Služby certifikátů Active Directory (ADCS) systému Windows s proxy PKI¶
Tento dokument popisuje konfiguraci služby Windows Active Directory Certificate Services (ADCS) s PKI Proxy a NetHSM.
Prerequisits¶
NetHSM
Provisioned
Administrative access
PKI Proxy server
Modul NetHSM PKCS#11 je nainstalován a nakonfigurován pro použití s NetHSM
Server CA (Windows Server)
ADCS role installed, but not configured
PKI Proxy client tools installed
Klientské nástroje nejsou nutné, pokud na tomto serveru běží také server PKI Proxy, protože ten tyto nástroje obsahuje.
Pynitrokey installed
Root CA Key and Certificate¶
V následující tabulce jsou uvedeny klíčové algoritmy a délky klíčů spolu s hashovacími algoritmy, které může služba Windows ADCS používat s NetHSM.
Key Algorithm |
Key Length |
Hash Algorithm |
RSA |
1024 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
2048 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
|
4096 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
|
ECDSA |
P256 |
SHA1, SHA256, SHA385, SHA512 |
P384 |
SHA1, SHA256, SHA385, SHA512 |
|
P521 |
SHA1, SHA256, SHA385, SHA512 |
Důležité
Dodržujte prosím osvědčené postupy při výběru bezpečného klíčového algoritmu, délky klíče a hašovacího algoritmu.
Klíč a certifikát lze buď nově vygenerovat, nebo převést již existující. Další informace o postupu pro vaši konkrétní situaci naleznete v následujících podkapitolách.
Generate a new Root CA Key and Certificate on Windows¶
Následující pokyny slouží k vytvoření nového klíče a certifikátu pro použití v kořenové certifikační autoritě služby ( ) v rámci služby ADCS.
Tip
Obvykle je snazší vygenerovat klíč a certifikát pomocí průvodce konfigurací ADCS a poté postupovat podle pokynů na stránce Migrace stávajícího klíče a certifikátu.
V tomto případě se k vygenerování klíče s explicitními rozšířeními certifikační autority používá šablona požadavku. Konkrétní hodnoty je třeba přizpůsobit vašemu prostředí.
Šablonu požadavku je třeba uložit do souboru s názvem RootCA.inf a s následujícím obsahem.
Tato šablona vygeneruje klíč RSA o délce 4096 bitů. Je třeba nahradit <CA-NAME> názvem vaší certifikační autority.
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=<CA-NAME>"
KeySpec = 1
KeyLength = 4096
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Software Key Storage Provider"
ProviderType = 0
RequestType = Cert
KeyUsage = 0x86
[Extensions]
; Key Usage: keyCertSign (0x04) + cRLSign (0x02) => 0x06
2.5.29.15 = "{critical}86"
; Basic Constraints: CA = TRUE, path length optional
2.5.29.19 = "{critical}{text}CA=TRUE"
; CA Version (V0.0)
1.3.6.1.4.1.311.21.1 = "{hex}02 01 00"
[RequestAttributes]
; Empty for self-signed request
Generate the key and certificate from the certificate template.
certreq -new RootCA.inf RootCA.req
Certifikát byl přidán do úložiště certifikátů místního počítače. Exportujte certifikát do souboru PFX a nahraďte <THUMBPRINT> příslušnou hodnotou z výstupu předchozího příkazu.
$password = Read-Host -AsSecureString "Password"
Export-PfxCertificate -Cert Cert:\LocalMachine\My\<THUMBPRINT> -FilePath RootCA.pfx -Password $password
Hodnota hesla se používá k zašifrování archivu PKCS#12 (soubor PFX). Můžete pokračovat v kapitole Konfigurace NetHSM.
Migrate existing Key and Certificate¶
Chcete-li migrovat stávající klíč a certifikát, je nutné je exportovat z úložiště certifikátů na serveru ADCS a výsledný archiv importovat do zařízení NetHSM.
Důležité
Než provedete změny v produkční certifikační autoritě, doporučujeme si o ní vytvořit zálohu. Další informace najdete na této stránce: ` <https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/ca-backup-and-restore-windows-powershell-cmdlets>` __.
Otevřete stránku
certlm.msc.Přejděte na Certifikáty – Místní počítač → Osobní → Certifikáty.
Select the certificate in the list on the right.
V horní liště nabídek přejděte na „ “ → „Action“ → „All Tasks“ → „Export…“. Tím se spustí Průvodce exportem certifikátů ** .
Confirm the introduction of the assistant with Next.
Zaškrtněte přepínač vedle položky „ “ (Ano, exportovat soukromý klíč) a potvrďte volbu „ “ (Ano, exportovat soukromý klíč). Poté klikněte na „ “ (Další). Pokud tento přepínač není k dispozici, je klíč označen jako neexportovatelný. V takovém případě se tento návod na daný případ použití nevztahuje.
Pokud je to možné, zahrňte do certifikační cesty všechny certifikáty
Zaškrtněte přepínač vedle položky „ “ (Ano, exportovat soukromý klíč) a potvrďte volbu „ “ (Ano, exportovat soukromý klíč). Poté klikněte na „ “ (Další).
Zaškrtněte přepínač vedle položky „ Personal Information Exchange – PKCS #12 (.PFX)“. Ujistěte se, že jste zaškrtli následující možnosti:
Pokud je to možné, zahrňte do certifikační cesty všechny certifikáty
Exportovat všechny rozšířené vlastnosti
Enable certificate privacy
Confirm the selection with Next.
Zaškrtněte přepínač vedle položky „ “ (Heslo). Do textových polí pro heslo zadejte heslo. Z rozevíracího seznamu vedle položky „ Encryption“ (Šifrování) vyberte možnost „ “ (Šifrování) AES256-SHA256.
Důležité
Metoda šifrování AES256-SHA256 je podporována pouze ve Windows Server 2019 a Windows 11. Pro použití ve starších verzích ponechte výchozí nastavení TripleDES-SHA1.
Confirm the selection with Next.
Choose a storage location and file name and confirm with Next.
Důležité
Exportovaný klíč a certifikát by měly být uloženy na bezpečném místě, ke kterému mají přístup pouze oprávnění uživatelé.
Confirm the export with Finish.
Ujistěte se, že je certifikát stále vybrán v seznamu vpravo.
V horní liště nabídek přejděte na „ “ → „Action“ → „All Tasks“ → „Delete“. Potvrďte smazání soukromého klíče a certifikátu volbou „ “ „Yes“.
Můžete pokračovat kapitolou Konfigurace NetHSM.
NetHSM Configuration¶
Klíč a certifikát z předchozí kapitoly je třeba importovat do zařízení NetHSM. Pomocí příkazu „ nitropy“ můžeme archiv PKCS#12 importovat přímo do zařízení NetHSM.
Importujte archiv PKCS#12 následujícím způsobem, přičemž nahraďte <KEY-ID>, <MECHANISM> a <PKCS12-ARCHIVE> příslušnými hodnotami.
nitropy nethsm import-pkcs12 -k <KEY-ID> -m <MECHANISM> -p <password> <PKCS12-ARCHIVE>
U klíčů RSA musí být mechanismem rsa_signature_pkcs1 a u klíčů ECDSA ecdsa_signature.
Nyní můžete ověřit, zda je certifikát k dispozici na zařízení NetHSM.
nitropy nethsm list-keys
Klíč se zobrazí s ID klíče zadaným v předchozím příkazu.
PKI Proxy Server Configuration¶
Na proxy serveru PKI je nutné sdílet právě přidaný certifikát z NetHSM. Další informace najdete v návodu na stránce Zveřejnění certifikátů z NetHSM.
Windows ADCS Configuration¶
PKI Proxy Client Tools Configuration¶
V následujícím postupu zpřístupníme klíč a certifikát v místním úložišti certifikátů systému Windows.
Open the PKI Proxy Certificate Manager.
Click the Add… button.
Vyplňte povinná pole.
Umístění, např.
https://localhost:9266Ověřování
User
Secret Key/Password/SPN
Certificate Store:
LOCALMACHINE\My
Confirm the configuration with the OK button. This will bring you back to the previous window.
The list under Certificate Management in the PKI Proxy Certificate Manager should now show the just added certificate.
Nyní můžete ověřit, zda je certifikát k dispozici v úložišti certifikátů místního počítače.
Otevřete dialogové okno „ **“ (Spustit), a to buď kliknutím pravým tlačítkem myši na ikonu „ “ (Start) v nabídce „Start“ systému Windows a výběrem položky „ “ (Spustit), nebo stisknutím klávesy Windows + R** na klávesnici.
V dialogovém okně „ “ (Spustit) zadejte
certlm.msca potvrďte stisknutím klávesy Zadejte na klávesnici nebo kliknutím na OK.V zobrazeném správci certifikátů přejděte ve stromové struktuře vlevo na položku „ “ (Certifikáty) – „Local Computer“ (Místní počítač) → „Personal“ (Osobní) → „Certificates“ (Certifikáty).
The published certificate is now listed on the right.
Windows ADCS Configuration¶
Spusťte Správce serveru **** z nabídky Start **** nebo stisknutím klávesy Windows + R na klávesnici a zadejte
ServerManager.exe.V nabídkové liště vpravo nahoře klikněte na ikonu vlajky a z oznámení po nasazení vyberte možnost „ “ (Nastavení certifikátů Active Directory) a „Configure Active Directory Certificate Services on the destination server“ (Nastavení služeb certifikátů Active Directory na cílovém serveru). Tím se spustí průvodce „ “ (Nastavení služeb certifikátů Active Directory).
In the wizard, set the settings below according to the stage.
Role Services
Check the radio button next to Certification Authority.
Setup Type
V závislosti na vašem prostředí vyberte buď certifikační autoritu typu „ “ (Enterprise CA), nebo samostatnou certifikační autoritu (Standalone CA) **** .
CA Type
Private Key
Zaškrtněte přepínač vedle položky „ “ (Použít stávající soukromý klíč). V rámci této možnosti zaškrtněte přepínač vedle položky „ “ (Vybrat certifikát a použít k němu přiřazené soukromé klíče).
Existing Certificate
V seznamu certifikátů služby ( ) vyberte certifikát, který chcete použít. Ujistěte se, že políčko vedle položky „ “ (Povolit interakci správce při přístupu certifikační autority k soukromému klíči) ( ) není zaškrtnuto. To není nutné, protože KSP služby PKI Proxy nevyžaduje pro použití soukromého klíče žádné další ověření.
Po dokončení průvodce konfigurací otevřete certifikační autoritu „ “ z nabídky Start **** nebo stisknutím klávesy Windows + R na klávesnici a zadáním
certsrv.msc. Správné spuštění služby certifikační autority můžete ověřit podle zelené tečky s ikonou bílého zaškrtnutí vedle názvu certifikační autority.
Důležité
Dostupnost certifikační autority závisí na dostupnosti soukromého klíče a certifikátu. Pokud nejsou k dispozici, může dojít k selhání spuštění služby certifikační autority nebo k jejímu neočekávanému ukončení. V případě chyby zkontrolujte protokol událostí systému Windows v souboru „ “ ( ), kde najdete další informace.