Windows Active Directory tanúsítványszolgáltatások (ADCS) PKI-proxival

Ez a dokumentum a Windows Active Directory Certificate Services (ADCS) beállítását ismerteti a PKI Proxy és a NetHSM használatával.

Prerequisits

  • NetHSM

    • Provisioned

    • Administrative access

  • PKI Proxy server

    • A NetHSM PKCS#11 modul telepítve és beállítva a NetHSM használatához

  • CA-kiszolgáló (Windows Server)

    • ADCS role installed, but not configured

    • PKI Proxy client tools installed

    • Ha ezen a szerveren a PKI Proxy szerver is fut, akkor nincs szükség klienseszközökre, mivel azok már benne vannak a szerverben.

    • Pynitrokey installed

Root CA Key and Certificate

Az alábbi táblázat felsorolja a legfontosabb algoritmusokat és kulcs hosszúságokat, valamint azokat a hash-algoritmusokat, amelyeket a Windows ADCS a NetHSM-mel együtt használhat.

Key Algorithm

Key Length

Hash Algorithm

RSA

1024

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

2048

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

4096

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

ECDSA

P256

SHA1, SHA256, SHA385, SHA512

P384

SHA1, SHA256, SHA385, SHA512

P521

SHA1, SHA256, SHA385, SHA512

Fontos

Kérjük, tartsa be a biztonságos kulcsalgoritmus, kulcs hossza és hash-algoritmus kiválasztására vonatkozó bevált gyakorlatokat.

A kulcsot és a tanúsítványt akár újonnan is létre lehet hozni, akár egy meglévőt is át lehet helyezni. Kérjük, olvassa el az alábbi alfejezeteket, hogy többet tudjon meg az Ön konkrét helyzetére vonatkozó eljárásról.

Generate a new Root CA Key and Certificate on Windows

Az alábbi útmutatás segítségével új kulcsot és tanúsítványt hozhat létre az ADCS-ben található „ ” gyökér hitelesítő hatósághoz (Root CA).

Javaslat

Általában egyszerűbb az ADCS konfigurációs varázslóval létrehozni a kulcsot és a tanúsítványt, majd követni a oldalon található „Meglévő kulcs és tanúsítvány áttelepítése” című útmutatót:.

Ebben az esetben egy kéréssablont használunk egy kifejezett CA-kiterjesztésekkel rendelkező kulcs generálásához. A konkrét értékeket a saját környezetéhez kell igazítania.

A kéréssablont egy „ ` ” nevű fájlba kell menteni RootCA.inf`, amelynek tartalma a következő legyen.

Ez a sablon egy RSA 4096 bites hosszúságú kulcsot generál. A <CA-NAME> részt a saját hitelesítő hatóságának nevére kell cserélnie.

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=<CA-NAME>"
KeySpec = 1
KeyLength = 4096
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Software Key Storage Provider"
ProviderType = 0
RequestType = Cert
KeyUsage = 0x86

[Extensions]
; Key Usage: keyCertSign (0x04) + cRLSign (0x02) => 0x06
2.5.29.15 = "{critical}86"

; Basic Constraints: CA = TRUE, path length optional
2.5.29.19 = "{critical}{text}CA=TRUE"

; CA Version (V0.0)
1.3.6.1.4.1.311.21.1 = "{hex}02 01 00"

[RequestAttributes]
; Empty for self-signed request

Generate the key and certificate from the certificate template.

certreq -new RootCA.inf RootCA.req

A tanúsítványt hozzáadtuk a helyi számítógép tanúsítványtárához. Exportálja a tanúsítványt PFX fájlba, és cserélje ki a „ ` ” <THUMBPRINT>` szöveget az előző parancs kimenetéből származó megfelelő értékre.

$password = Read-Host -AsSecureString "Password"
Export-PfxCertificate -Cert Cert:\LocalMachine\My\<THUMBPRINT> -FilePath RootCA.pfx -Password $password

A jelszó értékét a PKCS#12 archívum (PFX fájl) titkosításához használják. Folytathatja a „ ” című fejezetet: NetHSM konfiguráció.

Migrate existing Key and Certificate

A meglévő kulcs és tanúsítvány áttelepítéséhez azokat ki kell exportálni az ADCS tanúsítványtárából, majd az így kapott archívumot be kell importálni a NetHSM-be.

Fontos

Mielőtt módosításokat hajtana végre egy termelési tanúsító hatóságon, ajánlott biztonsági másolatot készíteni róla. További információkért kérjük, olvassa el a ezen az oldalon található leírást.

  1. Nyissa meg a certlm.msc oldalt.

  2. Nyissa meg a következő útvonalat: Tanúsítványok – Helyi számítógép → Személyes → Tanúsítványok.

  3. Select the certificate in the list on the right.

  4. A felső menüsorban válassza a következő menüpontokat: „ Action” → „All Tasks” → „Export…”. Ezzel elindul a „ ” tanúsítvány-exportáló varázsló.

  5. Confirm the introduction of the assistant with Next.

  6. Jelölje be a „ ” melletti választógombot, majd válassza az „Yes, export the private key” lehetőséget, a „ ” menüpontot, és erősítse meg a „ ” gombbal. Ezután válassza a „ ” lehetőséget. Ha a választógomb nem elérhető, az azt jelenti, hogy a kulcs exportálhatatlannak van jelölve. Ebben az esetben ez az útmutató nem alkalmazható a kívánt felhasználási esetre.

  7. Ha lehetséges, vegye fel az összes tanúsítványt a tanúsítási útvonalba

  8. Jelölje be a „ ” melletti választógombot, majd válassza az „Yes, export the private key” lehetőséget, és erősítse meg a „ ” gombbal. Ezután válassza a „ ” lehetőséget.

  9. Jelölje be a „ ” melletti választógombot: „Személyes adatcsere – PKCS #12 (.PFX)”. Győződjön meg arról, hogy a következő beállításokat jelölte be:

    • Ha lehetséges, vegye fel az összes tanúsítványt a tanúsítási útvonalba

    • Az összes kiterjesztett tulajdonság exportálása

    • Enable certificate privacy

    Confirm the selection with Next.

  10. Jelölje be a „ ” (Jelszó) melletti választógombot:. Írja be a jelszót a jelszó mezőkbe. A „ Encryption” (Titkosítás) melletti legördülő menüből válassza ki a „ ” (AES256-SHA256) lehetőséget:.

    Fontos

    Az „ ” AES256-SHA256 titkosítási módszer ( ) csak a Windows Server 2019 és a Windows 11 rendszereken támogatott. Régebbi verziók esetén maradjon az alapértelmezett „ ” TripleDES-SHA1 titkosítási módszernél ().

    Confirm the selection with Next.

  11. Choose a storage location and file name and confirm with Next.

    Fontos

    Az exportált kulcsot és tanúsítványt biztonságos helyen kell tárolni, ahol azokhoz csak az arra jogosult felhasználók férhetnek hozzá.

  12. Confirm the export with Finish.

  13. Győződjön meg arról, hogy a tanúsítvány továbbra is kijelölve van a jobb oldali listában.

  14. A felső menüsorban válassza a következő menüpontokat: „ Action” → „All Tasks” → „Delete”. Erősítse meg a titkos kulcs és a tanúsítvány törlését a „ ” „Yes” választással.

Folytathatja a „ ” című fejezetet: NetHSM konfiguráció.

NetHSM Configuration

Az előző fejezetben létrehozott kulcsot és tanúsítványt be kell importálni a NetHSM-be. A következő paranccsal: ` nitropy <../software/nitropy/index.html>`__ a PKCS#12-archívumot közvetlenül a NetHSM-be importálhatjuk.

A PKCS#12-archívumot az alábbiak szerint importálja, miközben a <KEY-ID>, a <MECHANISM> és a <PKCS12-ARCHIVE> címeket a megfelelő értékekkel helyettesíti.

nitropy nethsm import-pkcs12 -k <KEY-ID> -m <MECHANISM> -p <password> <PKCS12-ARCHIVE>

RSA-kulcsok esetében a mechanizmusnak a következőnek kell lennie: rsa_signature_pkcs1, ECDSA-kulcsok esetében pedig: ecdsa_signature.

Most ellenőrizheti, hogy a tanúsítvány elérhető-e a NetHSM-en.

nitropy nethsm list-keys

A kulcs az előző parancsban megadott kulcs-azonosítóval kerül felsorolásra.

PKI Proxy Server Configuration

A PKI-proxykiszolgálón meg kell osztania a NetHSM-ből éppen hozzáadott tanúsítványt. További információkért kövesse az „ : Tanúsítványok közzététele a NetHSM-ből” című útmutatóban () leírt lépéseket.

Windows ADCS Configuration

PKI Proxy Client Tools Configuration

Az alábbiakban elérhetővé tesszük a kulcsot és a tanúsítványt a Windows helyi tanúsítványtárában.

  1. Open the PKI Proxy Certificate Manager.

  2. Click the Add… button.

  3. Töltse ki a kötelező mezőket.

    • Hely, pl.: https://localhost:9266

    • Hitelesítés

    • User

    • Secret Key/Password/SPN

    • Certificate Store: LOCALMACHINE\My

    Confirm the configuration with the OK button. This will bring you back to the previous window.

  4. The list under Certificate Management in the PKI Proxy Certificate Manager should now show the just added certificate.

Most ellenőrizheti, hogy a tanúsítvány szerepel-e a helyi számítógép tanúsítványtárában.

  1. Nyissa meg a „ ” („Futtatás”) párbeszédpanelt a „ ” („Futtatás”) menüponttal: ehhez kattintson a jobb gombbal a Windows Start menüre, majd válassza a „ ” („Futtatás”) menüpontot, vagy nyomja meg a billentyűzeten a Windows-gombot + R billentyűkombinációt **** .

  2. Az „ ” („Fájl > Fájlnév keresése”) párbeszédpanelen ( ) írja be a következőket: certlm.msc, majd nyomja meg az „ ” gombot a megerősítéshez. Írja be a „ ” parancsot a billentyűzeten, vagy kattintson az „ ” gombra, majd az „OK” gombra.

  3. A megjelenő tanúsítványkezelőben a bal oldali fa szerkezetben lépjen a következő útvonalra: „ ” Tanúsítványok – Helyi számítógép → Személyes → Tanúsítványok.

  4. The published certificate is now listed on the right.

Windows ADCS Configuration

  1. ** Nyissa meg az „ ” szerverkezelőt ( Server Manager) a **Start menüből, vagy nyomja meg a Windows gombot + R billentyűkombinációt a billentyűzeten, majd írja be a következő parancsot: ServerManager.exe.

  2. A jobb felső sarokban található menüsoron kattintson a zászló ikonra, majd a telepítés utáni értesítések közül válassza az „ ” („ ”) lehetőséget, majd az „Active Directory Certificate Services on the destination server” („Active Directory tanúsítványszolgáltatások a célszerveren”) lehetőséget. Ezzel elindul az „ ” („ ”) AD CS Configuration varázsló.

  3. In the wizard, set the settings below according to the stage.

    • Role Services

      Check the radio button next to Certification Authority.

    • Setup Type

      A környezettől függően válassza ki a „ ” Enterprise CA-t ( ) vagy a „ ” önálló CA-t ( ).

    • CA Type

      Válassza ki a „ ” gyökér tanúsító hatóságot

    • Private Key

      Jelölje be a „ ” (Meglévő titkos kulcs használata) melletti választógombot:. Ezen opció alatt jelölje be a „ ” (Tanúsítvány kiválasztása és a hozzá tartozó titkos kulcsok használata) melletti választógombot:.

      • Existing Certificate

        A „ ” tanúsítványok listájában ( ) válassza ki a használni kívánt tanúsítványt. Győződjön meg arról, hogy a „ ” (A rendszergazda beavatkozásának engedélyezése, amikor a tanúsító hatóság hozzáfér a titkos kulcshoz) jelölőnégyzet ( ) nincs bejelölve. Erre nincs szükség, mivel a PKI Proxy KSP nem igényel további hitelesítést a titkos kulcs használatához.

  4. A konfigurációs varázsló befejezése után nyissa meg a „ **” tanúsítóhatóságot (** ) a „ **” Start menüből (** ), vagy nyomja meg a Windows-gombot ( **) és az R billentyűt (** ) a billentyűzeten, majd írja be a következő parancsot: `certsrv.msc`. A tanúsítóhatóság szolgáltatásának megfelelő elindulását akkor ellenőrizheti, ha a tanúsítóhatóság nevé mellett egy zöld pont és egy fehér pipa ikon jelenik meg.

Fontos

A tanúsítóhatóság elérhetősége a titkos kulcs és a tanúsítvány elérhetőségétől függ. Ha ezek nem állnak rendelkezésre, előfordulhat, hogy a tanúsítóhatósági szolgáltatás nem indul el, vagy váratlanul leáll. Hiba esetén további információkért ellenőrizze a „ ” nevű Windows eseménynaplót ( ).