Microsoft Active Directory-certifikattjänster (AD CS) med Azure Blob Storage

Distribuera Active Directory-certifikattjänster är ett enkelt sätt för företag att bygga sin PKI-infrastruktur. Men det har sina brister, såsom

• Brist på utplacering i flera regioner
• Hög latens på CDP- och AIA-punkter

För att övervinna detta måste organisationer distribuera regionspecifik PKI-infrastruktur, vilket kan vara svårare att underhålla och introducerar komplexitet för hela infrastrukturen.

Men med hjälp av Azure kan organisationer distribuera en PKI-infrastruktur som kan drivas över hela världen med låg latens och hög tillgänglighet.

I den här artikeln visar vi hur du skapar din egen PKI-arkitektur på Azure.

Obs: Om det här är första gången du distribuerar en PKI rekommenderar jag att du följer ADCS tvånivås PKI-hierarkidistribution eftersom det är ett enklare tillvägagångssätt och även berör grunderna.

Förutsättningar

• Ett Azure-konto där vi skapar virtuella maskiner och blob-lagring
• Ett anpassat domännamn
• En offline Windows Server VM, som kommer att vara vår rot-CA

[OBS: Detta är ett testscenario. Därför kanske CDP- och AIA-poäng inte matchar dina krav. Använd värden som är lämpliga för dina behov.]

Förbereder CDP- och AIA-poäng

Vi kommer att skapa bloblagring som kommer att fungera som våra CDP/AIA-punkter för våra PKI infrastruktur. Vi kommer också att associera den med vår anpassade domän för att omdirigera den till vår blob.

Skapa Azure Blob Storage

1. Först måste vi logga in på vårt Azure-konto och navigera till Storage Accounts (Lagringskonton).

   

2. Vi kommer att skapa ett nytt lagringskonto. Klicka på Skapa i det övre vänstra hörnet.

   

3. Ange nödvändig information om grunderna. För redundans rekommenderar jag åtminstone zonredundant lagring (ZRS)

   

4. På fliken Avancerat, lämna allt på standard och klicka på Nästa

5. På fliken Nätverk rekommenderas att ha offentlig åtkomst från valda virtuella nätverk och IP-adresser och välja det virtuella nätverk där alla virtuella maskiner ska distribueras. Om det inte finns något virtuellt nätverk, skapa ett.

   

6. På fliken Dataskydd klickar du på Nästa.
7. På fliken Kryptering lämnar du allt som standard och klickar på Nästa.
8. Ange relevanta taggar och klicka på Nästa.
9. På fliken granskning kan du granska att allt ser bra ut och klicka på Skapa.

Detta skapar bloblagringen. Därefter associerar vi denna bloblagring med vår anpassade domän och ser till att den är åtkomlig via HTTP.

Mappa en anpassad domän till Azure Blog Storage

För det här steget behöver du en anpassad domän. När du har loggat in kan du gå till DNS-inställningar.

1. I DNS-inställningarna, navigera till DNS-poster och ange en CNAME-post.

2. Nu behöver vi hämta värdnamnet för ditt lagringskonto. För detta kan vi navigera Inställningar > Slutpunkter i den vänstra rutan och kopiera den statiska webbplatsen under Statisk webbplats. Det borde vara något i stil med https://pkitest.z13.web.core.windows.net (Https: //.z13.web.core.windows.net/)

   Ta bort https:// och ytterligare /. Det skulle se ut som pkitest.z13.web.core.windows.net, vilket är vårt värdnamn.

3. I DNS-inställningarna, ange pkitest för värdnamnet för den anpassade domänen och för värdnamnet, ange värdnamnet för lagringsslutpunkten.

   

   Klicka för att skapa en post

4. Navigera till Azure Storage-kontot, klicka på nätverk under Säkerhet + Nätverk och välj Anpassad domän på fliken ovan.

5. Ange underdomänen du skapade.

   

6. Klicka på Spara. Efter lyckad validering får du ett valideringsmeddelande.

   

Inaktivering av säker överföring krävs

För att den här blobben ska vara en CDP/AIA-punkt behöver vi HTTP-åtkomst till bloggen, vilket är anledningen till att vi skulle behöva stänga av den säkra överföringen. Om den är aktiverad skulle HTTP-åtkomst inte vara möjlig; vår PKI skulle inte kunna använda den här blobben som CDP/AIA-punkt.

1. Navigera till konfiguration under Inställningar

2. uppsättning Säker överföring krävs till Disabled

   

3. Klicka på Spara

Testa tillgänglighet för lagringskonto

Det här avsnittet säkerställer att vårt lagringskonto är åtkomligt via en anpassad domän.

1. Först skulle vi skapa en container och ladda upp en fil till den.

2. Navigera till Containrar under Datalagring

   

3. Klicka på i det övre vänstra hörnet

4. Ange namnet, ange åtkomst på offentlig nivå som en blob och klicka på Skapa

   Behållaren kommer att skapas

   

5. Klicka på namnet och navigera inuti det

6. Klicka på i det övre vänstra hörnet

7. Välj valfri fil för testning (helst en pdf- eller txt-fil)

   

8. Klicka på Ladda upp, och när den väl är uppladdad bör den vara tillgänglig i behållaren

   

9. Nu ska vi försöka komma åt filen med en anpassad domän. URL:en ska vara

   http://<subdomain.customdomain>/<mycontainer>/<myblob>

   Så för oss borde domänen vara

   http://pkitest.encryptionconsulting.com/pkitest/TestFile.pdf

   Se till att filen öppnas i HTTP och att den visar filen eller laddar ner den.

   

Detta avslutar vårt avsnitt om att förbereda CDP- och AIA-punkter. Härnäst börjar vi skapa vår PKI. Nu kan du ta bort testfilen från containern eftersom den bara skulle innehålla certifikatet och CRL:erna.

Skapa domänkontrollant

Den här steg-för-steg-guiden använder en Active Directory Domain Services (AD DS)-skog med namnet encon.com. DC01 fungerar som domänkontrollant.

Först kommer vi att distribuera en virtuell dator på Azure. Se till att båda IP-adresserna är statiska.

Se till vid utplacering,

1. Virtuella maskiner distribueras på samma virtuella nätverk
2. Om det distribueras i samma region, se till att subnätet är detsamma

3. Offentlig IP-adress är statisk

   

4. När den virtuella maskinen har skapats, navigera till nätverk under Inställningar och klicka på Nätverksgränssnitt

   

   1. Navigera till IP-konfiguration under inställningar

   2. Klicka på ipconfig1 i menyn och ändra IP-privata inställningar till Statisk från Dynamisk

      

   3. Klicka på Spara och gå tillbaka till den virtuella maskinen

Ange andra parametrar enligt dina krav och skapa den virtuella maskinen.

Konfigurera nätverk

När den virtuella datorn har skapats loggar du in och följer stegen nedan.

1. Logga in på DC01 som en lokal användare
2. Klicka Start, Typ ncpa.cpl och tryck på ENTER
3. Klicka på ethernetOch klicka sedan på Våra Bostäder under Aktivitet
4. Dubbelklicka på Internetprotokoll version 4 (IPv4)
5. Ändra bara DNS-serveradressoch tillhandahålla den privata IPv4-adressen för DC01

6. För Alternativ DNS, ange 8.8.8.8 eller någon annan offentlig DNS-tjänst du vill ha.

   

7. Klicka på OK och starta om den virtuella maskinen från portalen.
8. När du har startat om, logga in på DC01 som lokal användare
9. Klicka Start, Typ sysdm.cpl och tryck på ENTER
10. Ändra datornamn till DC01och starta nu när du uppmanas

Installera Active Directory Domain Services och lägga till en ny skog

1. Öppet server managerFör att göra det kan du klicka på Serverhanterarikon i verktygsfältet eller klicka på Start, Klicka sedan server manager.
2. Klicka hanteraOch klicka sedan på Lägg till roller och funktioner
3. Innan du börjar, klicka Nästa
4. På Installationstyp klickar du på Nästa
5. På Serverval klickar du på Nästa
6. På Serverroller, välj Active Directory Domain Services, klicka på Lägg till funktionerOch klicka sedan på Nästa
7. På Funktioner klickar du på Nästa
8. På AD DS klickar du på Nästa
9. Vid bekräftelse klickar du på installera.

10. Efter installationen, antingen

    1. Klicka på Marknadsför denna server till en domänkontrollant i guiden Lägg till roller och funktioner

       

    2. Eller klicka på Marknadsför denna server till en domänkontrollant om konfigurationer efter distribution i aviseringar

       

11. I distributionskonfigurationen väljer du Lägg till en ny skog och anger rotdomännamnet ("encon.com").

    

12. I alternativen för domänkontrollant anger du lösenordet för återställningsläge för katalogtjänster och klickar på Nästa
13. Under DNS-alternativ klickar du på Nästa
14. Under Ytterligare alternativ klickar du på Nästa
15. Under Banor klickar du på Nästa
16. Under Granskningsalternativ klickar du på Nästa
17. Under Kontroll av förkunskaper klickar du på installera
18. När den är installerad kommer fjärranslutningen att avslutas.

19. Logga in på DC01 som encon\

    

20. DC01 är nu klar

Skapar offline rot-CA

Den fristående offline-root-CA:n bör inte installeras i domänen. Den bör inte ens vara ansluten till ett nätverk alls.

Vi kommer att skapa denna rot-CA lokalt. Jag kommer att skapa den på Proxmox, men du kan använda VMware eller VirtualBox för den här installationen.

Efter installationen av Windows Server 2019, följ stegen nedan

1. Logga in på CA01 som CA01\Administratör.
2. Klicka på Start, klicka på Kör och skriv sedan anteckningar C:\Windows\CAPolicy.inf och tryck på RETUR.
3. När du uppmanas att skapa en ny fil klickar du på Ja.

4. Skriv in följande som innehåll i filen.

   [Version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048; rekommenderas 4096 RenewalValidityPeriod=År RenewalValidityPeriodUnits=20 AlternateSignatureAlgorithm=0
   

5. Klicka på Arkiv och Spara för att spara filen CAPolicy.inf i katalogen C:\Windows. Stäng Anteckningar

Installera offline rot-CA

1. Logga in på CA01 som CA01\Administratör.
2. Klicka StartOch klicka sedan på server manager.
3. Klicka hanteraOch klicka sedan på Lägg till roller och funktioner
4. På sidan Innan du börjar klickar du på Nästa.
5. På sidan Välj serverroller väljer du Active Directory-certifikattjänsterOch klicka sedan på Nästa.
6. På sidan Introduktion till Active Directory-certifikattjänster klickar du på Nästa.
7. På sidan Välj rolltjänster, se till att Certifieringsmyndighet är vald, då Nästa.
8. På sidan Ange installationstyp kontrollerar du att Fristående är valt och klickar sedan på Nästa.
9. På sidan Ange CA-typ, se till att Rot-CA är valt och klicka sedan på Nästa.
10. På sidan Konfigurera privat nyckel, se till att Skapa en ny privat nyckel är valt och klicka sedan på Nästa.
11. Lämna standardinställningarna på sidan Konfigurera kryptografi för CA och klicka på Nästa.
12. På sidan Konfigurera CA-namn, under Vanligt namn för denna CA, avmarkerar du den befintliga posten och skriver Encon Root CA. Klicka på. Nästa.
13. På sidan Ange giltighetsperiod, under Välj giltighetsperiod för certifikatet som genereras för denna certifikatutfärdare, avmarkerar du den befintliga posten och skriver 20. Låt rutan vara inställd på År. Klicka på Nästa.
14. Behåll standardinställningarna på sidan Konfigurera certifikatdatabas och klicka på Nästa.
15. Granska inställningarna på sidan Bekräfta installationsval och klicka sedan på installera.
16. Granska informationen på sidan Installationsresultat för att bekräfta att installationen lyckades och klicka på Stäng.

Konfiguration efter installation på rot-CA

1. Se till att du är inloggad på CA01 as CA01\Administratör.
2. Öppna en kommandotolk. För att göra det kan du klicka på Start, klicka på Körning, Typ cmd och klicka sedan på OK.

3. För att definiera Active Directory-konfigurationspartitionens unika namn, kör följande kommando från en administrativ kommandotolk.

   Certutil -setreg CA\DSConfigDN "CN=Configuration,DC=Encon,DC=com"

4. Att definiera CRL-periodenheter och CRL-period, kör följande kommandon från en administrativ kommandotolk:

   1. Certutil -setreg CA\CRLPeriodUnits 52
   2. Certutil -setreg CA\CRLPeriod "Weeks"
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 0

5. Att definiera CRL-överlappningsperiodenheter och CRL-överlappningsperiod, kör följande kommandon från en administrativ kommandotolk:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod "Hours"

6. Att definiera Giltighetsperiod Enheter För alla certifikat utfärdade av denna CA, skriv följande kommando och tryck sedan på Enter. I det här labbet bör den företagsutfärdande CA:n få en livslängd på 20 år för sitt CA-certifikat. För att konfigurera detta, kör följande kommandon från en administrativ kommandotolk:

   1. Certutil -setreg CA\ValidityPeriodUnits 20
   2. Certutil -setreg CA\ValidityPeriod "Years"

Konfiguration av CDP- och AIA-punkter

Flera metoder konfigurerar platserna för Authority Information Access (AIA) och distributionspunkten för certifikatåterkallningslistan (CDP). AIA pekar på den offentliga nyckeln för certifikatutfärdaren (CA). Du kan använda användargränssnittet (i CA-objektets egenskaper), certutil eller redigera registret direkt. CDP:n är där certifikatåterkallningslistan underhålls, vilket gör det möjligt för klientdatorer att avgöra om ett certifikat har återkallats. Detta labb kommer att ha tre platser för AIA och fyra platser för CDP.

Konfigurera AIA-punkter

Ett certutil-kommando är en snabb och vanlig metod för att konfigurera AIA. Kommandot certutil för att ställa in AIA modifierar registret, så se till att du kör kommandot från en kommandotolk som administratör. När du kör följande certutil-kommando konfigurerar du en statisk filsystemplats, en HTTP-plats för AIA och en LDAP-plats (Lightweight Directory Access Path). Kör följande kommando:

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Obs: Du måste ändra http-adressen på AIA-platsen. I det här scenariot var vår http-containeradress http://pkitest.encryptionconsulting.com/pkitest/, vilket kan variera för dig.

Konfigurera CDP-punkterna

Kommandot certutil för att ställa in CDP modifierar registret, så se till att du kör kommandot från ett kommando

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/%3%8%9.crl \n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Obs: Du måste ändra http-adressen på CDP-platsen. För det här scenariot var vår http-containeradress http://pkitest.encryptionconsulting.com/pkitest/, vilket kan variera för dig.

Kör följande kommandon vid en administrativ kommandotolk för att starta om Active Directory Certificate Services och publicera CRL:n

nätstopp certsvc && nätstart certsvc

certutil -crl

Skapa utfärdande certifikatutfärdare

Företagsutfärdare måste vara anslutna till domänen. Innan du installerar Enterprise Issuing CA (CA02) måste du först ansluta servern till domänen. Sedan kan du installera rolltjänsten Certification Authority på servern.

Först kommer vi att distribuera en virtuell dator på Azure. Se till att båda IP-adresserna är statiska.

Se till vid utplacering,

1. Virtuella maskiner distribueras på samma virtuella nätverk
2. Om den distribueras på samma region, se till att subnätet är detsamma

3. Offentlig IP-adress är statisk

   

4. När den virtuella maskinen har skapats, navigera till nätverk under Inställningar och klicka på Nätverksgränssnitt



1. Navigera till IP-konfiguration under inställningar

2. Klicka på ipconfig1 i menyn och ändra IP-privata inställningar till Statisk från Dynamisk

   

3. Klicka på Spara och gå tillbaka till den virtuella maskinen

Ange andra parametrar enligt dina krav och skapa den virtuella maskinen.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Konfigurera nätverk

1. Logga in på CA02 som en lokal användare
2. Klicka Start, Typ ncpa.cploch tryck på ENTER
3. Klicka på ethernetOch klicka sedan på Våra Bostäder under Aktivitet
4. Dubbelklicka på Internetprotokoll version 4 (IPv4)

5. Ändra bara DNS-serveradress, och ange den privata IPv4-adressen för DC01 (om båda tillhör samma region), eller ange den offentliga IP-adressen för DC01 (om de tillhör olika regioner)

   

6. Klicka på OK och starta om den virtuella maskinen från portalen.
7. När omstarten är klar, logga in på CA02 som lokal användare
8. Klicka Start, Typ sysdm.cploch tryck på ENTER

9. Ändra datornamn till CA02 och ange domännamnet i domänen. Ange inloggningsuppgifter för DC01 och vänta tills du får ett meddelande om att det lyckades.

   

10. Klicka på starta nu när du uppmanas

Skapa CAPolicy vid utfärdande av CA

1. Logga in på CA01 som CA01\Administratör.
2. Klicka på Start, klicka på Kör och skriv sedan anteckningar C:\Windows\CAPolicy.inf och tryck på RETUR.
3. När du uppmanas att skapa en ny fil klickar du på Ja.

4. Skriv in följande som innehåll i filen.

   [Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID= 1.2.3.4.1455.67.89.5 URL= http://pkitest.encryptionconsulting.com/pkitest/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=År RenewalValidityPeriodUnits=10 LoadDefaultTemplates=0
   

5. Klicka på Arkiv och Spara för att spara filen CAPolicy.inf i katalogen C:\Windows. Stäng Anteckningar

Publicera rot-CA-certifikat och CRL:er i CA02

1. Logga in på CA01 som lokal administratör
2. Navigera till C:\Windows\System32\CertSrv\CertEnroll

3. Kopiera de CRL:er och certifikat som finns

   

4. Klistra in filerna i C-enheten i CA02

   Obs: Om du använder RDP kan du kopiera och klistra in direkt

   

5. För att publicera Encon Root CA-certifikat och CRL i Active Directory på CA02, kör följande kommandon vid en administrativ kommandotolk.

           certutil -f -dspublish "C:\CA01_Encon Root CA.crt" RotCA certutil -f -dspublish "C:\Encon Root CA.crl" CA01
       

6. För att lägga till Fabrikams rotcertifikat och CRL i den lokala arkivet CA02.Fabrikam.com, kör följande kommando från en administrativ kommandotolk.

       certutil -addstore -f root "C:\CA01_Encon Root CA.crt" certutil -addstore -f root "C:\Encon Root CA.crl"
       

Installera utfärdande certifikatutfärdare

1. Se till att du är inloggad som Encon-användare i CA02

2. Klicka Startoch klicka sedan på server manager

3. Klicka hanteraOch klicka sedan på Lägg till roller och funktioner

4. Klicka Nästa on Innan du börjar

   

5. På Installationstyp klickar du på Nästa

   

6. On Serverval, klicka på Nästa

   

7. On Serverrollerväljer Active Directory-certifikattjänster, Klicka på Lägg till funktioner när du uppmanas och klicka på Nästa

   

8. On Funktioner, klicka på Nästa

   

9. Klicka på Nästa i AD CS.

   

10. On Rolltjänster, Välj Webbregistrering för certifikatutfärdare, Klicka på Lägg till funktioner när du uppmanas och klicka på Nästa

    

11. På Webbserverrollen (IIS) och Rolltjänster klickar du på Nästa

    

12. Vid bekräftelse klickar du på installera

    

Konfiguration av utfärdande CA

1. Efter installationen, antingen

   1. Klicka på Konfigurera Active Directory-certifikattjänster på målservern i guiden Lägg till roller och funktioner

      

   2. Eller klicka på Konfigurera Active Directory-certifikattjänster på Notifieringscenter

      

2. På Inloggningsuppgifter klickar du på Nästa

   

3. Under Rolltjänster, välj båda certifikatutfärdare såväl som Webbregistrering för certifikatutfärdare

   

4. On Installationstyp, säkerställa Företags-CA är vald och klicka Nästa

   

5. På CA-typ väljer du Underordnad CA och klickar på Nästa

   

6. På Privat nyckel, välj att Skapa en ny privat nyckel

   

7. På Kryptografi, lämna standardinställningarna och klicka Nästa

   

8. På CA-namn, ange Common Name som Encon-utfärdande behörighetsinstans och lämna standardvärdet för allt.

   

9. Vid Certifikatbegäran, se till att Spara en certifikatbegäran till fil är markerat och klicka på Nästa

   

10. Klicka på Nästa i certifikatdatabasen

    

11. Vid bekräftelse efter granskning, klicka på Inställd

    

12. Utfärdande CA bör nu vara konfigurerad. Klicka på Stäng.

    

13. När utfärdande certifikatutfärdare har konfigurerats visas en fil på C-enheten. Kopiera filen till C-enheten i rot-certifikatutfärdaren.

    

Utfärdande av CA-certifikat

1. Kopiera utfärdande CA-req-fil till rot-CA:ns C-enhet
2. Öppna kommandotolken

3. Kör kommandot

   certreq -submit "C:\CA02.encon.com_encon-CA02-CA.req"

4. Välj rot-CA från listan över certifikatutfärdare

   

5. När en begäran har skickats in får du ett RequestID

   

6. Öppet certifikatutfärdare från Verktyg i Serverhanteraren

   

7. Navigera till Väntande förfrågningar

   

8. Högerklicka på det RequestID som du fick när du skickade begäran, klicka på Alla uppgifter och klicka på Problem.

   

9. När den har utfärdats, navigera till kommandotolken igen och kör

   certreq -retrieve 2 "C:\CA02.encon.com_Encon Issuing CA.crt"

10. Välj rot-CA från listan över certifikatutfärdare

    

11. När den har hämtats visas meddelandet om att den lyckats

    

12. Kopiera det utfärdade certifikatet från rot-CA till CA02

    

13. Logga in på CA02 som en Encon-användare och kopiera certifikatet till C-enheten

14. Öppet certifikatutfärdare från Verktyg i Serverhanteraren

    

15. Högerklicka på Encon Issuing CA, klicka på Alla uppgifter och klicka på Installera CA-certifikat.

    

16. Navigera till C-enheten och välj Alla filer bredvid Filnamn tills det kopierade certifikatet syns

    

17. Välj det utfärdade certifikatet och klicka på Öppet

    Högerklicka på Encon Issuing CA, klicka på Alla uppgifter och klicka på Starta tjänst.

    

Konfiguration efter installation vid utfärdande CA

1. Se till att du är inloggad på CA02 as Encon-användare
2. Öppna en kommandotolk. För att göra det kan du klicka på Start, klicka på Körning, Typ cmd och klicka sedan på OK.

3. Att definiera CRL-periodenheter och CRL-period, kör följande kommandon från en administrativ kommandotolk:

   1. Certutil -setreg CA\CRLPeriodUnits 1
   2. Certutil -setreg CA\CRLPeriod "Veckor"
   3. Certutil -setreg CA\CRLDeltaPeriodUnits 1
   4. Certutil -setreg CA\CRLDeltaPeriod “Dagar”

4. Att definiera CRL-överlappningsperiodenheter och CRL-överlappningsperiod, kör följande kommandon från en administrativ kommandotolk:

   1. Certutil -setreg CA\CRLOverlapPeriodUnits 12
   2. Certutil -setreg CA\CRLOverlapPeriod “Timmar”

5. Att definiera Giltighetsperiod Enheter För alla certifikat utfärdade av denna CA, skriv följande kommando och tryck sedan på Enter. I det här labbet bör den företagsutfärdande CA:n få en livslängd på 20 år för sitt CA-certifikat. För att konfigurera detta, kör följande kommandon från en administrativ kommandotolk:

   1. Certutil -setreg CA\ValidityPeriodUnits 5
   2. Certutil -setreg CA\ValidityPeriod “År”

Konfiguration av CDP- och AIA-punkter

Flera metoder konfigurerar platserna för Authority Information Access (AIA) och distributionspunkten för certifikatåterkallningslistan (CDP). AIA pekar på den offentliga nyckeln för certifieringsutfärdaren (CA). Du kan använda användargränssnittet (i CA-objektets egenskaper), certutil eller redigera registret direkt.

CDP:n är där listan över återkallade certifikat hanteras, vilket gör det möjligt för klientdatorer att avgöra om ett certifikat har återkallats. Detta labb kommer att ha tre platser för AIA och tre för CDP:n.

Konfigurera AIA-punkter

Ett certutil-kommando är en snabb och vanlig metod för att konfigurera AIA. Kommandot certutil för att ställa in AIA modifierar registret, så se till att du kör kommandot från en kommandotolk som administratör.

När du kör följande certutil-kommando konfigurerar du en statisk filsystemplats, en HTTP-plats för AIA och en LDAP-plats (Lightweight Directory Access Path). Kör följande kommando:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pkitest.encryptionconsulting.com/pkitest/%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11”

Obs: Du måste ändra http-adressen på AIA-platsen. I det här scenariot var vår http-containeradress http://pkitest.encryptionconsulting.com/pkitest/, vilket kan variera för dig.

Konfigurera CDP-punkterna

Kommandot certutil för att ställa in CDP modifierar registret, så se till att du kör kommandot från ett kommando

certutil -setreg CA\CRLPublicationURLs “65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n2:http://pkitest.encryptionconsulting.com/pkitest/CertEnroll/%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10”

Obs: Du måste ändra http-adressen på CDP-platsen. För det här scenariot var vår http-containeradress http://pkitest.encryptionconsulting.com/pkitest/, vilket kan variera för dig.

Enligt CDP-punkten kommer även CertEnroll-mappen att finnas i pkitest-behållaren i Azure Blob. Detta beror på att mappen kommer att kopieras rekursivt från CertSrv-mappen till blob-lagringen.

Kör följande kommandon vid en administrativ kommandotolk för att starta om Active Directory Certificate Services och publicera CRL:n

nätstopp certsvc & &net start certsvc

certutil -crl

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Ladda upp certifikat och CRL:er till Blob Storage

Enligt våra CDP- och AIA-punkter skulle certifikaten vara tillgängliga på bloblagringen i Azure. Om vi ​​kör PKIView.msc på utfärdande certifikatutfärdare kommer vi att stöta på fel där certifikaten eller CRL:erna inte hittas.



För att lösa detta behöver vi ladda upp

• Rot-CA-certifikat
• Rot-CA-CRL
• Utfärdande av CA-certifikat

Utfärdande CA-CRL:er kommer att laddas upp med hjälp av ett skript som vi kommer att köra härnäst.

För att ladda upp filerna, kopiera dem från respektive dator och ha dem nära till hands på din värddator. Du hittar dessa filer på C:\Windows\System32\certsrv\CertEnroll på både rot-CA och utfärdande CA.

Obs: Kopiera inte CRL:erna från den utfärdande CA:n.



När du har kopierat, följ stegen nedan

1. Navigera till lagringskontot och klicka på pkitest-filen som du skapade

   

2. Klicka på Behållare under Datalagring

   

3. Klicka på pkitest-mappen

4. Klicka på Ladda längst upp till vänster

   

5. Klicka på bläddringsikonen och markera alla filer som behöver laddas upp och klicka på Öppna.

   

6. Markera alternativet Skriv över om filer redan finns och klicka sedan på Ladda upp

   

7. Efter uppladdning bör alla filer vara tillgängliga

   

När filerna har laddats upp, navigera till CA02 och öppna PKIView.msc igen. Nu borde CDP-punkter för rot- och utfärdande certifikatutfärdare vara tillgängliga, men AIA-punkten skulle fortfarande visa ett fel eftersom vi inte kopierade dessa filer till pkitest-mappen.



Skript för att kopiera utfärdande CA-CRL:er

Innan vi börjar behöver vi ladda ner AzCopyNär den är nedladdad, extrahera appen till C:\ för att den ska vara tillgänglig. Vi kommer att använda den här platsen i vårt skript. Ändra skriptets sökväg om du tänker lagra applikationen på en annan plats.



Nu behöver du också en mapp för att lagra koden. Jag rekommenderar att du skapar en mapp på C-enheten som AZCopyCode. Ladda ner skriptet nedan och lagra det där. Vi behöver göra några ändringar för att det ska fungera.

Obs: Denna kod skapades ursprungligen av dstreefkerkEnligt Windows Server 2022 fungerar den här koden. Jag har gjort några ändringar och åtgärdat några buggar.

Koda: https://github.com/Encryption-Consulting-LLC/AzCopyCode/blob/main/Invoke-UpdateAzureBlobPKIStorage.ps1

Github Gist som ska bäddas in:

<script src=”https://gist.github.com/coffee-coded/4cbeb0de02628bc2da6b182dc11bad0b.js”></script>

Kodändringar

1. Navigera till lagringskontot och klicka på pkitest-filen som du skapade

   

2. Klicka på Behållare under Datalagring

   

3. Klicka på pkitest-mappen

4. Klicka på Shared Access Token under Inställningar. Ange lämpliga behörigheter och välj ett utgångsdatum (helst ett år).

   

5. Klicka på Generera SAS-token och kopiera Blob SAS-token
6. Öppna koden i Anteckningar eller din föredragna kodredigerare

7. Klistra in SAS-token för variabeln

   $azCopyDestinationSASKey

8. Navigera till egenskaper under Inställningar, kopiera URL:en och klistra in den för $azCopyDestination
9. Ändra logg- och loggarkivplatser om tillämpligt.
10. Ändra AzCopy-platsen på $azCopyBinaryPath om du lagrade azcopy på en annan plats.
11. När ändringarna har gjorts, lagra dem i C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1
12. Öppna Powershell i CA02
13. Navigera till C:\AZCopyCode
14. Kör Invoke-UpdateAzureBlobPKIStorage.ps1

15. När den är kopierad visas hur många filer som har kopierats, med 100 % och allt klart med 0 misslyckades.

    

16. Öppna PKIView.msc, och nu borde inga fel vara synliga

    

17. Den övergripande PKI:n bör vara hälsosam.

    

Felsökning

I det här scenariot antar vi att du får ett felmeddelande



Kopiera URL:en genom att högerklicka på platsen och kopiera den till ett anteckningsblock. Det bör se ut ungefär så här.

http://pkitest.encryptionconsulting.com/pkitest/Encon%20Root%20CA.crl%20

Om du försöker öppna detta i webbläsaren kommer det fortfarande att ge ett felmeddelande eftersom det finns ett efterföljande %20 i slutet, vilket indikerar ett mellanslag. För att lösa detta måste CDP- och AIA-punkter ändras på rot-CA:n, och den utfärdande CA:n måste återskapas.

Automatisera skriptet

Vi skulle automatisera det här skriptet med hjälp av Schemaläggaren för att köra det varje vecka. Du kan justera detta efter dina behov.

1. Öppna Task Scheduler

2. Vänsterklicka på Aktivitetsschemaläggaren (lokal) och klicka på Skapa en grundläggande uppgift

   

3. Ange namn och beskrivning för uppgiften

   

4. Uppgiftsutlösaren är konfigurerad till veckovis

   

5. Välj Data och tid när skriptet ska köras

   

6. På Åtgärd, välj Starta ett program och klicka på Nästa

   

7. Under Start, ett program, i Program/Script write

   powershell -file "C:\AZCopyCode\Invoke-UpdateAzureBlobPKIStorage.ps1"

   

8. Klicka på ja i frågan

   

9. Kontrollera dialogrutan Öppna egenskaper och klicka på Slutför

   

10. När det är klart bör AZ Copy vara tillgängligt i biblioteket för aktivitetsschemaläggaren.

    

11. Högerklicka på AZ Kopiera och klicka på Kör

12. Uppdatera och kontrollera fliken Historik. Åtgärd slutförd bör visas i historiken.

    

Slutsats

Detta avslutar vår AD CS-installation med Azure Blob Storage. Det är enklare att hantera, men vi uppnår också hög tillgänglighet med hjälp av Azures Blob Storage. Detta hjälper organisationer att skapa PKI som kan vara operativa över hela världen med minimal latens och hög prestanda oavsett var ni befinner er. Om ni stöter på några problem, kom ihåg att kontakta info@encryptionconsulting.com