Služby certifikátů Active Directory (ADCS) systému Windows s proxy PKI

Tento dokument popisuje konfiguraci služby Windows Active Directory Certificate Services (ADCS) s PKI Proxy a NetHSM.

Prerequisits

  • NetHSM

    • Provisioned

    • Administrative access

  • PKI Proxy server

    • Modul NetHSM PKCS#11 je nainstalován a nakonfigurován pro použití s NetHSM

  • Server CA (Windows Server)

    • ADCS role installed, but not configured

    • PKI Proxy client tools installed

    • Klientské nástroje nejsou nutné, pokud na tomto serveru běží také server PKI Proxy, protože ten tyto nástroje obsahuje.

    • Pynitrokey installed

Root CA Key and Certificate

V následující tabulce jsou uvedeny klíčové algoritmy a délky klíčů spolu s hashovacími algoritmy, které může služba Windows ADCS používat s NetHSM.

Key Algorithm

Key Length

Hash Algorithm

RSA

1024

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

2048

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

4096

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

ECDSA

P256

SHA1, SHA256, SHA385, SHA512

P384

SHA1, SHA256, SHA385, SHA512

P521

SHA1, SHA256, SHA385, SHA512

Důležité

Dodržujte prosím osvědčené postupy při výběru bezpečného klíčového algoritmu, délky klíče a hašovacího algoritmu.

Klíč a certifikát lze buď nově vygenerovat, nebo převést již existující. Další informace o postupu pro vaši konkrétní situaci naleznete v následujících podkapitolách.

Generate a new Root CA Key and Certificate on Windows

Následující pokyny slouží k vytvoření nového klíče a certifikátu pro použití v kořenové certifikační autoritě služby ( ) v rámci služby ADCS.

Tip

Obvykle je snazší vygenerovat klíč a certifikát pomocí průvodce konfigurací ADCS a poté postupovat podle pokynů na stránce Migrace stávajícího klíče a certifikátu.

V tomto případě se k vygenerování klíče s explicitními rozšířeními certifikační autority používá šablona požadavku. Konkrétní hodnoty je třeba přizpůsobit vašemu prostředí.

Šablonu požadavku je třeba uložit do souboru s názvem RootCA.inf a s následujícím obsahem.

Tato šablona vygeneruje klíč RSA o délce 4096 bitů. Je třeba nahradit <CA-NAME> názvem vaší certifikační autority.

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=<CA-NAME>"
KeySpec = 1
KeyLength = 4096
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Software Key Storage Provider"
ProviderType = 0
RequestType = Cert
KeyUsage = 0x86

[Extensions]
; Key Usage: keyCertSign (0x04) + cRLSign (0x02) => 0x06
2.5.29.15 = "{critical}86"

; Basic Constraints: CA = TRUE, path length optional
2.5.29.19 = "{critical}{text}CA=TRUE"

; CA Version (V0.0)
1.3.6.1.4.1.311.21.1 = "{hex}02 01 00"

[RequestAttributes]
; Empty for self-signed request

Generate the key and certificate from the certificate template.

certreq -new RootCA.inf RootCA.req

Certifikát byl přidán do úložiště certifikátů místního počítače. Exportujte certifikát do souboru PFX a nahraďte <THUMBPRINT> příslušnou hodnotou z výstupu předchozího příkazu.

$password = Read-Host -AsSecureString "Password"
Export-PfxCertificate -Cert Cert:\LocalMachine\My\<THUMBPRINT> -FilePath RootCA.pfx -Password $password

Hodnota hesla se používá k zašifrování archivu PKCS#12 (soubor PFX). Můžete pokračovat v kapitole Konfigurace NetHSM.

Migrate existing Key and Certificate

Chcete-li migrovat stávající klíč a certifikát, je nutné je exportovat z úložiště certifikátů na serveru ADCS a výsledný archiv importovat do zařízení NetHSM.

Důležité

Než provedete změny v produkční certifikační autoritě, doporučujeme si o ní vytvořit zálohu. Další informace najdete na této stránce: ` <https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/ca-backup-and-restore-windows-powershell-cmdlets>` __.

  1. Otevřete stránku certlm.msc.

  2. Přejděte na Certifikáty – Místní počítač → Osobní → Certifikáty.

  3. Select the certificate in the list on the right.

  4. V horní liště nabídek přejděte na „ “ → „Action“ → „All Tasks“ → „Export…“. Tím se spustí Průvodce exportem certifikátů ** .

  5. Confirm the introduction of the assistant with Next.

  6. Zaškrtněte přepínač vedle položky „ “ (Ano, exportovat soukromý klíč) a potvrďte volbu „ “ (Ano, exportovat soukromý klíč). Poté klikněte na „ “ (Další). Pokud tento přepínač není k dispozici, je klíč označen jako neexportovatelný. V takovém případě se tento návod na daný případ použití nevztahuje.

  7. Pokud je to možné, zahrňte do certifikační cesty všechny certifikáty

  8. Zaškrtněte přepínač vedle položky „ “ (Ano, exportovat soukromý klíč) a potvrďte volbu „ “ (Ano, exportovat soukromý klíč). Poté klikněte na „ “ (Další).

  9. Zaškrtněte přepínač vedle položky „ Personal Information Exchange – PKCS #12 (.PFX)“. Ujistěte se, že jste zaškrtli následující možnosti:

    • Pokud je to možné, zahrňte do certifikační cesty všechny certifikáty

    • Exportovat všechny rozšířené vlastnosti

    • Enable certificate privacy

    Confirm the selection with Next.

  10. Zaškrtněte přepínač vedle položky „ “ (Heslo). Do textových polí pro heslo zadejte heslo. Z rozevíracího seznamu vedle položky „ Encryption“ (Šifrování) vyberte možnost „ “ (Šifrování) AES256-SHA256.

    Důležité

    Metoda šifrování AES256-SHA256 je podporována pouze ve Windows Server 2019 a Windows 11. Pro použití ve starších verzích ponechte výchozí nastavení TripleDES-SHA1.

    Confirm the selection with Next.

  11. Choose a storage location and file name and confirm with Next.

    Důležité

    Exportovaný klíč a certifikát by měly být uloženy na bezpečném místě, ke kterému mají přístup pouze oprávnění uživatelé.

  12. Confirm the export with Finish.

  13. Ujistěte se, že je certifikát stále vybrán v seznamu vpravo.

  14. V horní liště nabídek přejděte na „ “ → „Action“ → „All Tasks“ → „Delete“. Potvrďte smazání soukromého klíče a certifikátu volbou „ “ „Yes“.

Můžete pokračovat kapitolou Konfigurace NetHSM.

NetHSM Configuration

Klíč a certifikát z předchozí kapitoly je třeba importovat do zařízení NetHSM. Pomocí příkazu „ nitropy“ můžeme archiv PKCS#12 importovat přímo do zařízení NetHSM.

Importujte archiv PKCS#12 následujícím způsobem, přičemž nahraďte <KEY-ID>, <MECHANISM> a <PKCS12-ARCHIVE> příslušnými hodnotami.

nitropy nethsm import-pkcs12 -k <KEY-ID> -m <MECHANISM> -p <password> <PKCS12-ARCHIVE>

U klíčů RSA musí být mechanismem rsa_signature_pkcs1 a u klíčů ECDSA ecdsa_signature.

Nyní můžete ověřit, zda je certifikát k dispozici na zařízení NetHSM.

nitropy nethsm list-keys

Klíč se zobrazí s ID klíče zadaným v předchozím příkazu.

PKI Proxy Server Configuration

Na proxy serveru PKI je nutné sdílet právě přidaný certifikát z NetHSM. Další informace najdete v návodu na stránce Zveřejnění certifikátů z NetHSM.

Windows ADCS Configuration

PKI Proxy Client Tools Configuration

V následujícím postupu zpřístupníme klíč a certifikát v místním úložišti certifikátů systému Windows.

  1. Open the PKI Proxy Certificate Manager.

  2. Click the Add… button.

  3. Vyplňte povinná pole.

    • Umístění, např. https://localhost:9266

    • Ověřování

    • User

    • Secret Key/Password/SPN

    • Certificate Store: LOCALMACHINE\My

    Confirm the configuration with the OK button. This will bring you back to the previous window.

  4. The list under Certificate Management in the PKI Proxy Certificate Manager should now show the just added certificate.

Nyní můžete ověřit, zda je certifikát k dispozici v úložišti certifikátů místního počítače.

  1. Otevřete dialogové okno „ **“ (Spustit), a to buď kliknutím pravým tlačítkem myši na ikonu „ “ (Start) v nabídce „Start“ systému Windows a výběrem položky „ “ (Spustit), nebo stisknutím klávesy Windows + R** na klávesnici.

  2. V dialogovém okně „ “ (Spustit) zadejte certlm.msc a potvrďte stisknutím klávesy Zadejte na klávesnici nebo kliknutím na OK.

  3. V zobrazeném správci certifikátů přejděte ve stromové struktuře vlevo na položku „ “ (Certifikáty) – „Local Computer“ (Místní počítač) → „Personal“ (Osobní) → „Certificates“ (Certifikáty).

  4. The published certificate is now listed on the right.

Windows ADCS Configuration

  1. Spusťte Správce serveru **** z nabídky Start **** nebo stisknutím klávesy Windows + R na klávesnici a zadejte ServerManager.exe.

  2. V nabídkové liště vpravo nahoře klikněte na ikonu vlajky a z oznámení po nasazení vyberte možnost „ “ (Nastavení certifikátů Active Directory) a „Configure Active Directory Certificate Services on the destination server“ (Nastavení služeb certifikátů Active Directory na cílovém serveru). Tím se spustí průvodce „ “ (Nastavení služeb certifikátů Active Directory).

  3. In the wizard, set the settings below according to the stage.

    • Role Services

      Check the radio button next to Certification Authority.

    • Setup Type

      V závislosti na vašem prostředí vyberte buď certifikační autoritu typu „ “ (Enterprise CA), nebo samostatnou certifikační autoritu (Standalone CA) **** .

    • CA Type

      Vyberte kořenový certifikát ****

    • Private Key

      Zaškrtněte přepínač vedle položky „ “ (Použít stávající soukromý klíč). V rámci této možnosti zaškrtněte přepínač vedle položky „ “ (Vybrat certifikát a použít k němu přiřazené soukromé klíče).

      • Existing Certificate

        V seznamu certifikátů služby ( ) vyberte certifikát, který chcete použít. Ujistěte se, že políčko vedle položky „ “ (Povolit interakci správce při přístupu certifikační autority k soukromému klíči) ( ) není zaškrtnuto. To není nutné, protože KSP služby PKI Proxy nevyžaduje pro použití soukromého klíče žádné další ověření.

  4. Po dokončení průvodce konfigurací otevřete certifikační autoritu „ z nabídky Start **** nebo stisknutím klávesy Windows + R na klávesnici a zadáním certsrv.msc. Správné spuštění služby certifikační autority můžete ověřit podle zelené tečky s ikonou bílého zaškrtnutí vedle názvu certifikační autority.

Důležité

Dostupnost certifikační autority závisí na dostupnosti soukromého klíče a certifikátu. Pokud nejsou k dispozici, může dojít k selhání spuštění služby certifikační autority nebo k jejímu neočekávanému ukončení. V případě chyby zkontrolujte protokol událostí systému Windows v souboru „ “ ( ), kde najdete další informace.