öppna en administrativ kommandotolk. Skicka sedan begäran med följande kommando (förutsatt att A: är din flyttbara medieenhetsbokstav):
   • certreq -skicka in “A:CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.req”
   • Obs: Var uppmärksam på Förfrågnings-ID nummer som visas efter att du skickat in begäran. Du kommer att använda detta nummer när du hämtar certifikatet.
3. I Lista över certifieringsutfärdare dialogruta, se till att KrypteringKonsultation Rot-CA är valt och klicka sedan på OK
4. Öppna konsolen för certifieringsutfärdare. Klicka på för att göra det. Start, klicka på Administrativa verktyg, och klicka Certifieringsmyndighet.
5. I certsrv [Certifieringsmyndighet (lokal)] dialogrutan, i konsolträdet, expandera KrypteringKonsultation Rot-CA.
6. Klicka väntande förfrågningarI informationsfönstret högerklickar du på den begäran du just skickat in, klickar på Alla uppdragOch klicka sedan på Utgåva.

7. Återgå till den administrativa kommandotolken för att acceptera det utfärdade certifikatet genom att köra följande kommando. Se till att du ersätter rätt enhetsbeteckning för ditt flyttbara medium med A: samt korrekt RequestID för 2:
   • certreq -hämta 2 “A:\ CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA.crt”
8. I Dialogruta för lista över certifikatutfärdare låda, se till att KrypteringKonsultation Rot-CA är valt och klicka sedan på OK.

Uppgift 2: Installera krypteringskonsulten som utfärdar CA-certifikatet på CA02

Så här installerar du certifikatet och startar Windows Server-certifieringsutfärdartjänsten på CA02:

1. Se till att du är inloggad på CA02. EncryptionConsulting.com som EncryptionConsu\Administratör. Placera det flyttbara mediet med det utfärdade certifikatet för CA02. EncryptionConsulting.com i CA02.
2. Öppna konsolen för certifieringsutfärdare.
3. I Certifieringsutfärdare konsolträd, högerklicka Krypteringskonsultation Utfärdande CAOch klicka sedan på Installera CA-certifikat.
4. I Välj fil för att slutföra CA-installationen, navigera till ditt flyttbara medium. Se till att du visar Alla filer (*. *) och klicka på CA02.EncryptionConsulting.com_EncryptionConsulting-CA02-CA certifikat. Klicka Öppet.
5. Högerklicka i konsolträdet Krypteringskonsultation Utfärdande CA, klicka på Alla uppdragOch klicka sedan på Starta tjänst.
6. I konsolträdet, expandera Krypteringskonsultation Utfärdande CA och klicka sedan på CertifikatmallarObservera att inga certifikat visas i informationsfönstret. Detta beror på att CAPolicy.inf angav att standardmallarna på raden inte skulle installeras. LaddaStandardmallar=0.

Aktivitet 6: Utför konfigurationsuppgifter efter installationen på den underordnade utfärdande certifikatutfärdaren

Det finns flera inställningar att konfigurera för att slutföra installationen av den utfärdande CA:n. Dessa är ungefär de uppgifter som behövdes för att slutföra konfigurationen av rot-CA:n.

Uppgift 1: Konfigurera återkallelse av certifikat och giltighetsperioder för CA-certifikat

Så här konfigurerar du återkallelse av certifikat och giltighetsperioder för CA-certifikat:

1. Se till att du är inloggad på CA02.EncryptionConsulting.com som EncryptionConsu\Administratör.

2. Konfigurera CRL- och Delta CRL-inställningarna genom att köra följande kommando från en administrativ kommandotolk:

   • Certutil -setreg CA\CRLPeriodUnits 1
   • Certutil -setreg CA\CRLPeriod "Veckor"
   • Certutil -setreg CA\CRLDeltaPeriodUnits 1
   • Certutil -setreg CA\CRLDeltaPeriod “Dagar”

3. Definiera inställningar för CRL-överlappning genom att köra följande kommando från en administrativ kommandotolk:

   • Certutil -setreg CA\CRLOverlapPeriodUnits 12
   • Certutil -setreg CA\CRLOverlapPeriod “Timmar”

4. Standardinställningen för giltighetsperioden är 2 år i registret. Justera den här inställningen för att möta dina behov av entitetscertifikatets livslängd utfärdat av EncryptionConsulting Issuing CA. Det rekommenderas att du inte konfigurerar giltighetsperioder som är längre än hälften av den totala livslängden för EncryptionConsulting Issuing CA-certifikatet, vilket utfärdades för att vara giltigt i 10 år. För att begränsa utfärdade certifikat till 5 år, kör följande kommandon från en administrativ kommandotolk:

   • Certutil -setreg CA\ValidityPeriodUnits 5
   • Certutil -setreg CA\ValidityPeriod “År”

Uppgift 2: Aktivera granskning på den utfärdande certifikatutfärdaren

CA-revision beror på system Granska objektåtkomst aktiveras. Följande instruktioner beskriver hur du använder den lokala säkerhetspolicyn för att aktivera granskning av objektåtkomst.

1. Klicka Start, klicka på Administrativa verktygOch väljer sedan Lokal säkerhetspolicy.
2. Bygga ut Lokala policyer och välj sedan Revisionspolicy.
3. Dubbelklicka Granska objektåtkomst och välj sedan framgång och Misslyckande Klicka sedan på OK.

5. Stäng redigeraren för lokal säkerhetspolicy.

6. Aktivera granskning för certifikatutfärdaren genom att välja vilken grupp av händelser som ska granskas i MMC-snapin-modulen för certifikatutfärdaren eller genom att konfigurera registernyckelinställningen AuditFilter. För att konfigurera granskning för alla händelser relaterade till certifikatutfärdaren, kör följande kommando från en administrativ kommandotolk:

   Certutil -setreg CA\AuditFilter 127

Uppgift 3: Konfigurera AIA:n

Att använda ett certutil-kommando är en snabb och vanlig metod för att konfigurera AIA. När du kör följande certutil-kommando konfigurerar du en statisk filsystemplats, en LDAP-plats (Lightweight Directory Access Path) och en HTTP-plats för AIA. Certutil-kommandot för att ställa in AIA modifierar registret, så se till att du kör kommandot från en kommandotolk som administratör. Kör följande kommando:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt”

När du har kört kommandot, kör följande kommando för att bekräfta dina inställningar:

certutil -getreg CA\CACertPublicationURLs

Om du tittar i registret, under följande sökväg: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\ Krypteringskonsultation Utfärdande CA, kan du bekräfta CACertPublicationURL:erna genom att öppna REG_MULTI_SZ-värdet. Du bör se följande:

1. C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
2. ldap:///CN=%7,CN=AIA,CN=Tjänster för publik nyckel,CN=Tjänster,%6%11
3. http://pki.EncryptionConsulting.com/CertEnroll/%1_%3%4.crt

Du kan också se detta i CA-konsolen (certsrv). För att öppna konsolen, klicka på Start, klicka på Administrativa verktygOch klicka sedan på Certifieringsmyndighet. I navigeringsfönstret expanderar du Certifikatutfärdare (lokal). Högerklicka KrypteringKonsultation Rot-CA och klicka sedan på Egenskaper. På förlängningar flik, under Välj tillägg, klicka på Åtkomst till myndighetsinformation (AIA) och du kommer att se den grafiska representationen av AIA-inställningarna.

Från en administrativ kommandotolk kör du följande kommando för att kopiera EncryptionConsulting Issuing CA-certifikatet till HTTP AIA-platsen:

kopiera “c:\Windows\System32\certsrv\certenroll\CA02.EncryptionConsulting.com_EncryptionConsulting Utfärdar CA.crt” \\srv1.EncryptionConsulting.com\c$\certenroll\

Uppgift 4: Konfigurera CDP:n

Kommandot certutil för att ställa in CDP ändrar registret, så se till att du kör kommandot från en kommandotolk som administratör. Kör följande kommando:

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl\n65:\\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl”

När du har kört det kommandot kör du följande certutil-kommando för att verifiera dina inställningar:

certutil -getreg CA\CRLPublikationsURL:er

På registerplatsen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Krypteringskonsultation Utfärdande CA Du kan öppna REG_MULTI_SZ-värdet och se konfigurationen av dessa värden:

1. C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
2. ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
3. http://pki.EncryptionConsulting.com/CertEnroll/%3%8%9.crl
4. \\srv1.EncryptionConsulting.com\CertEnroll\%3%8%9.crl

Du kan också se detta i CA-konsolen (certsrv). För att öppna konsolen, klicka på Start, klicka på Administrativa verktygOch klicka sedan på CertifieringsmyndighetI navigeringsfönstret, se till att Certifikatutfärdare (lokal) är expanderad. Högerklicka KrypteringKonsultation Rot-CA och klicka sedan på Våra Bostäder. På förlängningar flik, under Välj tillägg, klicka på CRL-distributionspunkt (CDP) och du kommer att se den grafiska representationen av CDP-inställningarna.

Kör följande kommandon vid en administrativ kommandotolk för att starta om Active Directory Certificate Services och publicera CRL:n.

nätstopp certsvc && nätstart certsvc

certutil -crl

Aktivitet 7: Installera och konfigurera rolltjänsten för onlinesvarare

Uppgift 1: Installera rolltjänsten för onlinesvarare på SRV1

1. 1. Se till att du är inloggad på SRV1. EncryptionConsulting.com som EncryptionConsu\Administrator.
   2. Öppna Serverhanteraren.
   3. Högerklicka på rollerOch klicka sedan på Lägg till roller.
   4. På Innan du börjar sida och välj sedan Nästa.
   5. På Välj installationstyp sida, välj Rollbaserad eller funktionsbaserad installation och klicka sedan på Nästa.
   6. På Serverval sida, klicka Nästa.
   7. På Välj Serverroller sida, välj Active Directory-certifikattjänster och klicka sedan på Nästa.

8. På Funktioner sida, klicka Nästa.
9. On Introduktion till sidan Active Directory Certificate Services, klicka på Nästa.
10. På Välj rolltjänster sida, klar d Certifieringsmyndighet, och välj sedan Online-svarare. Klicka Nästa.
    • Obs: Du vill inte installera en certifieringsutfärdare på SRV1.EncryptionConsulting.com, så du avmarkerar den kryssrutan.
    • Om Lägg till rolltjänster och funktioner som krävs för Online Responder sida visas, klicka Lägg till obligatoriska rolltjänster och klicka sedan på Nästa. Sedan, på Webbserver (IIS), klicka på Nästa.

11. På Bekräfta installationsval sida, klicka installera. Klicka Stäng när installationen är klar.

12. Klicka på "Konfigurera Active Directory-certifikattjänster på målservern", på sidan med inloggningsuppgifter, se till att Krypteringskonsu\Administratör nämns, klicka sedan på Nästa.

13. På Välj Roll, Tjänster att konfigurera sida, välj "Online-svarare" och klicka Nästa.

14. På bekräftelse sidan, verifiera uppgifterna och klicka på Nästa.

Uppgift 2: Lägg till OCSP-URL:en till den utfärdande CA:n för krypteringskonsultationen

Så här lägger du till OCSP-URL:en till den utfärdande certifikatutfärdaren för EncryptionConsulting:

1. 1. Se till att du är inloggad på CA02. EncryptionConsulting.com som EncryptionConsu\Administratör
   2. I Certifieringsutfärdarens konsol, i konsolträdet, högerklicka på Krypteringskonsultation Utfärdande CAOch klicka sedan på Våra Bostäder.
   3. På förlängningar flik, under Välj tillägg, Välj Åtkomst till myndighetsinformation (AIA)Och klicka sedan på Lägg till.
   4. In Plats, Typ http://srv1.EncryptionConsulting.com/ocsp
   5. och klicka sedan på OK.
   6. Välja Inkludera i OCSP-tillägget (Online Certificate Status Protocol).
      • Obs: En vanlig felkonfiguration är att markera båda kryssrutorna på fliken Tillägg, vilket är felaktigt. Se till att Inkludera i OCSP-tillägget (Online Certificate Status Protocol) kryssrutan är den enda som är markerad.

7. Klicka OKNär du uppmanas av Certifieringsmyndighet i dialogrutan för att starta om Active Directory Certificate Services, klicka på Ja.

   Viktigt: Den utfärdande certifikatutfärdaren för EncryptionConsulting kommer nu att inkludera URL:en http://srv1.EncryptionConsulting.com/ocsp som en del av tillägget Authority Information Access (AIA) i alla nyligen utfärdade, förnyade eller återregistrerade certifikat. Certifikat som registrerats från den utfärdande certifikatutfärdaren för EncryptionConsulting före denna ändring kommer dock inte att ha denna URL.

Uppgift 3: Konfigurera och publicera OCSP-svarssigneringscertifikatet på den utfärdande certifikatutfärdaren för krypteringskonsultation

Så här konfigurerar du OCSP-svarssigneringscertifikatet:

1. På CA02. EncryptionConsulting.com, se till att du är inloggad som EncryptionConsu\Administratör.
2. I Certifieringsmyndighet konsolen, se till att EncryptionConsulting Issuing CA är expanderad i konsolträdet.
3. Högerklicka på Certifikatmallar och klicka sedan på hantera. Certifikatmallar öppnar och visar certifikatmallarna som lagras i Active Directory.
4. I informationsfönstret (mittenrutan) högerklickar du OCSP-svarssignering och klicka sedan på Våra Bostäder.
5. På Säkerhet flikklicka Lägg till. Klicka Objekttyper.
6. I Objekttyper dialogrutan väljer du Datorer och klicka sedan på OK.
7. In Ange objektnamnen för att välja, Typ SRV1 och klicka sedan på Kontrollera namn. Klicka OK.
8. Se till att SRV1 är vald och i Tillåt kolumnen, se till att Läsa och Skriva in behörigheter är valda. Klicka OK.
9. Stäng certifikatmallar MMC-konsolen.
10. In certsrv konsol, högerklicka Certifikatmallar, Välj sedan Nytt och välj sedan Certifikatmall att utfärda.
11. I Aktivera certifikatmallar dialogrutan, klicka OCSP-svarssignering och klicket OK.

Uppgift 4: Konfigurera återkallningskonfigurationen på onlinerespondern

Så här konfigurerar du återkallningskonfigurationen:

1. På SRV1.EncryptionConsulting.com, se till att du är inloggad som EncryptionConsu\Administrator.
2. Öppna Serverhanteraren, gå till Verktyg och klicka på "Hantering av online-svarare".
3. Högerklicka Konfiguration av återkallelse och klicka sedan på Lägg till återkallningskonfiguration.
4. På Komma igång med att lägga till en återkallningskonfiguration sidklick Nästa.

5. In Namn , stiga på Krypteringskonsultation Utfärdande CAOch klicka sedan på Nästa.

6. På Välj plats för CA-certifikat sidan säkerställer att Välj ett certifikat för en befintlig företags-CA väljs, klicka sedan på Nästa.

9. Lämna standardinställningarna på Välj signeringscertifikat sida och klicka sedan på Nästa.

10. På Återkallningsleverantör sida, klicka Provider.

11. Granska alternativen som listas för OCSP Responder för att ladda ner CRL:er i form av LDAP- och HTTP-platser.

    • Obs! Beroende på dina behov kan du välja antingen LDAP eller HTTP som din primära plats för OCSP Responder att ladda ner CRL:er. Du kan ändra ordningen för LDAP- och HTTP-URL:er med hjälp av flytta upp or Flytta ner Lämna standardinställningarna som de visas.

12. Rensa Uppdatera CRL:er baserat på deras giltighetsperioder. I Uppdatera, CRL:er vid detta uppdateringsintervall (min) box, typ 15 och klicka sedan på OK. Klicka Finish.

    • Obs: Om du ändrar den här inställningen för att ladda ner CRL:er snabbare än CRL:ens normala utgångsdatum kan OCSP-svararen snabbt ladda ner nya CRL:er istället för att använda den senast nedladdade CRL:ens normala utgångsdatum. Produktionsbehoven kan skilja sig från det värde som valts här.
13. I konsolen för certifieringsutfärdare, expandera Arraykonfiguration och klicka sedan på SRV1.
14. översyn Status för återkallelsekonfiguration i mittrutan för att säkerställa att det finns ett signeringscertifikat och att statusen rapporteras som OK. Leverantören använder den aktuella konfigurationen.

Uppgift 5: Konfigurera grupprincip för att tillhandahålla OCSP-URL:en för den utfärdande certifikatutfärdaren för EncryptionConsulting

Den här konfigurationen skulle bara behövas för att tillåta befintliga certifikatinnehavare att dra nytta av en ny OCSP-responder utan att behöva registrera nya certifikat igen med den obligatoriska OCSP-URL:en tillagd till dem.

1. Se till att du är inloggad på DC01.EncryptionConsulting.com som EncryptionConsu\Administrator.
2. Öppna en administrativ kommandotolk och kör följande kommandon:
   • cd \
   • certutil -config “ca02.Krypteringskonsulttjänster.com\EncryptionConsulting Utfärdande CA” -ca.cert Krypteringskonsultationutfärdandeca.cer
3. Klicka Start, klicka på Körningoch skriv sedan gpmc.mscTryck på ENTER.
4. Bygga ut Skog, bygga ut domäner, expandera EncryptionConsulting.comoch sedan expandera Grupppolicyobjekt.
5. Högerklicka Standarddomänpolicy, Klicka sedan Redigera.
6. Enligt datorkonfiguration, bygga ut policies, bygga ut Windows-inställningar, bygga ut Säkerhetsinställningaroch sedan expandera Offentliga nyckelpolicyer.
7. Högerklicka Intermediära certifieringsmyndigheterOch klicka sedan på Importera.
8. På Välkommen till guiden Importera certifikat sida, klicka Nästa.

9. I Filnamn, Typ C:\EncryptionConsultingissuingca.cerOch klicka sedan på Nästa.

10. På Certifikatbutik sida, klicka Nästa.
11. På Slutföra guiden för import av certifikat, klicka på Finish och klicka sedan på OK.

12. I konsolträdet väljer du Intermediära certifieringsmyndigheter
13. I informationsfönstret högerklickar du KrypteringKonsultation Utfärdande av CA-certifikat, Klicka sedan Våra Bostäder.
14. På OCSP flik, in Lägg till länk Till New Earth http://srv1.EncryptionConsulting.com/ocspOch klicka sedan på Lägg till länk. Klicka OK.

15. Stäng redigeraren för grupprinciphantering och stäng sedan konsolen för grupprinciphantering.

Aktivitet 8: Verifiera MSPKI-hierarkins hälsa

Uppgift 1: Win10

1. Logga in på WIN10 som lokal administratör.
2. Klicka Start, Typ sysdm.cpl, och tryck ENTER. Klicka Ändra. (Se till att datornamnet redan är inställt på WIN10 – annars, ändra det)
3. In Medlem i, Välj Domänoch skriv sedan Krypteringskonsultation.com. Klicka OK.
4. In Windows Security, gå in i Användarnamn och Lösenord för domänadministratörskontot. Klicka OK.
5. Du bör vara välkommen till EncryptionConsulting-domänen. Klicka OK.
6. När du uppmanas att en omstart krävs klickar du på OK. Klicka Stäng. Klicka starta nu.

Uppgift 2: Kontrollera PKI-hälsa med Enterprise PKI

Så här använder du Enterprise PKI-konsolen för att kontrollera PKI:

1. På CA02. EncryptionConsulting.com, se till att du är inloggad som EncryptionConsu\Administratör.
2. Öppna Serverhanteraren.

3. I konsolträdet, under roller och Active Directory-certifikattjänster, klicka på Företags-PKI.

   • Alternativt kan du köra Enterprise PKI genom att köra PKIView.msc från en administrativ kommandotolk.
4. Högerklicka Företags-PKI och klicka sedan på Hantera AD-behållare.

5. På NTAuthCertificates på fliken, verifiera att EncryptionConsulting Issuing CA-certifikatet visas med statusen OK.
6. På AIA-behållare fliken, verifiera båda KrypteringKonsultation Rot-CA och Krypteringskonsultation Utfärdande CA certifikat finns med statusen OK.
7. På CDP-behållare flik, verifiera Krypteringskonsultation Rot-CA bas-CRL, KrypteringKonsultation Utfärdande CA-bas, Och den Delta CRLs är närvarande med statusen OK.
8. On Certifieringsutfärdares behållare, verifiera KrypteringKonsultation Rot-CA certifikatet finns med statusen OK.
9. On Behållare för registreringstjänster, verifiera Krypteringskonsultation Utfärdande CA certifikatet finns med statusen OK.

Uppgift 3: Konfigurera certifikatdistribution på krypteringskonsultens utfärdande certifikatutfärdare

Så här publicerar du ett certifikat för datorer i företaget:

1. På CA02.com, se till att du är inloggad som EncryptionConsu\Administrator.
2. I Certifieringsmyndighet konsol, se till att Krypteringskonsulttjänster Utfärdande CA är utökad.
3. Högerklicka Certifikatmallar välj Nytt och välj Certifikatmall att utfärda.
4. På Aktivera certifikatmallar dialogrutan, klicka Arbetsstationsautentisering, sida och klicka sedan på OK.

Uppgift 4: Hämta ett certifikat med WIN10 och verifiera PKI-hälsa

För att få ett certifikat för WIN10 och verifiera PKI-hälsan:

1. Logga in på Win10.com som EncryptionConsu\Administrator. (Se till att du byter användare till att logga in som EncryptionConsu\Administrator)
2. Klicka Start, Typ mmc, och tryck sedan på ENTER.
3. Klicka FilOch klicka sedan på Lägg till / ta bort snapin-.
4. Klicka Certifieringar, Klicka sedan Lägg till. Välj DatorkontoOch klicka sedan på Finish. Klicka OK.

5. Bygga ut Certifieringar, Högerklicka Personlig, klicka på Alla uppdragOch klicka sedan på Begär nytt certifikat.
6. På Innan du börjar sida, klicka Nästa.
7. På Välj policy för certifikatregistrering sida, klicka Nästa.
8. Välja Arbetsstationsautentisering, och klicka Skriva inNär certifikatet är registrerat klickar du på Skriva in.

9. I konsolträdet, expandera Personlig, och klicka CertifieringarI informationsfönstret högerklickar du på  Krypteringskonsultation.com certifikat, klicka Alla uppdragOch klicka sedan på Export.
10. På Välkommen till guiden Export av certifikat sida, klicka Nästa.

11. På Exportera privat nyckel, klicka på Nästa. (Nej, exportera inte den privata nyckeln som är vald som standard).

12. På Exportera filformat klicka på Nästa på sidan. [DER-kodad binär X.509 (.CER) är standardvalet].
13. På Fil att exportera sida, typ C:\win10Och klicka sedan på Nästa.
14. På Slutföra guiden för export av certifikat sida, klicka sedan FinishOch klicka sedan på OK.

15. Öppna en kommandotolk och kör följande kommandon: (För att öppna en kommandotolk, klicka på Start, Typ cmdoch tryck sedan på ENTER)

    • cd\
    • certutil -URL C:\win10.cer

16. I URL-hämtningsverktyget, utför följande steg i hämta avsnitt:

    • Välja OCSP (från AIA) alternativet och klicka sedan på hämtaBekräfta att statusen visas som verifierade.
    • Välja CRL:er (från CDP) alternativet och klicka sedan på hämtaBekräfta att statusen visas som verifierade.
    • Välj Certifikat (från AIA) alternativet och klicka sedan på hämtaBekräfta att statusen visas som verifierade.
17. Klicka Utgång för att stänga URL-hämtningsverktyget.
18. Kör följande kommando från en kommandotolk för att noggrant verifiera hämtnings- och återkallningsstatus för certifikatkedjan.
    • certutil -verify -urlfetch c:\win10.cer
19. Granska utdata och se till att all status för kedjehämtning och återkallelse har verifierats.