Microsoft Active Directory Certificate Services (AD CS) med CDP/AIA på Amazon Web Services

Distribuera Active Directory-certifikattjänster är ett enkelt sätt för företag att bygga sin PKI-infrastruktur. Men det har sina brister, såsom

• Brist på utplacering i flera regioner
• Hög latens på CDP- och AIA-punkter

I den här artikeln visar vi hur du kan bygga din egen PKI-arkitektur medan du hostar dina CDP/AIA-punkter på AWS.

Obs! Om det här är första gången du distribuerar en PKI rekommenderar jag att du följer ADCS tvånivås PKI-hierarkidistribution eftersom det är ett enklare tillvägagångssätt och även berör grunderna.

Förutsättningar

• Ett AWS-konto där vi kommer att skapa S3-bucket.
• Ett anpassat domännamn
• En offline Windows Server VM, som kommer att vara vår rot-CA

[OBS: Detta är ett testscenario. Därför kanske CDP- och AIA-poäng inte matchar dina krav. Använd värden som är lämpliga för dina behov.]

Förbereder CDP- och AIA-poäng

Vi kommer att skapa en S3 Bucket som kommer att fungera som våra CDP/AIA-poäng för våra PKI infrastruktur. Vi kommer också att koppla den till vår anpassade domän för att omdirigera den till vårt AWS.

Skapar Amazon S3 Bucket

1. Först måste vi logga in till Amazon Web Services och navigera till Amazon S3.
2. Sedan på höger sida av rutan, klick on Skapa hink.
   1. I bucketnamnet, inkludera ditt anpassade domännamn (t.ex. bucketname.encryptionconsulting.com)
3. Klicka på ACL:er aktiverade.
4. Avmarkera d block för allmänhetens åtkomst och klick på kvitteringsruta.
5. Se till alla återstående inställningar måste vara a standard.
6. Öppna skopa > Under Behörigheter-> under hinkpolicy, Klicka på Redigera-knappen -> klicka på Policygenerator
7. Under välj policytyp, välj S3 Bucket-policy. Enligt Lägg till uttalande -> under huvudsaklig användning * -> Under Actions välj Hämta objekt -> Under Amazon Resource Name (ARN) kopiera Bucket ARN-URL från hinkpolicy & lägg till /*i slutet av ARN-URL i Amazon Resource Name (ARN). Klicka på Lägg till uttalande.
8. Klicka på generera policy.
9. Kopiera texten under policy. Klicka på Spara ändringar.
10. Enligt Bucket -> högra sidan av rutan, klick on LaddaDet kan vara ett png/pdf/word-dokument för testningen.
11. Öppet testfilen. Kopiera objekt-URL och klistra in den i Chrome. Då kan du se din fil

Bindning av AWS med en anpassad domän

1. Använd one.com eller en liknande webbhotellstjänst. I DNS-inställningarna navigerar du till DNS-poster. Nu behöver vi hämta tillbaka hostname för vårt AWS-konto. Välj Webbalias -> Se till att hostname måste vara vår skopnamn -> Under kommer att omdirigera till klistra in URL:en från testfilen & ta bort filnamnet från URL:en. Klicka on Skapa inspelning.
2. Nu kan vi hämta vår fil från vår anpassade domän. Skriv http://<hostname>/<file namn > i krom.
   1. Se till att ta bort s från https: för att förhindra problem.

Konfiguration av CDP- och AIA-punkter på rot-CA

Kör följande kommandon i kommandotolken för rot-CA:n

Kör följande kommandon för att starta om Active Directory Certificate Services och publicera CRL:n.

• nätstopp certsvc && nätstart certsvc
• certutil -crl

Publicera rot-CA-certifikatet och CRL:n

1. Se till att du är inloggad på vår utfärdande certifikatutfärdare som företagsadministratör. Kopiera Rot-CA-certifikat och Rot-CA-CRL filer från C:\Windows\System32\CertSrv\CertEnroll katalog till utfärdande CA.
2. På vår Utfärdande CAKör följande kommandon vid en administrativ kommandotolk för att publicera rotcertifikat och CRL i Active Directory.
   • certutil -f -dspublish RootCA
   • certutil -f -dspublish
3. Tillägga Rot-CA-certifikat och CRL I certifikatarkivet i vår utfärdande certifikatutfärdare kör du följande kommando från en administrativ kommandotolk.
   • certutil -addstore -f root
   • certutil -addstore -f root
4. Se till att du är inloggad på Utfärdande CA som företagsadministratör. Högerklicka på Utfärdande CA, klicka sedan på Förnya certifikat.
5. kopiera REQ-fil från Utfärdande CA till Rot-CA.

Skicka in begäran och utfärda Encon-utfärdande CA-certifikat

1. Se till att du är inloggad på Rot-CA som administratör. Öppna en administrativ kommandotolk på rot-CA. Skicka sedan begäran med följande kommando. I Certifieringsmyndighet I dialogrutan List, se till att Rot-CA är valt och klicka sedan på OK.
2. Öppna Certifieringsutfärdarens konsol. I certsrv [Certifieringsutfärdare (lokal)], expandera rot-CA i konsolträdet. Klicka på Väntande begäranden. I informationsfönstret högerklickar du på den begäran du just skickade in, klickar på Alla uppgifter och klickar på Problem.
3. Återgå till administrativa kommandotolken för att hämta det utfärdade certifikatet genom att köra följande kommando   certreq -hämta 5 .crt.”

Installera Encon Issuing CA-certifikatet på utfärdande CA

1. Se till att du har loggat in Utfärdande CA som företagsadministratör. Öppna certifikatutfärdarkonsolen. I certifikatutfärdarkonsolträdet högerklickar du på Encon Issuing CA och klickar sedan på Installera CA-certifikat. Skärmar Alla filer (*. *) och klicka på Utfärdar CA-certifikat. Klicka på Öppna. Högerklicka i konsolträdet Encon-utfärdande behörighetsinstans, klicka på Alla uppdragOch klicka sedan på Starta tjänsten.

Konfiguration av CDP- och AIA-poäng vid utfärdande av CA

Kör följande kommandon i kommandotolken för rot-CA:n

inaktivera delta crls med det här kommandot.

Kör följande kommandon för att starta om Active Directory Certificate Services och publicera CRL:n.

Ladda upp certifikat och CRL:er

1. Först måste vi logga in till Amazon Web Services och navigera till EC2.
2. På höger sida av rutan klickar du på Starta instanserSe till att namnet måste vara globalt unika och får inte innehålla utrymmen.
3. Operativsystem bör vara Amazon Linux 2 AMI (HVM)-Kernal 5.10 och SSD-volymtyp & arkitektur måste vara 64-bitars (x86).
4. Instans typ förblir densamma.
5. Klicka på Skapa nytt nyckelpar. Klicka på skapa nyckelpar. Se till att namnet måste vara globalt unikt och får inte innehålla mellanslag.
6. Se till alla återstående inställningar måste vara standard. På höger sida av rutan, klick on Starta instanser.
7. Scrolla ner lite, sedan klick on visa alla instanser.
8. Nu, navigerar till IAMPå höger sida av rutan, klick on JAG ÄR.
9. Enligt instrumentbräda -> användare-> Lägg till användareDen maximala längden på ett användarnamn är upp till 64-tecken. Klicka på Nästa.
10. Kontrollera AWS-hanteringskonsolbox. Klicka på skapa en IAM-användare. Klicka på Nästa
11. Klicka on Bifoga policyer direkt. Enligt Behörighetspolicyer, i sökfältet, skriv s3 och kolla på AmazonS3FullAccess-låda. Klicka på Nästa.
12. Enligt Granska och skapa, Klicka på skapa användaren.
13. Enligt Hämta lösenord -> klicka på återgå till användarlistan
14. Välja d användare vi har konfigurerat -> Under användare, välj Säkerhetsbehörigheter.
15. Enligt Säkerhetsuppgifter -> välj Åtkomstnycklar -> klicka skapa en åtkomstnyckel.
16. Välja Kommandoradsgränssnitt (CLI). Se till att klick på kvitteringsruta. Klicka på Nästa.
17. Maximal längd för en uppsatt beskrivningstagg kommer att vara upp till 256-tecken. Klicka på Skapa åtkomstnyckel.
18. Enligt Hämta åtkomstnycklar -> klicka på ladda ner .csv-filen.
19. installera AWS kommandoradsgränssnitt. Dubbelklicka på AWS CLI-konfiguration. Den nya guiden öppnas. Klicka på startskärmen Nästa att fortsätta.
20. Acceptera sedan i nästa fönster licensavtalet och klicka Nästa att fortsätta.
21. Klicka på Nästa.
22. Klicka på på nästa sida installera att börja installationsprocessen.
23. När är klar, klicka på Finish.
24. Öppna kommandotolken och kör följande kommando för att ladda upp CRL:er och CRT:
    • aws-version
    • aws-konfigurering.

    Obs: Skriv ner AWS-åtkomstnyckel, AWS hemlig åtkomstnyckel & standardnamn för regionen från nedladdad .csv-fil. I standardutdataformat, lämna det inget och tryck på enter.

25. Kör följande kommando för att ladda upp CRL:er och CRT:

    • aws s3 ls
    • aws s3 ls s3://eroot.encryptionconsulting.com
    Obs: eroot.encryptionconsulting.com är vårt bucketnamn
26. Nu är det dags att ladda upp certifikatet och CRL:erna från vårt system till AWS genom att köra följande kommando:
    • aws s3 sync C:\aws-s3 s3: \\eroot.encryptionconsuting.com
27.  Kontrollera nu om vi har laddat upp certifikatet och CRL:erna.
    • aws s3 ls s3://eroot.encryptionconsulting.com
    Obs: aws-s3 är vårt mappnamn och eroot.encryptionconsulting.com är vårt bucketnamn.
28. Kör nu pkiview.msc kommandot på Kommande, och vi framgångsrikt utplacerade vår CDP/AIA pekar på AWS. Obs! Filer kan behöva byta namn för att cdp- och aia-webbadresser ska fungera.

Slutsats

Detta avslutar vår AD CS-installation med AWS Services. Det är enklare att hantera, men vi uppnår också hög tillgänglighet med hjälp av AWS. Detta kommer att hjälpa organisationer att skapa PKI som kan användas över hela världen med minimal latens och hög prestanda oavsett var du befinner dig.