среда, 25 мая 2011 г.

Проект внедрения PKI – конфигурирование серверов

imageВ прошлой части - Проект внедрения PKI – базовая инфраструктура, мы разобрались с вспомогательными составляющими нашей инфраструктуры PKI. Далее давайте посмотрим непосредственно на конфигурирование серверов.

Начнем с корневого СА:

Конфигурирование Root CA

Серверу необходимо присвоить следующее DNS-Имя:

vm-ca-root.alexxhost.ru

Данные для установки корневого сервера CA:
  • Role Services – Certification Authority ;
  • Setup Type — Enterprise;
  • CA Type— Root CA;
  • Private key – Create a new private key ;
  • Cryptography:
      • Криптопровайдер - RSA#Microsoft Software Key Storage Provider;
      • Длина ключа - 2048 бит;
      • Алгоритм подписи - SHA1;
  • CA Name:
      • Common Name —Root-CA;
      • Distinguished name suffix – O=AlexxHost,C=RU;
  • Validity Period — 15 лет;
  • Certificate database – оставляем по умолчанию;

Post-install configuration

После установки роли СА на сервер необходимо сделать дополнительные настройки:

  • Срок действия Base CRL —90 дней;

certutil -setreg CA\CRLPeriodUnits 90
certutil -setreg CA\CRLPeriod "Days"

  • Отключаем публикацию Delta CRL;

certutil -setreg CA\CRLDeltaPeriodUnits 0
certutil -setreg CA\CRLDeltaPeriod "Days"

  • Продлеваем срок жизни CRL для клиентов на 2 недели:

certutil -setreg CA\CRLOverlapPeriod "Weeks"
certutil -setreg CA\CRLOverlapUnits 2

  • Срок действия издаваемых сертификатов — 10 лет;

certutil -setreg CA\ValidityPeriodUnits 10
certutil -setreg CA\ValidityPeriod "Years"

Примечание: Данные параметр может быть изменены и через реестр в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\

  • Включаем полный аудит для сервера CA

certutil -setreg CA\AuditFilter 127

  • Расширения CDP (CRL Distribution Point) и AIA (Authority Information Access) будут настроены в соответствии с пунктом Конфигурирование расширений CDP/AIA.
  • Запрет выдачи сертификатам всем кроме издающих СА:

Удаляем все шаблоны из списка доступных для выдачи, кроме Subordinate Certification Authority.

Конфигурирование расширений CDP/AIA:

Настройки CDP/AIA производятся в свойствах СА (правой кнопкой мыши на имени СА – Properties) на вкладке Extensions.

Настройки CRL Distribution Point:

Настройки LDAP:

Удаляем все LDAP-ссылки;

C:\WINDOWS\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Check box – Publish CRLs to this location
  • Check box – Publish Delta CRLs to this location

File://\\S-Web-01\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Check box – Publish CRLs to this location

http://pki.alexxhost.ru/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Check box – Include in the CDP extensions of issued certificates
  • Check box – Include in CRLS. Clients use this to find Delta CRL Locations

Настройки AIA:

Настройки LDAP:

Удаляем все LDAP-ссылки;

C:\WINDOWS\system32\CertSrv\CertEnroll\<CAName><CertificateName>.crt

Галочки должны быть убраны. (Остаётся без изменений)

http://pki.alexxhost.ru/<CaName><CertificateName>.crt

  • Check box – Include in the AIA extension of issued certificates

Публиковать CRT в нестандартные локации невозможно, поэтому их необходимо переименовать и переместить из папки C:\WINDOWS\system32\CertSrv\CertEnroll вручную в папку \\S-Web-01\pki

На этом закончим конфигурирование Root CA и перейдем к настройке выдающих СА:

Issuing CA

Серверу необходимо присвоить следующее DNS-Имя:

Issuing-CA-1.alexxhost.ru

Данные для установки корневого сервера CA:

  • Role Services – Certification Authority ;
  • Setup Type — Enterprise;
  • CA Type— Subordinate CA;
  • Private key – Create a new private key ;
  • Cryptography:
      • Криптопровайдер - RSA#Microsoft Software Key Storage Provider;
      • Длина ключа - 2048 бит;
      • Алгоритм подписи - SHA1;
  • CA Name:
      • Common Name —Issuing-CA-1;
      • Distinguished name suffix – O=AlexxHost,C=RU;
  • Send a certificate…
      • Root-CA
  • Certificate database – оставляем по умолчанию.

Post-install configuration

После установки роли СА на сервер необходимо сделать дополнительные настройки:

  • Срок действия Base CRL —5 дней;

certutil -setreg CA\CRLPeriodUnits 5
certutil -setreg CA\CRLPeriod "Days"

  • Срок действия Delta CRL – 12 часов;

certutil -setreg CA\CRLDeltaPeriodUnits 12
certutil -setreg CA\CRLDeltaPeriod "Hours"

  • Продлеваем срок жизни CRL для клиентов на 1 день:

certutil -setreg CA\CRLOverlapPeriod "Days"
certutil -setreg CA\CRLOverlapUnits 1

  • Срок действия издаваемых сертификатов — 5 лет (по умолчанию 2);

certutil -setreg CA\ValidityPeriodUnits 5
certutil -setreg CA\ValidityPeriod "Years"

Примечание: Данные параметр может быть изменены и через реестр в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\

  • Включаем полный аудит для сервера CA

certutil -setreg CA\AuditFilter 127

  • Расширения CDP (CRL Distribution Point) и AIA (Authority Information Access) будут настроены в соответствии с пунктом Конфигурирование расширений CDP/AIA.

Конфигурирование расширений CDP/AIA:

Настройки CDP/AIA производятся в свойствах СА (правой кнопкой мыши на имени СА – Properties) на вкладке Extensions.

Настройки CDP:

Настройки LDAP:

Удаляем все LDAP-ссылки;

C:\WINDOWS\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Check box – Publish CRLs to this location
  • Check box – Publish Delta CRLs to this location

File://\\S-Web-01\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Check box – Publish CRLs to this location
  • Check box – Publish Delta CRLs to this location (не ставить для ROOT-CA)

http://pki.alexxhost.ru/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Check box – Include in the CDP extensions of issued certificates
  • Check box – Include in CRLS. Clients use this to find Delta CRL Locations

Настройки AIA:

Настройки LDAP:

Удаляем все LDAP-ссылки;

C:\WINDOWS\system32\CertSrv\CertEnroll\<CAName><CertificateName>.crt

Галочки должны быть убраны. (Остаётся без изменений)

http://pki.alexxhost.ru/<CaName><CertificateName>.crt

  • Check box – Include in the AIA extension of issued certificates

Публиковать CRT в нестандартные локации невозможно, поэтому их необходимо переименовать и переместить из папки C:\WINDOWS\system32\CertSrv\CertEnroll вручную в папку \\S-Web-01\pki

Заключение

На этом все, чем я хотел поделиться с вами в рамках данного проекта. Напоследок ещё раз хочу предупредить, что не стоит воспринимать данную статью как информацию в последней инстанции!

Для более детального изучения темы PKI предлагаю ознакомиться со следующими материалами:

19 комментариев:

Сергей Пономаренко комментирует...

Добрый день!
Спасибо за подробный и интересный доклад.
А как быть если корневой и издающий настроены.
Сертификат корневого добавлен в trust.
Но потом возникла необходимость поменять настройки CDP и AIA на корневом и издающем. И по старым путям доверие не прследить будет, а сертификаты уже выданы. CA используется только во внутреннем домене.Спасибо.

Алексей Богомолов (Alexx) комментирует...

Вам нужно сохранить доступ к старым местам, куда сейчас указывают CDP и AIA, после чего добавить на СА новые точки распространения, при этом оставит публикацию и в старые в том числе, но в новые сертификаты включать только новые точки распространения.

Сергей Пономаренко комментирует...

Спасибо,большое!
Еще вопрос,может подскажите,где копать. Ситуация такая: CA - Windows 2003 Standart Edition. Один,без корневого. PKI только во внутреннем домене. Иногда пользователи через VPN заходят на терминалки, потом на свои машины доменные. Скертификаты у них не просроченные, но CA выпускает им еще сертификат, у них становится несколько и они не могут читать свою старую шифрованную почту. Пиходится искать из закоытый ключ, там где они логигинились последний раз. Можно этого избежать? Или как быстро админу восстановить закрытый ключ? Спасибо, большое.

Анонимный комментирует...

Добрый день!
Спасибо за статью. Сделал все по ней,работает.
При установке Root CA установил срок жизни сертификата 5 лет. Потом поменял в реестре параметр на 10, выпустил еще один, 1-й стал 10 лет, появился 2-й,тоже -10 лет. Поменял в реестре на 20 лет. Выпустил 3-й, но он все равно-10лет.Поменял на 15 лет, выпустил 4-й, все равно -10.
Можно сделать, чтобы было 20 лет? Спасибо.

Алексей Богомолов (Alexx) комментирует...

Странная ситуация. Должно без проблем меняться. На сколько я знаю, ограничения по возрасту сертификата нет.
Вы сервис перезапускали? NET stop certsvc
NET start certsvc

Анонимный комментирует...

Добрый день!
Да, при выпуске сертификата нового, CA предупреждал,что служба будет перезапущена.
Ситуация такая: при установке RootCA был выбран срок сертификата 5 лет. Он потом выдал сертификат на 5 лет выдающему. Выдающий выдал несколько сертификатов серверам на 1 год. Потом стала задача увеличить срок корневому и выдающему. Но чтобы выданные сертификаты жили. На корневом поменяли в реестре на 10 лет,выдали. Появился под номером 1, сроком с 2012 до 2022. Потом решили сделать на обоих 20 лет. Поменяли в реестре ,выпустили на корневом, появился под номером 2 ,но все равно до 2022. Выпустили еще несколько,результат один до 2022. На CA dв выданныхсертификатах стоит Cross. Можно не переустанавливая УЦ все таки сделать на 20 лет? Спасибо.

Анонимный комментирует...

Здравствуйте!
А можно сделать,чтобы при запросе на пользовательский сертификат через веб-интерфейс CA
Выдавался сертификат из расширенного шаблона версии 2. Где стоит больший срок и другие полезные вещи.
Сейчас, что бы не делалось, при запросе сертификата пользователя (не через расширенную форму) всегда берется шаблон по умолчанию версии 1. Где срок 1 год и ничего поменять нельзя. Спасибо.

Алексей Богомолов (Alexx) комментирует...

При запросе через веб-форму, вам предоставляется возможность выбрать шаблон, по которому генерировать сертификат. У вас в этом выпадающем списке есть нужный шаблон?

Анонимный комментирует...

Здравствуйте!
Эту проблему я рещил, в файле certrqst.inc исправил имя шаблона. Теперь другая проблема. У пользователя AD , у которого нет ящика почтового, при запросе на сертификат пишет:
политика выдачи сертификата отвергла запрос адрес электронной почты нельзя вставит в имя субъекта. Где поправить надо? Спасибо.

Алексей Богомолов (Alexx) комментирует...

Тут два варианта:
1. Указываем e-mail адрес в свойствах учетки в АД (на первой вкладке)
2. Правим шаблон сертификата - указываем на базе чего генерировать основное имя.

Анонимный комментирует...

Спасибо,все получилось.
И последнее. Когда на веб-интерфейсе на компьютере откуда запрашивал сертификат заходишь в просмотр состояния запроса на сертификат, то их иногда там несколько штук. А на УЦ в запросах нет таких. Так и должно быть? Когда нажимаешь на какой-нибудь, пишет,что был отвергнут или уже выдан по нему, и после этого пропадает.

Алексей Богомолов (Alexx) комментирует...

Так быть не должно. Сложно сказать почему у вас так происходит.

Анонимный комментирует...

Добрый день!
Помогите, пожалуйста.
Я настроил на CA 2008 enterprise Issue-Архивацию и восстановление ключей.

При ручной подаче запроса на Сертификат пользователя, который использует расширенный шаблон , с включенной опцией- Архивировать закрытый ключ
CA выдает ошибку: В запросе отсутствует требуемый закрытый ключ для архивирования сервером 0Х80094804 (-2146875388)
Если же выбрать расширенную форму запроса и выбрать тот же шаблон из списка, не меняя ничего в нем, то сертификат выдается и ключ архивируется.
В чем может быть проблема? Чтобы при запросе сертификата пользователя использовался нужный мне шаблон, я менял в файле C:\Windows\System32\CertSrv\certqpt.inc
со стандартного User на свой User 2003. Больше ничего не делал.
Спасибо.

Анонимный комментирует...

Здравствуйте!
Подскажите,а как поменять порядок шаблонов, в расширенной форме запроса?
Спасибо.

Алексей Богомолов (Alexx) комментирует...

Никогда не задумывался на тему того, по какому принципу они сортируются. Не подскажу ответа на этот вопрос. А если не секрет, то зачем вам изменять порядок сортировки шаблонов?

Анонимный комментирует...

Добрый день!
Не подскажите, как называется оснастка для удаленного управления CA 2008 и оснастка с графическим интерфейсом для восстановления закрытых ключей и где их скачать?
Спасибо.

Анонимный комментирует...

Подскажите. Для издающего центра (который Issusing) не могу найти пути C:\Windows\System32\CertSrv\, папки CertSrv просто не существует, а оттуда мне нужно забрать crt файлик. Что необходимо сделать что бы там появился сертификат?

Алексей Богомолов (Alexx) комментирует...

Возможно в настройках СА в CRL Distribution Point у вас указано другое место хранения сертификатов? (file://....)

Unknown комментирует...

если кто-то прочитает этот комментарий.. автор пытается настроить Enterprise сервер в качестве корневого, ОК наверное в его проекте это может иметь место. рекомендуемый же сценарий во всех инфраструктурах где есть есть корневой-подчиненный серверы - это использование в качестве корневого севера Standalone.

Отправить комментарий