Windows Active Directory sertifikaaditeenused (ADCS) koos PKI-proksiga¶
Käesolevas dokumendis kirjeldatakse Windows Active Directory Certificate Services’i (ADCS) konfigureerimist koos PKI Proxy ja NetHSM-iga.
Prerequisits¶
NetHSM
Provisioned
Administrative access
PKI Proxy server
NetHSM PKCS#11-moodul on paigaldatud ja seadistatud NetHSM-i kasutamiseks
CA-server (Windows Server)
ADCS role installed, but not configured
PKI Proxy client tools installed
Klienditööriistu ei ole vaja, kui sellel serveril töötab ka PKI-proksiserver, kuna see sisaldab juba klienditööriistu.
Pynitrokey installed
Root CA Key and Certificate¶
Järgmises tabelis on loetletud võtmealgoritmid ja võtmepikkused koos hash-algoritmidega, mida Windows ADCS saab NetHSM-iga kasutada.
Key Algorithm |
Key Length |
Hash Algorithm |
RSA |
1024 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
2048 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
|
4096 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
|
ECDSA |
P256 |
SHA1, SHA256, SHA385, SHA512 |
P384 |
SHA1, SHA256, SHA385, SHA512 |
|
P521 |
SHA1, SHA256, SHA385, SHA512 |
Tähtis
Palun järgige parimaid tavasid turvalise võtmealgoritmi, pikkuse ja hash-algoritmi valimisel.
Võti ja sertifikaat võivad olla kas äsja loodud või võib olemasoleva üle kanda. Lisateavet teie konkreetsele olukorrale sobiva lähenemisviisi kohta leiate allpool olevatest alapeatükkidest.
Generate a new Root CA Key and Certificate on Windows¶
Järgmiste juhiste abil luuakse ADCS-is uus võti ja sertifikaat, mida kasutatakse juur-sertifitseerimisasutuses „ “ ( ).
Nõuanne
Tavaliselt on lihtsam luua võti ja sertifikaat ADCS-i konfiguratsiooniviisardi abil ning seejärel järgida juhiseid aadressil Olemasoleva võtme ja sertifikaadi migreerimine.
Sellisel juhul kasutatakse taotluse mall, et luua võti, millel on selgesõnalised CA-laiendused. Konkreetsed väärtused tuleb kohandada vastavalt teie keskkonnale.
Päringu mall tuleb salvestada failina nimega RootCA.inf ja selle sisu peab olema järgmine.
See mall loob RSA-võtme, mille pikkus on 4096 bitti. Peate asendama <CA-NAME> oma sertifitseerimisasutuse nimega.
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=<CA-NAME>"
KeySpec = 1
KeyLength = 4096
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Software Key Storage Provider"
ProviderType = 0
RequestType = Cert
KeyUsage = 0x86
[Extensions]
; Key Usage: keyCertSign (0x04) + cRLSign (0x02) => 0x06
2.5.29.15 = "{critical}86"
; Basic Constraints: CA = TRUE, path length optional
2.5.29.19 = "{critical}{text}CA=TRUE"
; CA Version (V0.0)
1.3.6.1.4.1.311.21.1 = "{hex}02 01 00"
[RequestAttributes]
; Empty for self-signed request
Generate the key and certificate from the certificate template.
certreq -new RootCA.inf RootCA.req
Sertifikaat on lisatud kohaliku arvuti sertifikaadihaldurisse. Ekspordi sertifikaat PFX-failina, asendades <THUMBPRINT> eelmise käsu väljundist saadud vastava väärtusega.
$password = Read-Host -AsSecureString "Password"
Export-PfxCertificate -Cert Cert:\LocalMachine\My\<THUMBPRINT> -FilePath RootCA.pfx -Password $password
Parooli väärtust kasutatakse PKCS#12-arhiivi (PFX-faili) krüpteerimiseks. Võite jätkata peatükiga „ NetHSM Configuration“.
Migrate existing Key and Certificate¶
Olemasoleva võtme ja sertifikaadi üleviimiseks tuleb need eksportida ADCS-i sertifikaadihaldusest ning saadud arhiiv importida NetHSM-i.
Tähtis
Enne tootmiskeskkonnas kasutatava sertifikaadiväljastaja muutmist on soovitatav sellest varukoopia teha. Lisateabe saamiseks vaadake palun lehekülge this.
Ava veebileht
certlm.msc.Minge aadressile Sertifikaadid – Kohalik arvuti → Isiklikud → Sertifikaadid.
Select the certificate in the list on the right.
Ülemises menüüribal valige „ Action“ → „All Tasks“ → „Export…“. See käivitab „ “ sertifikaadi ekspordi viisardi.
Confirm the introduction of the assistant with Next.
Märkige valikukast „ ” kõrval, valige „Yes, export the private key” ja kinnitage valik „ ” Järgmisena. Kui valikukast ei ole saadaval, on võti märgitud eksportimatuks. Sel juhul ei kehti käesolev juhend asjaomasele kasutusjuhtumile.
Kui võimalik, lisage sertifitseerimisteekonda kõik sertifikaadid
Märkige valikukast „ ” kõrval, valige „Yes, export the private key” (Jah, ekspordi privaatvõti) ja kinnitage valik „ ” (Jah, ekspordi privaatvõti). Seejärel valige „ ” (Järgmine).
Märkige valikukast „ Personal Information Exchange – PKCS #12 (.PFX) ” kõrval. Veenduge, et järgmised valikud on märgitud:
Kui võimalik, lisage sertifitseerimisteekonda kõik sertifikaadid
Ekspordi kõik laiendatud omadused
Enable certificate privacy
Confirm the selection with Next.
Märkige valikukast „ ” (Parooli kasutamine) kõrval. Sisestage parool parooliväljadesse. Valige rippmenüüst „ Encryption” (Parooli krüpteerimine) kõrval valik „ ” (Parooli krüpteerimine).
Tähtis
Krüpteerimismeetodit AES256-SHA256 toetatakse alles alates Windows Server 2019 ja Windows 11 versioonidest. Vanemate versioonide puhul kasutage vaikimisi seadistust TripleDES-SHA1.
Confirm the selection with Next.
Choose a storage location and file name and confirm with Next.
Tähtis
Eksporditud võti ja sertifikaat tuleks hoida turvalises kohas, kuhu on juurdepääs ainult volitatud kasutajatel.
Confirm the export with Finish.
Veenduge, et sertifikaat on endiselt valitud parempoolses nimekirjas.
Ülemises menüüribas valige „ Action“ → „All Tasks“ → „Delete“. Kinnitage privaatvõtme ja sertifikaadi kustutamine, valides „ “ ja seejärel „Yes“.
Võite jätkata peatükiga „ ” („NetHSM-i konfigureerimine”).
NetHSM Configuration¶
Eelmises peatükis loodud võti ja sertifikaat tuleb importida NetHSM-i. Käskuga „ nitroopia“ saame importida PKCS#12-arhiivi otse NetHSM-i.
Impordi PKCS#12-arhiiv järgmiselt, asendades <KEY-ID>, <MECHANISM> ja <PKCS12-ARCHIVE> vastavate väärtustega.
nitropy nethsm import-pkcs12 -k <KEY-ID> -m <MECHANISM> -p <password> <PKCS12-ARCHIVE>
RSA-võtmete puhul peab mehhanism olema rsa_signature_pkcs1 ning ECDSA-võtmete puhul ecdsa_signature.
Nüüd saate kontrollida, kas sertifikaat on NetHSM-is olemas.
nitropy nethsm list-keys
Võti kuvatakse koos eelmises käsus antud võtme ID-ga.
PKI Proxy Server Configuration¶
PKI-proxiserveris tuleb jagada äsja NetHSM-ist lisatud sertifikaat. Lisateabe saamiseks järgige juhiseid, mis on toodud artiklis „ : sertifikaatide avaldamine NetHSM-ist“.
Windows ADCS Configuration¶
PKI Proxy Client Tools Configuration¶
Järgnevalt lisame võtme ja sertifikaadi Windowsi kohaliku arvuti sertifikaadihaldurisse.
Open the PKI Proxy Certificate Manager.
Click the Add… button.
Täitke kohustuslikud väljad.
Asukoht, nt
https://localhost:9266Autentimine
User
Secret Key/Password/SPN
Certificate Store:
LOCALMACHINE\My
Confirm the configuration with the OK button. This will bring you back to the previous window.
The list under Certificate Management in the PKI Proxy Certificate Manager should now show the just added certificate.
Nüüd saate kontrollida, kas sertifikaat on olemas kohaliku arvuti sertifikaadihalduris.
Avage dialoogaken „ “ („Käivita“ ), klõpsates hiire parema nupuga Windowsi „Start“ menüül ja valides „ “ („Käivita“ ) või vajutades klaviatuuril Windowsi klahvi + R.
Dialoogis „ “ („Käivita“) sisestage
certlm.mscja kinnitage valik, vajutades nuppu „ “ („Käivita“). Sisestage klaviatuuril või klõpsates nuppu „OK“.Ilmuvas sertifikaadihalduris liikuge vasakul asuvas puustruktuuris järgmiselt: „ ” Sertifikaadid – Kohalik arvuti → Isiklikud → Sertifikaadid.
The published certificate is now listed on the right.
Windows ADCS Configuration¶
Avage „ i serverihaldur“ ( Server Manager) aadressil „ i“ (Start) menüüst või vajutades klaviatuuril Windows-klahvi + R **** ja sisestage
ServerManager.exe.Klõpsake paremas ülemises nurgas asuvas menüüribal lipuikoonile ja valige paigaldamisjärgsete teavituste hulgast „ “ („Active Directory sertifikaaditeenuste konfigureerimine sihtserveris“ ). See käivitab „ “ AD CS Configuration viisardi.
In the wizard, set the settings below according to the stage.
Role Services
Check the radio button next to Certification Authority.
Setup Type
Valige vastavalt oma keskkonnale kas „ ” (Enterprise CA) või „ ” (Standalone CA).
CA Type
Vali „ ” juur-sertifikaadi väljastaja
Private Key
Märkige valikunupp „ “ kõrval. Kasutage olemasolevat privaatvõtit. Selle valiku all märkige valikunupp „ “ kõrval. Valige sertifikaat ja kasutage sellega seotud privaatvõtmeid.
Existing Certificate
Valige nimekirjast „ i sertifikaadid“ ( ) sertifikaat, mida soovite kasutada. Veenduge, et valikukast „ “ („Luba administraatori sekkumine, kui sertifitseerimisasutus (CA) pääseb ligi privaatsele võtmele“) ( ) ei ole märgitud. See ei ole vajalik, kuna PKI Proxy KSP ei nõua privaatvõtme kasutamiseks mingit täiendavat autentimist.
Pärast konfiguratsiooniviisardi lõpetamist avage „ ” sertifitseerimisasutus kas „ ” Start-menüüst või vajutades klaviatuuril Windows-klahvi + R **** ja sisestades
certsrv.msc. Sertifitseerimisasutuse teenuse õiget käivitumist saate kontrollida, kui sertifitseerimisasutuse nime juures on näha rohelist punkti koos valge linnukesega.
Tähtis
Sertifitseerimisasutuse kättesaadavus sõltub privaatvõtme ja sertifikaadi kättesaadavusest. Kui need pole kättesaadavad, võib sertifitseerimisasutuse teenus käivitumisel ebaõnnestuda või ootamatult peatuda. Vea korral kontrollige täpsema teabe saamiseks Windowsi sündmuslogi kirjet „ “ ( ) aadressil.