В прошлой части - Проект внедрения PKI – базовая инфраструктура, мы разобрались с вспомогательными составляющими нашей инфраструктуры PKI. Далее давайте посмотрим непосредственно на конфигурирование серверов.
Начнем с корневого СА:
Конфигурирование Root CA
Серверу необходимо присвоить следующее DNS-Имя:
vm-ca-root.alexxhost.ru
Данные для установки корневого сервера CA:
- Role Services – Certification Authority ;
- Setup Type — Enterprise;
- CA Type— Root CA;
- Private key – Create a new private key ;
- Cryptography:
- Криптопровайдер - RSA#Microsoft Software Key Storage Provider;
- Длина ключа - 2048 бит;
- Алгоритм подписи - SHA1;
- CA Name:
- Common Name —Root-CA;
- Distinguished name suffix – O=AlexxHost,C=RU;
- Validity Period — 15 лет;
- Certificate database – оставляем по умолчанию;
Post-install configuration
После установки роли СА на сервер необходимо сделать дополнительные настройки:
- Срок действия Base CRL —90 дней;
certutil -setreg CA\CRLPeriodUnits 90
certutil -setreg CA\CRLPeriod "Days"
- Отключаем публикацию Delta CRL;
certutil -setreg CA\CRLDeltaPeriodUnits 0
certutil -setreg CA\CRLDeltaPeriod "Days"
- Продлеваем срок жизни CRL для клиентов на 2 недели:
certutil -setreg CA\CRLOverlapPeriod "Weeks"
certutil -setreg CA\CRLOverlapUnits 2
- Срок действия издаваемых сертификатов — 10 лет;
certutil -setreg CA\ValidityPeriodUnits 10
certutil -setreg CA\ValidityPeriod "Years"
Примечание: Данные параметр может быть изменены и через реестр в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\
- Включаем полный аудит для сервера CA
certutil -setreg CA\AuditFilter 127
- Расширения CDP (CRL Distribution Point) и AIA (Authority Information Access) будут настроены в соответствии с пунктом Конфигурирование расширений CDP/AIA.
- Запрет выдачи сертификатам всем кроме издающих СА:
Удаляем все шаблоны из списка доступных для выдачи, кроме Subordinate Certification Authority.
Конфигурирование расширений CDP/AIA:
Настройки CDP/AIA производятся в свойствах СА (правой кнопкой мыши на имени СА – Properties) на вкладке Extensions.
Настройки CRL Distribution Point:
Настройки LDAP:
Удаляем все LDAP-ссылки;
C:\WINDOWS\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
- Check box – Publish CRLs to this location
- Check box – Publish Delta CRLs to this location
File://\\S-Web-01\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
- Check box – Publish CRLs to this location
http://pki.alexxhost.ru/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
- Check box – Include in the CDP extensions of issued certificates
- Check box – Include in CRLS. Clients use this to find Delta CRL Locations
Настройки AIA:
Настройки LDAP:
Удаляем все LDAP-ссылки;
C:\WINDOWS\system32\CertSrv\CertEnroll\<CAName><CertificateName>.crt
Галочки должны быть убраны. (Остаётся без изменений)
http://pki.alexxhost.ru/<CaName><CertificateName>.crt
- Check box – Include in the AIA extension of issued certificates
Публиковать CRT в нестандартные локации невозможно, поэтому их необходимо переименовать и переместить из папки C:\WINDOWS\system32\CertSrv\CertEnroll вручную в папку \\S-Web-01\pki
На этом закончим конфигурирование Root CA и перейдем к настройке выдающих СА:
Issuing CA
Серверу необходимо присвоить следующее DNS-Имя:
Issuing-CA-1.alexxhost.ru
Данные для установки корневого сервера CA:
- Role Services – Certification Authority ;
- Setup Type — Enterprise;
- CA Type— Subordinate CA;
- Private key – Create a new private key ;
- Cryptography:
- Криптопровайдер - RSA#Microsoft Software Key Storage Provider;
- Длина ключа - 2048 бит;
- Алгоритм подписи - SHA1;
- CA Name:
- Common Name —Issuing-CA-1;
- Distinguished name suffix – O=AlexxHost,C=RU;
- Send a certificate…
- Root-CA
- Certificate database – оставляем по умолчанию.
Post-install configuration
После установки роли СА на сервер необходимо сделать дополнительные настройки:
- Срок действия Base CRL —5 дней;
certutil -setreg CA\CRLPeriodUnits 5
certutil -setreg CA\CRLPeriod "Days"
- Срок действия Delta CRL – 12 часов;
certutil -setreg CA\CRLDeltaPeriodUnits 12
certutil -setreg CA\CRLDeltaPeriod "Hours"
- Продлеваем срок жизни CRL для клиентов на 1 день:
certutil -setreg CA\CRLOverlapPeriod "Days"
certutil -setreg CA\CRLOverlapUnits 1
- Срок действия издаваемых сертификатов — 5 лет (по умолчанию 2);
certutil -setreg CA\ValidityPeriodUnits 5
certutil -setreg CA\ValidityPeriod "Years"
Примечание: Данные параметр может быть изменены и через реестр в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\
- Включаем полный аудит для сервера CA
certutil -setreg CA\AuditFilter 127
- Расширения CDP (CRL Distribution Point) и AIA (Authority Information Access) будут настроены в соответствии с пунктом Конфигурирование расширений CDP/AIA.
Конфигурирование расширений CDP/AIA:
Настройки CDP/AIA производятся в свойствах СА (правой кнопкой мыши на имени СА – Properties) на вкладке Extensions.
Настройки CDP:
Настройки LDAP:
Удаляем все LDAP-ссылки;
C:\WINDOWS\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
- Check box – Publish CRLs to this location
- Check box – Publish Delta CRLs to this location
File://\\S-Web-01\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
- Check box – Publish CRLs to this location
- Check box – Publish Delta CRLs to this location (не ставить для ROOT-CA)
http://pki.alexxhost.ru/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
- Check box – Include in the CDP extensions of issued certificates
- Check box – Include in CRLS. Clients use this to find Delta CRL Locations
Настройки AIA:
Настройки LDAP:
Удаляем все LDAP-ссылки;
C:\WINDOWS\system32\CertSrv\CertEnroll\<CAName><CertificateName>.crt
Галочки должны быть убраны. (Остаётся без изменений)
http://pki.alexxhost.ru/<CaName><CertificateName>.crt
- Check box – Include in the AIA extension of issued certificates
Публиковать CRT в нестандартные локации невозможно, поэтому их необходимо переименовать и переместить из папки C:\WINDOWS\system32\CertSrv\CertEnroll вручную в папку \\S-Web-01\pki
Заключение
На этом все, чем я хотел поделиться с вами в рамках данного проекта. Напоследок ещё раз хочу предупредить, что не стоит воспринимать данную статью как информацию в последней инстанции!
Для более детального изучения темы PKI предлагаю ознакомиться со следующими материалами:
- Блог Вадимса Поданса, здесь вы найдете ответы на очень многие вопросы;
- Цикл бесплатных вебинаров по PKI в Windows Server 2008 R2 от Руслана Карманова – для тех кто хочет знать всё, или почти всё.
19 комментариев:
Добрый день!
Спасибо за подробный и интересный доклад.
А как быть если корневой и издающий настроены.
Сертификат корневого добавлен в trust.
Но потом возникла необходимость поменять настройки CDP и AIA на корневом и издающем. И по старым путям доверие не прследить будет, а сертификаты уже выданы. CA используется только во внутреннем домене.Спасибо.
Вам нужно сохранить доступ к старым местам, куда сейчас указывают CDP и AIA, после чего добавить на СА новые точки распространения, при этом оставит публикацию и в старые в том числе, но в новые сертификаты включать только новые точки распространения.
Спасибо,большое!
Еще вопрос,может подскажите,где копать. Ситуация такая: CA - Windows 2003 Standart Edition. Один,без корневого. PKI только во внутреннем домене. Иногда пользователи через VPN заходят на терминалки, потом на свои машины доменные. Скертификаты у них не просроченные, но CA выпускает им еще сертификат, у них становится несколько и они не могут читать свою старую шифрованную почту. Пиходится искать из закоытый ключ, там где они логигинились последний раз. Можно этого избежать? Или как быстро админу восстановить закрытый ключ? Спасибо, большое.
Добрый день!
Спасибо за статью. Сделал все по ней,работает.
При установке Root CA установил срок жизни сертификата 5 лет. Потом поменял в реестре параметр на 10, выпустил еще один, 1-й стал 10 лет, появился 2-й,тоже -10 лет. Поменял в реестре на 20 лет. Выпустил 3-й, но он все равно-10лет.Поменял на 15 лет, выпустил 4-й, все равно -10.
Можно сделать, чтобы было 20 лет? Спасибо.
Странная ситуация. Должно без проблем меняться. На сколько я знаю, ограничения по возрасту сертификата нет.
Вы сервис перезапускали? NET stop certsvc
NET start certsvc
Добрый день!
Да, при выпуске сертификата нового, CA предупреждал,что служба будет перезапущена.
Ситуация такая: при установке RootCA был выбран срок сертификата 5 лет. Он потом выдал сертификат на 5 лет выдающему. Выдающий выдал несколько сертификатов серверам на 1 год. Потом стала задача увеличить срок корневому и выдающему. Но чтобы выданные сертификаты жили. На корневом поменяли в реестре на 10 лет,выдали. Появился под номером 1, сроком с 2012 до 2022. Потом решили сделать на обоих 20 лет. Поменяли в реестре ,выпустили на корневом, появился под номером 2 ,но все равно до 2022. Выпустили еще несколько,результат один до 2022. На CA dв выданныхсертификатах стоит Cross. Можно не переустанавливая УЦ все таки сделать на 20 лет? Спасибо.
Здравствуйте!
А можно сделать,чтобы при запросе на пользовательский сертификат через веб-интерфейс CA
Выдавался сертификат из расширенного шаблона версии 2. Где стоит больший срок и другие полезные вещи.
Сейчас, что бы не делалось, при запросе сертификата пользователя (не через расширенную форму) всегда берется шаблон по умолчанию версии 1. Где срок 1 год и ничего поменять нельзя. Спасибо.
При запросе через веб-форму, вам предоставляется возможность выбрать шаблон, по которому генерировать сертификат. У вас в этом выпадающем списке есть нужный шаблон?
Здравствуйте!
Эту проблему я рещил, в файле certrqst.inc исправил имя шаблона. Теперь другая проблема. У пользователя AD , у которого нет ящика почтового, при запросе на сертификат пишет:
политика выдачи сертификата отвергла запрос адрес электронной почты нельзя вставит в имя субъекта. Где поправить надо? Спасибо.
Тут два варианта:
1. Указываем e-mail адрес в свойствах учетки в АД (на первой вкладке)
2. Правим шаблон сертификата - указываем на базе чего генерировать основное имя.
Спасибо,все получилось.
И последнее. Когда на веб-интерфейсе на компьютере откуда запрашивал сертификат заходишь в просмотр состояния запроса на сертификат, то их иногда там несколько штук. А на УЦ в запросах нет таких. Так и должно быть? Когда нажимаешь на какой-нибудь, пишет,что был отвергнут или уже выдан по нему, и после этого пропадает.
Так быть не должно. Сложно сказать почему у вас так происходит.
Добрый день!
Помогите, пожалуйста.
Я настроил на CA 2008 enterprise Issue-Архивацию и восстановление ключей.
При ручной подаче запроса на Сертификат пользователя, который использует расширенный шаблон , с включенной опцией- Архивировать закрытый ключ
CA выдает ошибку: В запросе отсутствует требуемый закрытый ключ для архивирования сервером 0Х80094804 (-2146875388)
Если же выбрать расширенную форму запроса и выбрать тот же шаблон из списка, не меняя ничего в нем, то сертификат выдается и ключ архивируется.
В чем может быть проблема? Чтобы при запросе сертификата пользователя использовался нужный мне шаблон, я менял в файле C:\Windows\System32\CertSrv\certqpt.inc
со стандартного User на свой User 2003. Больше ничего не делал.
Спасибо.
Здравствуйте!
Подскажите,а как поменять порядок шаблонов, в расширенной форме запроса?
Спасибо.
Никогда не задумывался на тему того, по какому принципу они сортируются. Не подскажу ответа на этот вопрос. А если не секрет, то зачем вам изменять порядок сортировки шаблонов?
Добрый день!
Не подскажите, как называется оснастка для удаленного управления CA 2008 и оснастка с графическим интерфейсом для восстановления закрытых ключей и где их скачать?
Спасибо.
Подскажите. Для издающего центра (который Issusing) не могу найти пути C:\Windows\System32\CertSrv\, папки CertSrv просто не существует, а оттуда мне нужно забрать crt файлик. Что необходимо сделать что бы там появился сертификат?
Возможно в настройках СА в CRL Distribution Point у вас указано другое место хранения сертификатов? (file://....)
если кто-то прочитает этот комментарий.. автор пытается настроить Enterprise сервер в качестве корневого, ОК наверное в его проекте это может иметь место. рекомендуемый же сценарий во всех инфраструктурах где есть есть корневой-подчиненный серверы - это использование в качестве корневого севера Standalone.
Отправить комментарий