Windows Active Directory -varmennepalvelut (ADCS) ja PKI-välityspalvelin¶
Tässä asiakirjassa kuvataan Windows Active Directory Certificate Services (ADCS) -palvelun konfigurointi PKI Proxy- ja NetHSM-ohjelmistojen kanssa.
Prerequisits¶
NetHSM
Provisioned
Administrative access
PKI Proxy server
NetHSM PKCS#11 -moduuli on asennettu ja määritetty NetHSM:n käyttöön
CA-palvelin (Windows Server)
ADCS role installed, but not configured
PKI Proxy client tools installed
Asiakasohjelmistoja ei tarvita, jos tällä palvelimella on käynnissä myös PKI-välityspalvelin, sillä se sisältää asiakasohjelmistot.
Pynitrokey installed
Root CA Key and Certificate¶
Seuraavassa taulukossa on lueteltu avainalgoritmit ja avainpituudet sekä hajautusalgoritmit, joita Windows ADCS voi käyttää NetHSM:n kanssa.
Key Algorithm |
Key Length |
Hash Algorithm |
RSA |
1024 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
2048 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
|
4096 |
MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512 |
|
ECDSA |
P256 |
SHA1, SHA256, SHA385, SHA512 |
P384 |
SHA1, SHA256, SHA385, SHA512 |
|
P521 |
SHA1, SHA256, SHA385, SHA512 |
Tärkeä
Noudata parhaita käytäntöjä turvallisen salausavainalgoritmin, avaimen pituuden ja hajautusalgoritmin valinnassa.
Avain ja varmenne voidaan joko luoda uudelleen tai siirtää olemassa oleva. Katso alla olevista alaluvuista lisätietoja siitä, miten asiassa tulisi toimia juuri sinun tilanteessasi.
Generate a new Root CA Key and Certificate on Windows¶
Seuraavien ohjeiden avulla luodaan uusi avain ja varmenne käytettäväksi ADCS:n -juurivarmenneviranomaisessa (Root CA).
Vihje
Yleensä on helpompaa luoda avain ja varmenne ADCS-määritysohjelman avulla ja noudattaa sitten ohjeita osoitteessa Siirrä olemassa oleva avain ja varmenne.
Tässä tapauksessa avaimen luomiseen käytetään pyyntömallia, jossa on määriteltyjä CA-laajennuksia. Konkreettiset arvot on mukautettava käyttöympäristösi mukaan.
Pyyntömalli on tallennettava tiedostoon, jonka nimi on RootCA.inf ja jonka sisältö on seuraava.
Tämä malli luo RSA-avaimen, jonka pituus on 4096 bittiä. Sinun on korvattava <CA-NAME> omalla varmentajan nimelläsi.
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=<CA-NAME>"
KeySpec = 1
KeyLength = 4096
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Software Key Storage Provider"
ProviderType = 0
RequestType = Cert
KeyUsage = 0x86
[Extensions]
; Key Usage: keyCertSign (0x04) + cRLSign (0x02) => 0x06
2.5.29.15 = "{critical}86"
; Basic Constraints: CA = TRUE, path length optional
2.5.29.19 = "{critical}{text}CA=TRUE"
; CA Version (V0.0)
1.3.6.1.4.1.311.21.1 = "{hex}02 01 00"
[RequestAttributes]
; Empty for self-signed request
Generate the key and certificate from the certificate template.
certreq -new RootCA.inf RootCA.req
Varmenne on lisätty paikallisen tietokoneen varmennetallennustilaan. Vie varmenne PFX-tiedostoon korvaamalla <THUMBPRINT> edellisen komennon tulosteesta saadulla vastaavalla arvolla.
$password = Read-Host -AsSecureString "Password"
Export-PfxCertificate -Cert Cert:\LocalMachine\My\<THUMBPRINT> -FilePath RootCA.pfx -Password $password
Salasanaa käytetään PKCS#12-arkiston (PFX-tiedoston) salaamiseen. Voit jatkaa lukua NetHSM-määritykset.
Migrate existing Key and Certificate¶
Jotta olemassa oleva avain ja varmenne voidaan siirtää, ne on viety ADCS:n varmennetallennustilasta, ja tuloksena oleva arkisto on tuotu NetHSM:ään.
Tärkeä
Ennen kuin teet muutoksia tuotantokäyttöön tarkoitettuun varmentajaan, on suositeltavaa luoda siitä varmuuskopio. Lisätietoja löytyy osoitteesta tältä sivulta.
Avaa
certlm.msc.Siirry kohtaan Sertifikaatit – Paikallinen tietokone → Henkilökohtaiset → Sertifikaatit.
Select the certificate in the list on the right.
Siirry yläreunan valikkorivillä kohtaan Toiminto ( ) → Kaikki tehtävät (All Tasks) → Vie… (Export…). Tämä käynnistää -varmenteen vientiohjelman.
Confirm the introduction of the assistant with Next.
Valitse valintanappi kohdassa ” ” (Kyllä, vie yksityinen avain) ja vahvista valinta kohdassa ” ” (Seuraava). Jos valintanappia ei ole näkyvissä, avain on merkitty viedäkelemättömäksi. Tällöin tätä ohjetta ei voi soveltaa kyseiseen käyttötarkoitukseen.
Sisällytä sertifiointipolkuun kaikki sertifikaatit, jos mahdollista
Valitse valintanappi kohdassa ” ” (Kyllä, vie yksityinen avain) ja vahvista valinta kohdassa ” ” (Seuraava).
Valitse valintaruutu kohdan ” Personal Information Exchange - PKCS #12 (.PFX) ” vieressä. Varmista, että seuraavat vaihtoehdot on valittu:
Sisällytä sertifiointipolkuun kaikki sertifikaatit, jos mahdollista
Vie kaikki laajennetut ominaisuudet
Enable certificate privacy
Confirm the selection with Next.
Valitse valintanappi kohdassa ” ” (Salasana). Kirjoita salasana salasana-kenttiin. Valitse avattavasta valikosta kohdassa ” Encryption” (Salaus) vaihtoehto ” ” (AES256-SHA256).
Tärkeä
Salausmenetelmää AES256-SHA256 tuetaan vasta Windows Server 2019:stä ja Windows 11:stä alkaen. Jos käytät vanhempia versioita, säilytä oletusasetus TripleDES-SHA1.
Confirm the selection with Next.
Choose a storage location and file name and confirm with Next.
Tärkeä
Viety avain ja varmenne on säilytettävä turvallisessa paikassa, johon vain valtuutetut käyttäjät pääsevät käsiksi.
Confirm the export with Finish.
Varmista, että varmenne on edelleen valittuna oikealla olevassa luettelossa.
Siirry yläreunan valikkorivillä kohtaan ” Action” → ”All Tasks” → ”Delete”. Vahvista yksityisen avaimen ja varmenteen poistaminen valitsemalla ” ” ja ”Yes”.
Voit jatkaa lukua NetHSM-määritykset.
NetHSM Configuration¶
Edellisessä luvussa mainittu avain ja varmenne on tuotava NetHSM-laitteeseen. Komennolla ` nitropia <../software/nitropy/index.html>`__ voimme tuoda PKCS#12-arkiston suoraan NetHSM-laitteeseen.
Tuo PKCS#12-arkisto seuraavasti ja korvaa samalla <KEY-ID>, <MECHANISM> ja <PKCS12-ARCHIVE> vastaavilla arvoilla.
nitropy nethsm import-pkcs12 -k <KEY-ID> -m <MECHANISM> -p <password> <PKCS12-ARCHIVE>
RSA-avainten osalta mekanismin on oltava rsa_signature_pkcs1 ja ECDSA-avainten osalta ecdsa_signature.
Voit nyt tarkistaa, että varmenne on käytettävissä NetHSM:ssä.
nitropy nethsm list-keys
Avain näkyy luettelossa edellisessä komennossa annetulla avain-ID:llä.
PKI Proxy Server Configuration¶
PKI-välityspalvelimella sinun on jaettava juuri NetHSM:stä lisätty varmenne. Lisätietoja saat noudattamalla ohjeita, jotka löytyvät osoitteesta Publish Certificates from the NetHSM.
Windows ADCS Configuration¶
PKI Proxy Client Tools Configuration¶
Seuraavassa lisäämme avaimen ja varmenteen Windowsin paikalliseen varmennetallennustilaan.
Open the PKI Proxy Certificate Manager.
Click the Add… button.
Täytä pakolliset kentät.
Sijainti, esim.
https://localhost:9266Tunnistus
User
Secret Key/Password/SPN
Certificate Store:
LOCALMACHINE\My
Confirm the configuration with the OK button. This will bring you back to the previous window.
The list under Certificate Management in the PKI Proxy Certificate Manager should now show the just added certificate.
Voit nyt tarkistaa, että varmenne löytyy paikallisen tietokoneen varmennetallennustilasta.
Avaa ” **” -valintaikkuna ( ) joko napsauttamalla hiiren kakkospainikkeella Windows- in Käynnistä-valikkoa ( ) ja valitsemalla ” ” ( ) tai painamalla näppäimistön Windows-näppäintä + R (** ).
Kirjoita ” ” -valintaikkunan ”Run” -kenttään
certlm.mscja vahvista painamalla Kirjoita näppäimistöllä tai napsauttamalla OK.Avautuvassa varmennehallinnassa siirry vasemmalla olevassa puurakenteessa kohtaan Varmenteet – Paikallinen tietokone → Henkilökohtaiset → Varmenteet.
The published certificate is now listed on the right.
Windows ADCS Configuration¶
Avaa Server Manager ** :n Käynnistä-valikosta** tai painamalla Windows-näppäintä + R näppäimistöllä ja kirjoittamalla
ServerManager.exe.Napsauta oikeassa yläkulmassa olevassa valikkopalkissa lippukuvaketta ja valitse asennuksen jälkeisistä ilmoituksista vaihtoehto ” ” (Määritä Active Directory -varmennepalvelut kohdepalvelimelle ). Tämä käynnistää ohjatun toiminnon ” ” (AD CS -määritys ).
In the wizard, set the settings below according to the stage.
Role Services
Check the radio button next to Certification Authority.
Setup Type
Valitse ympäristösi mukaan joko Enterprise CA tai Standalone CA.
CA Type
Valitse Root CA
Private Key
Valitse valintanappi kohdassa ” ” (Käytä olemassa olevaa yksityistä avainta). Valitse tämän vaihtoehdon alla valintanappi kohdassa ” ” (Valitse varmenne ja käytä siihen liittyviä yksityisiä avaimia).
Existing Certificate
** Valitse -varmenteiden luettelosta se varmenne, jota haluat käyttää. Varmista, että valintaruutu ” **” (Salli järjestelmänvalvojan toiminta, kun varmentamisviranomainen käyttää yksityistä avainta) ei ole valittuna. Tämä ei ole tarpeen, koska PKI Proxy KSP ei vaadi ylimääräistä todennusta yksityisen avaimen käyttämiseksi.
Kun asennusohje on päättynyt, avaa ” ” -varmenneviranomainen valitsemalla ” ” -aloitusvalikosta tai painamalla näppäimistön Windows-näppäintä + R **** ja kirjoittamalla
certsrv.msc. Voit varmistaa, että varmenneviranomaispalvelu on käynnistynyt oikein, kun varmenneviranomaisen nimen vieressä näkyy vihreä piste, jossa on valkoinen valintamerkki.
Tärkeä
Varmentajan käytettävyys riippuu yksityisen avaimen ja varmenteen saatavuudesta. Jos niitä ei ole käytettävissä, varmentajapalvelu ei välttämättä käynnisty tai se saattaa pysähtyä odottamattomasti. Virhetilanteessa tarkista lisätietoja Windowsin tapahtumalokista kohdasta ” ” ( ) osoitteessa.