Hallo Leser,

es ist mal wieder soweit, ich veröffentliche einen neuen Artikel. Heute beschäftige ich mich mal mit der Grundkonfiguration der Active Directory Certification Services, kurz AD CS. Ich möchte euch zeigen wie die Grundkonfiguration aussehen könnte. Wichtig bei der Konfiguration ist die Bereitstellungsart der Dienste. Im Regelfall werden die AD CS installiert um Bsp. eine Exchange Umgebung zu betreiben. Selbst für dieses Szenario sollten Punkte beachtet werden die leicht übergehen werden, wie die Sperrkonfiguration.

Zunächst einmal die Überlegung wie die Umgebung aufgebaut ist, meine Demo-Umgebung (auf Server 2012) ist folgendermaßen konfiguriert:

  • Domänenname: com.local
  • Internetdomänenname: asichel.de
  • Servercomputer: DC1, CL1, CA1

Abkürzungen:

  • PKI = Public Key Infrastructure
  • CRL = Certification Revoke List
  • CDP = Certification Distribution Point
  • AIA = Authority Information Access
  • CA = Certification Authority
  • OCSP = Online Certificate Status Protocol

Die Installation der AD CS kann auch auf einem Domänencontroller ausgeführt werden, empfiehlt sich allerdings nicht. Zudem gibt es verschiedene Bereitstellungsszenarien, ich installiere hier eine Stammzertifizierungsstelle als Unternehmenszertifizierungsstelle. Weiter Informationen zu den Szenarien sind hier zu finden: http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_12_001.htm

Zusätzlich installiere und konfiguriere ich die Webregistrierung für die Zertifizierungsstelle.

Schritt 1 – Rollendienste installieren

  1. Server-Manager auf CA1 öffnen
  2. Rollen und Features hinzufügen
  3. Vorbemerkungen –> Weiter
  4. Rollenbasierte oder featurebasierte Installation –> Weiter
  5. Zielserver auswählen und sicherstellen dass CA1.com.local ausgewählt ist –> Weiter
  6. Active Directory-Zertifikatsdienste auswählen und erforderliche Features hinzufügen (Bild 1) –> Weiter
  7. Features –> Weiter
  8. Active Directory-Zertifikatsdienste –> Weiter
  9. Im Fenster „Rollendienste auswählen“ die Zertifizierungsstellen-Webregistrierung zusätzlich mit auswählen und auch hier erforderliche Features mit hinzufügen (Bild 2) –> Weiter
  10. Rolle Webserver –> Weiter
  11. Rollendienste Webserver –> Weiter
  12. Bestätigungsseite –> Installieren
  13. Damit ist die Installation abgeschlossen und der Assistent kann geschlossen werden über die Schaltfläche „Schließen“ (Bild 3)

Übersicht Bilder Schritt 1:

Schritt 2 – Zertifikatsdienste installieren

  1. Den Server-Manager beobachten und auf das Ausrufezeichen an der Fahne in der Benachrichtigungsleiste achten (Bild 4)
  2. Auf den blauen Schriftzug klicken „Active Directory-Zertifikatsdienste auf dem Zielserver konfigurieren“ und ein Assistent öffnet sich
  3. Anmeldeinformationen: Hier sind keine Änderungen zu tätigen wenn der Domänenadministrator am Server CA1 angemeldet ist (Bild 5) –> Weiter
  4. Zu konfigurierende Rollendienste auswählen, hier sowohl Zertifizierungsstelle als auch Webregistrierung auswählen (Bild 6)–> Weiter
  5. Installationstyp: Unternehmenszertifizierungsstelle (Bild 7) –> Weiter
  6. ZS-Typ: Stammzertifizierungsstelle (Bild 8) –> Weiter
  7. Privater Schlüssel: Neuen Privaten Schlüssel erstellen (Bild 9) –> Weiter
  8. Kryptographie für Zertifizierungsstelle: Schlüssellänge auf 4096 anpassen (Bild 10) –> Weiter
  9. Name der Zertifizierungsstelle: Allgemeinen Namen anpassen (Bild 11) –> Weiter
  10. Gültigkeitsdauer: Auf 30 Jahr anpassen (Bild 12) –> Weiter
  11. Zertifizierungsstellendatenbank: So belassen (Bild 13) –> Weiter
  12. Bestätigung: Auf Konfigurieren klicken (Bild 14)
  13. Installationsstatus (Bild 15)
  14. Installationsergebnisse (Bild 16)
(Update Dezember 2014) Achtung: Es sollten keine Zertifikate mehr mit SHA 1 ausgestellt werden, bitte mindestens SHA 256 verwenden. Dies gilt für den Privaten Schlüssel als auch für auszustellende Zertifikate. Weitere Informationen gibt es hier

[notify_box font_size=“13px“ style=“red“](Update Dezember 2014) Achtung: Es sollten keine Zertifikate mehr mit SHA 1 ausgestellt werden, bitte mindestens SHA 256 verwenden. Dies gilt für den Privaten Schlüssel als auch für auszustellende Zertifikate. Weitere Informationen gibt es hier [/notify_box]

Übersicht Bilder Schritt 2:

Schritt 3 – CDP erstellen

Zunächst müssen wir einige Vorbereitungen und Überlegungen dafür treffen. Zertifikate müssen vom Clientsystem aus auf Ihrer Gültigkeit überprüft werden, dies geschieht mit Hilfe sogenannter Sperrlistenverteilungspunkten (CDP) in denen die Zertifikatssperrlisten (CRL) enthalten sind. Der Zugriff auf die CRL ist ein HTTP Zugriff. Sollten also bestimmte Dienste die Zertifikate erfordern nach außen hin angeboten werden, so muss der CDP durch Clients von außen erreicht werden können. Der CDP ist in jedem Ausgestelltem Zertifikat enthalten, sollte also die Konfiguration der CDP nicht erfolgen, so muss im Nachhinein jedes Zertifikat neu ausgestellt werden.

Für die Konfiguration der CDP wird ein Internetinformationsdienst (IIS) benötigt um die Überprüfung der Zertifikate zu gewährleisten. In meiner Konfiguration lege ich die CRL auf dem DC ab, bin allerdings mit Hilfe von CNAMEs in der Lage die Konfiguration dynamisch zu halten.

  1. Am DC anmelden
  2. DNS-Manager öffnen
  3. Neuen Alias erstellen (Bild 17)
  4. Auf dem Laufwerk C ein neues Verzeichnis erstellen: CRLD und Freigeben als CRLD$ mit der Freigabeberechtigung: „Authentifizierte Benutzer“ Vollzugriff (Bild 18)
  5. Die Registerkarte Sicherheit des Verzeichnis auswählen und den Servercomputer CA1 mit der Berechtigung ändern hinzufügen (Bild 19)
  6. Mit OK bestätigen
  7. Server-Manager öffnen
  8. Rollen und Features hinzufügen
  9. Die Rolle Webserver (IIS) auswählen und 4x auf Weiter klicken –> Installieren
  10. Installation mit Schließen bestätigen
  11. Über Start den IIS-Manager öffnen
  12. Auf „Default Web Site“ Einen rechtsklick –>  Virtuelles Verzeichnis hinzufügen
  13. Bei Alias: CRLD eintragen und unter Physischer Pfad: C.\CRLD auswählen (Bild 20) und mit OK bestätigen
  14. In der „Features-Übersicht“ den Punkt Verzeichnis durchsuchen via Doppelklick wählen –> Rechtsseitig unter Aktionen auf Aktivieren klicken (Diese Konfiguration dient später nur zu Überprüfungszwecken und sollte wieder Deaktiviert werden!)
  15. Zurück auf die Übersichtsseite von CRLD wechseln und via Doppelklick den Konfigurationseditor öffnen
  16. Im Konfigurationseditor unterhalb von Abschnitt auf „System.webServer/security/requestFiltering“ wechseln (Bild 21)
  17. Den wert „allowdoubleEscaping“ von False auf True stellen und mit Übernehmen auf der rechten Seite bestätigen  (Bild 22) –> Dient dazu um Deltasperrlisten abzulegen da diese ein „+“ im Dateinamen enthalten
  18. IIS Manager schließen

Übersicht Bilder Schritt 3:

Schritt 4 – Sperrlistenverteilungspunkte

Nun wird die Zertifizierungsstelle so konfiguriert dass die Sperrlisten über einen UNC-Pfad automatisch auf die Freigabe gelegt werden. Diese Freigabe ist zudem über einen HTTP-Pfad erreichbar. Dieser HTTP-Pfad wird später in den Eigenschaften des Ausgestellten Zertifikats hinterlegt sein.

  1. Anmelden an CA1
  2. Zertifizierungsstelle über Start öffnen
  3. Mit einem rechtsklick auf die Zertifizierungsstelle in die Eigenschaften wechseln
  4. Die Registerkarte „Erweiterungen“ auswählen (Bild 23)
  5. Unterhalb von Erweiterungen auswählen den Punkt „Zugriff auf Stelleninformationen“ anklicken
  6. Den Punkt mit „ldap://“ markieren und im unteren Teil den Haken bei „In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen“ entfernen
  7. Wieder zurück auf „Sperrlisten-Verteilungspunkt“ wechseln
  8. „ldap://“ markieren und die Haken bei den Punkten 2,3 & 4 Entfernen (Bild 24)
  9. Den teil mit „http://“ markieren und Entfernen auswählen, mit Ja bestätigen
  10. Den teil mit „file://“ markieren und Entfernen auswählen, mit Ja bestätigen
  11. Aug hinzufügen klicken und unterhalb von Ort folgendes eingeben: \\crl\crld$\ –> Unterhalb von Variablen die Variablen
    1. <CAName> auswählen und Einfügen drücken
    2. <CRLNameSuffix> auswählen und Einfügen drücken
    3. <DeltaCRLAllowed> auswählen und Einfügen drücken
  12. Anschließend unter Ort am Ende noch .crl hinzufügen (Bild 25)
  13. Mit OK bestätigen
  14. Erneut auf hinzufügen drücken und Folgendes unter Ort erstellen: http://crl.com.local/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
  15. Und ein Letztes mal noch für den Öffentlichen Sperrlistenverteilungspunkt: http://crl.asichel.de/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
  16. Bei dem UNC-Pfad die folgenden Haken setzen: (Bild 26)
    1. Sperrlisten an diesem Ort veröffentlichen
    2. Deltasperrlisten an diesem Ort veröffentlichen
  17. Bei den beiden HTTP-Pfaden die folgenden Haken setzen: (Bild 27)
    1. In Sperrlisten einbeziehen. Wird z. Suche von Deltasperrlisten verwendet
    2. In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen
  18. Mit Übernehmen bestätigen, es folgt eine Aufforderung die Zertifizierungsstelle neu zu starten, mit Ja bestätigen
  19. Mit OK bestätigen
  20. Rechtsklick auf „Gesperrte Zertifikate“ –> Alle Aufgaben –> Veröffentlichen
  21. Es öffnet sich ein neues Fenster mit dem veröffentlichen der Zertifikatssperrliste –> mit OK bestätigen (Bild 28)
  22. Anschließend den Internet Explorer öffnen und http://crl.com.local/crld eingeben und sicherstellen dass die Sperrlisten vorhanden sind (Bild 29)

Übersicht Bilder Schritt 4:

Schritt 5 – Gruppenrichtlinie

Damit die Clientcomputer in unserem Netzwerk der neuen Zertifizierungsstelle vertrauen erstellen wir ein Gruppenrichtlinienobjekt welches Computerzertifikate automatisch ausrollt. Damit ist dann auch das Zertifikat der Zertifizierungsstelle im Clientsystem unterhalb von Vertrauenswürdigen Stammzertifizierungsstellen installiert. Benutzer können somit auf eine mit HTTPS gesicherte Website zugreifen ohne eine Zertifikatsfehlermeldung zu erhalten. Folgende Einstellungen sind in dem Richtlinienobjekt definiert:

Die Richtlinie habe ich mit der Domäne verknüpft. In der Zertifizierungsstelle unter Zertifikatsvorlagen sollten noch die Zertifikatsvorlagen „Basis-EFS“ und „Benutzer“ entfernt werde damit sich die Benutzer keine Zertifikate ausstellen können. Dafür sollte zunächst die Schlüsselarchivierung implementiert werden. Wie das geht zeige ich in einem Späterem Beitrag.
Die Bereitstellung der Zertifikatsdienste ist damit abgeschlossen. Viel Erfolg und Spaß beim einrichten einer PKI.