Windows Active Directory sertifikaaditeenused (ADCS) koos PKI-proksiga

Käesolevas dokumendis kirjeldatakse Windows Active Directory Certificate Services’i (ADCS) konfigureerimist koos PKI Proxy ja NetHSM-iga.

Prerequisits

  • NetHSM

    • Provisioned

    • Administrative access

  • PKI Proxy server

    • NetHSM PKCS#11-moodul on paigaldatud ja seadistatud NetHSM-i kasutamiseks

  • CA-server (Windows Server)

    • ADCS role installed, but not configured

    • PKI Proxy client tools installed

    • Klienditööriistu ei ole vaja, kui sellel serveril töötab ka PKI-proksiserver, kuna see sisaldab juba klienditööriistu.

    • Pynitrokey installed

Root CA Key and Certificate

Järgmises tabelis on loetletud võtmealgoritmid ja võtmepikkused koos hash-algoritmidega, mida Windows ADCS saab NetHSM-iga kasutada.

Key Algorithm

Key Length

Hash Algorithm

RSA

1024

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

2048

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

4096

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

ECDSA

P256

SHA1, SHA256, SHA385, SHA512

P384

SHA1, SHA256, SHA385, SHA512

P521

SHA1, SHA256, SHA385, SHA512

Tähtis

Palun järgige parimaid tavasid turvalise võtmealgoritmi, pikkuse ja hash-algoritmi valimisel.

Võti ja sertifikaat võivad olla kas äsja loodud või võib olemasoleva üle kanda. Lisateavet teie konkreetsele olukorrale sobiva lähenemisviisi kohta leiate allpool olevatest alapeatükkidest.

Generate a new Root CA Key and Certificate on Windows

Järgmiste juhiste abil luuakse ADCS-is uus võti ja sertifikaat, mida kasutatakse juur-sertifitseerimisasutuses „ “ ( ).

Nõuanne

Tavaliselt on lihtsam luua võti ja sertifikaat ADCS-i konfiguratsiooniviisardi abil ning seejärel järgida juhiseid aadressil Olemasoleva võtme ja sertifikaadi migreerimine.

Sellisel juhul kasutatakse taotluse mall, et luua võti, millel on selgesõnalised CA-laiendused. Konkreetsed väärtused tuleb kohandada vastavalt teie keskkonnale.

Päringu mall tuleb salvestada failina nimega RootCA.inf ja selle sisu peab olema järgmine.

See mall loob RSA-võtme, mille pikkus on 4096 bitti. Peate asendama <CA-NAME> oma sertifitseerimisasutuse nimega.

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=<CA-NAME>"
KeySpec = 1
KeyLength = 4096
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Software Key Storage Provider"
ProviderType = 0
RequestType = Cert
KeyUsage = 0x86

[Extensions]
; Key Usage: keyCertSign (0x04) + cRLSign (0x02) => 0x06
2.5.29.15 = "{critical}86"

; Basic Constraints: CA = TRUE, path length optional
2.5.29.19 = "{critical}{text}CA=TRUE"

; CA Version (V0.0)
1.3.6.1.4.1.311.21.1 = "{hex}02 01 00"

[RequestAttributes]
; Empty for self-signed request

Generate the key and certificate from the certificate template.

certreq -new RootCA.inf RootCA.req

Sertifikaat on lisatud kohaliku arvuti sertifikaadihaldurisse. Ekspordi sertifikaat PFX-failina, asendades <THUMBPRINT> eelmise käsu väljundist saadud vastava väärtusega.

$password = Read-Host -AsSecureString "Password"
Export-PfxCertificate -Cert Cert:\LocalMachine\My\<THUMBPRINT> -FilePath RootCA.pfx -Password $password

Parooli väärtust kasutatakse PKCS#12-arhiivi (PFX-faili) krüpteerimiseks. Võite jätkata peatükiga „ NetHSM Configuration“.

Migrate existing Key and Certificate

Olemasoleva võtme ja sertifikaadi üleviimiseks tuleb need eksportida ADCS-i sertifikaadihaldusest ning saadud arhiiv importida NetHSM-i.

Tähtis

Enne tootmiskeskkonnas kasutatava sertifikaadiväljastaja muutmist on soovitatav sellest varukoopia teha. Lisateabe saamiseks vaadake palun lehekülge this.

  1. Ava veebileht certlm.msc.

  2. Minge aadressile Sertifikaadid – Kohalik arvuti → Isiklikud → Sertifikaadid.

  3. Select the certificate in the list on the right.

  4. Ülemises menüüribal valige „ Action“ → „All Tasks“ → „Export…“. See käivitab „ “ sertifikaadi ekspordi viisardi.

  5. Confirm the introduction of the assistant with Next.

  6. Märkige valikukast „ ” kõrval, valige „Yes, export the private key” ja kinnitage valik „ ” Järgmisena. Kui valikukast ei ole saadaval, on võti märgitud eksportimatuks. Sel juhul ei kehti käesolev juhend asjaomasele kasutusjuhtumile.

  7. Kui võimalik, lisage sertifitseerimisteekonda kõik sertifikaadid

  8. Märkige valikukast „ ” kõrval, valige „Yes, export the private key” (Jah, ekspordi privaatvõti) ja kinnitage valik „ ” (Jah, ekspordi privaatvõti). Seejärel valige „ ” (Järgmine).

  9. Märkige valikukast „ Personal Information Exchange – PKCS #12 (.PFX) ” kõrval. Veenduge, et järgmised valikud on märgitud:

    • Kui võimalik, lisage sertifitseerimisteekonda kõik sertifikaadid

    • Ekspordi kõik laiendatud omadused

    • Enable certificate privacy

    Confirm the selection with Next.

  10. Märkige valikukast „ ” (Parooli kasutamine) kõrval. Sisestage parool parooliväljadesse. Valige rippmenüüst „ Encryption” (Parooli krüpteerimine) kõrval valik „ ” (Parooli krüpteerimine).

    Tähtis

    Krüpteerimismeetodit AES256-SHA256 toetatakse alles alates Windows Server 2019 ja Windows 11 versioonidest. Vanemate versioonide puhul kasutage vaikimisi seadistust TripleDES-SHA1.

    Confirm the selection with Next.

  11. Choose a storage location and file name and confirm with Next.

    Tähtis

    Eksporditud võti ja sertifikaat tuleks hoida turvalises kohas, kuhu on juurdepääs ainult volitatud kasutajatel.

  12. Confirm the export with Finish.

  13. Veenduge, et sertifikaat on endiselt valitud parempoolses nimekirjas.

  14. Ülemises menüüribas valige „ Action“ → „All Tasks“ → „Delete“. Kinnitage privaatvõtme ja sertifikaadi kustutamine, valides „ “ ja seejärel „Yes“.

Võite jätkata peatükiga „ ” („NetHSM-i konfigureerimine”).

NetHSM Configuration

Eelmises peatükis loodud võti ja sertifikaat tuleb importida NetHSM-i. Käskuga „ nitroopia“ saame importida PKCS#12-arhiivi otse NetHSM-i.

Impordi PKCS#12-arhiiv järgmiselt, asendades <KEY-ID>, <MECHANISM> ja <PKCS12-ARCHIVE> vastavate väärtustega.

nitropy nethsm import-pkcs12 -k <KEY-ID> -m <MECHANISM> -p <password> <PKCS12-ARCHIVE>

RSA-võtmete puhul peab mehhanism olema rsa_signature_pkcs1 ning ECDSA-võtmete puhul ecdsa_signature.

Nüüd saate kontrollida, kas sertifikaat on NetHSM-is olemas.

nitropy nethsm list-keys

Võti kuvatakse koos eelmises käsus antud võtme ID-ga.

PKI Proxy Server Configuration

PKI-proxiserveris tuleb jagada äsja NetHSM-ist lisatud sertifikaat. Lisateabe saamiseks järgige juhiseid, mis on toodud artiklis „ : sertifikaatide avaldamine NetHSM-ist“.

Windows ADCS Configuration

PKI Proxy Client Tools Configuration

Järgnevalt lisame võtme ja sertifikaadi Windowsi kohaliku arvuti sertifikaadihaldurisse.

  1. Open the PKI Proxy Certificate Manager.

  2. Click the Add… button.

  3. Täitke kohustuslikud väljad.

    • Asukoht, nt https://localhost:9266

    • Autentimine

    • User

    • Secret Key/Password/SPN

    • Certificate Store: LOCALMACHINE\My

    Confirm the configuration with the OK button. This will bring you back to the previous window.

  4. The list under Certificate Management in the PKI Proxy Certificate Manager should now show the just added certificate.

Nüüd saate kontrollida, kas sertifikaat on olemas kohaliku arvuti sertifikaadihalduris.

  1. Avage dialoogaken „ “ („Käivita“ ), klõpsates hiire parema nupuga Windowsi „Start“ menüül ja valides „ “ („Käivita“ ) või vajutades klaviatuuril Windowsi klahvi + R.

  2. Dialoogis „ “ („Käivita“) sisestage certlm.msc ja kinnitage valik, vajutades nuppu „ “ („Käivita“). Sisestage klaviatuuril või klõpsates nuppu „OK“.

  3. Ilmuvas sertifikaadihalduris liikuge vasakul asuvas puustruktuuris järgmiselt: „ ” Sertifikaadid – Kohalik arvuti → Isiklikud → Sertifikaadid.

  4. The published certificate is now listed on the right.

Windows ADCS Configuration

  1. Avage „ i serverihaldur“ ( Server Manager) aadressili“ (Start) menüüst või vajutades klaviatuuril Windows-klahvi + R **** ja sisestage ServerManager.exe.

  2. Klõpsake paremas ülemises nurgas asuvas menüüribal lipuikoonile ja valige paigaldamisjärgsete teavituste hulgast „ “ („Active Directory sertifikaaditeenuste konfigureerimine sihtserveris“ ). See käivitab „ “ AD CS Configuration viisardi.

  3. In the wizard, set the settings below according to the stage.

    • Role Services

      Check the radio button next to Certification Authority.

    • Setup Type

      Valige vastavalt oma keskkonnale kas „ ” (Enterprise CA) või „ ” (Standalone CA).

    • CA Type

      Vali „ ” juur-sertifikaadi väljastaja

    • Private Key

      Märkige valikunupp „ “ kõrval. Kasutage olemasolevat privaatvõtit. Selle valiku all märkige valikunupp „ “ kõrval. Valige sertifikaat ja kasutage sellega seotud privaatvõtmeid.

      • Existing Certificate

        Valige nimekirjast „ i sertifikaadid“ ( ) sertifikaat, mida soovite kasutada. Veenduge, et valikukast „ “ („Luba administraatori sekkumine, kui sertifitseerimisasutus (CA) pääseb ligi privaatsele võtmele“) ( ) ei ole märgitud. See ei ole vajalik, kuna PKI Proxy KSP ei nõua privaatvõtme kasutamiseks mingit täiendavat autentimist.

  4. Pärast konfiguratsiooniviisardi lõpetamist avage „ ” sertifitseerimisasutus kas „ ” Start-menüüst või vajutades klaviatuuril Windows-klahvi + R **** ja sisestades certsrv.msc. Sertifitseerimisasutuse teenuse õiget käivitumist saate kontrollida, kui sertifitseerimisasutuse nime juures on näha rohelist punkti koos valge linnukesega.

Tähtis

Sertifitseerimisasutuse kättesaadavus sõltub privaatvõtme ja sertifikaadi kättesaadavusest. Kui need pole kättesaadavad, võib sertifitseerimisasutuse teenus käivitumisel ebaõnnestuda või ootamatult peatuda. Vea korral kontrollige täpsema teabe saamiseks Windowsi sündmuslogi kirjet „ “ ( ) aadressil.