Meister aller Klassen: Zertifikate leicht gemacht
Das Einrichten eines eigenen Mechanismus zum Erstellen von Sicherheitszertifikaten ist nicht annähernd so kompliziert, wie viele anscheinend meinen.
Greg Shields
Sie haben vor diesem eine Million Mal gesehen. Vielleicht ist es in einem Artikel über das Sichern von IIS, oder vielleicht ist es einer der Schritte in ein Windows PowerShell-Skript zu signieren. Es ist wohl eine der am meisten gescholtenen Anweisungen, die Sie in jeder IT-Knowledgebase-Artikel begegnet werden. Es geht etwas Ähnliches: "Ein vertrauenswürdiges Zertifikat mit einen internen Server für die Zertifikatdienste installieren oder durch Erwerb eines von einer öffentlichen certificate Authority [CA], dann …"
Argh. Zertifikate sind der Fluch unserer Existenz. Installieren sie ist viel zu häufig eine Hürde Arbeit beenden. Sie haben in der Regel zwei Möglichkeiten. Die ersten Kosten benötigt nichts, aber die Zeit und Mühe, um Ihre eigenen Zertifikatsdienste-Server einzurichten. Die zweite erfordert, dass Sie ein Zertifikat von einem vertrauenswürdigen Drittanbieter erwerben, was kostenträchtig sein kann. Nur immer die Kosten genehmigt, kann eine Herausforderung sein.
Zertifikate sind scheinbar überall als Mechanismen für die Authentifizierung und Datenverschlüsselung. Man könnte argumentieren, dass Zertifikate jedoch wichtig, nicht. Im Vergleich zu anderen Lösungen, sind sie eine einfache Möglichkeit, eine Sicherheitsanforderung zu erfüllen. Mit einem voll funktionsfähige Active Directory Certificate Services (AD CS) Server und die entsprechenden Stammzertifikate auf jedem Desktop kostet generieren und Bereitstellen eines Zertifikats Sie nichts anderes als ein paar Minuten und ein paar Klicks.
Allerdings sind die Schritte zum Erstellen einer AD CS-Infrastruktur oft vermutlich eine obskure Kunst. Suche nach "Installieren der Zertifikatsdienste", und Sie finden eine lange Liste der Verweise, darunter Handbücher, Bücher und Blogbeiträge, die wahrscheinlich mehr als Assist verwirrend sein können.
Ein Grund hinter dieser Komplexität liegt bei der Skalierbarkeit von AD CS. Ihre Windows Server-Rolle kann die Anforderungen eines Unternehmens von 80.000 genauso einfach wie das eines der acht dienen. Es hat alle die automatische Registrierung Schnickschnack, die ein großes Unternehmen erfordert. Diese Feinheiten, ersticken jedoch manchmal kleinere Gruppen mit unergründlichen Komplexität.
Einrichten von Ihren eigenen AD CS-Server verleiht, viele Vorteile, nicht, die zuletzt mit die Notwendigkeit beseitigt, Zertifikate von einer anderen Person zu kaufen. Was, jedoch möglicherweise nicht bekannt ist, dass eine einfache Erstellung ganz so schwierig ist. Der Trick ignoriert die meisten was Sie lesen – außer natürlich, was Sie als Nächstes lesen.
Erstellen einer AD CS-Server ganz einfach
Einrichten Ihrer eigenen AD CS-Server erfordert etwas mehr als eine Instanz von Windows Server. Es wird entweder die Standard Edition oder Enterprise Edition tun. In diesem Beispiel wird nicht Sie mithilfe der automatischen Registrierung oder Ändern von Zertifikatvorlagen werden. Sie werden nur haben Zugriff auf diese und andere erweiterten Funktionen bei der Installation von AD CS, oben auf der Windows Server Enterprise Edition.
Certificate Services erfordert nur wenig an Serverressourcen. Sie können es auf einem vorhandenen Server ausführen bereits ein anderer Vorgang, oder sogar einen leicht konfigurierten Virtual Machine (VM) installieren. Wenn Sie die AD CS-Rolle mit anderen Funktionen teilen möchten, seien Sie vorsichtig. Außerbetriebsetzung eines AD CS-Servers kann erneut starten dieses Vorgangs alle über bedeuten.
Starten Sie Server-Manager auf dem Server, und installieren Sie die AD CS-Rolle mit dem Zertifizierungsstellen-Rollendienst. Sie werden mit mehreren Fragen zu Installation aufgefordert. Der erste definiert die Setup-Typ. Die einfachste Konfiguration von AD CS Standalone-Modus ist, wählen Sie diesen Modus, wenn Sie dazu aufgefordert werden.
Im Allgemeinen würde Sie AD CS-Servern in großen Umgebungen innerhalb einer Hierarchie implementieren. Ein oder mehrere untergeordnete Zertifizierungsstellen funktioniert in Kombination mit einer offline-Stamm-CA. Hier die einfache Implementierung erfordert nur einen einzigen Stamm-CA. Konfigurieren Sie den Server mit dieser Einstellung im nächsten Bildschirm.
Dann werden Sie eine Reihe von Fragen aufgefordert zum Erstellen eines privaten Schlüssels für den Server. Erstellen einer neuen privaten Schlüssel, und wählen Sie die Standardeinstellungen für die Kryptografie und der Name der Zertifizierungsstelle konfigurieren. Sie müssen auch einen Gültigkeitszeitraum auswählen, die standardmäßig auf fünf Jahre. Diese Gültigkeitsdauer bezeichnet die längste Zeit, die ein Zertifikat "live". Wählen hier eine längere Gültigkeitsdauer bedeutet gewähren selbst eine längere Zeit vor dem Stammzertifikat der Zertifizierungsstelle aktualisieren müssen. Abschließend wählen Sie einen Speicherort für die Zertifikatdatenbank und seiner Log-Dateien.
Dort haben Sie den AD CS-Server installiert. Angenommen, Sie als Domänenadministrator an diesem Server installiert, beginnt es automatisch füllen das Stammzertifikat auf jedem Computer in Ihrer Domäne. Wenn Sie alles richtig gemacht haben, sollten Sie bald die AD CS-Stammzertifikats im Speicher vertrauenswürdiger Stammzertifizierungsstellen auf einem Computer finden. Das Stammzertifikat für die AD CS-Server in diesem Beispiel wird in Microsoft Management Console (MMC) von Zertifikaten hervorgehoben (siehe Abbildung 1).
.jpg)
Abbildung 1 Root-Zertifikat der Stammzertifizierungsstelle im Zertifikat-Manager.
IIS-Zertifikate ausstellen
Da dieses Zertifikat der Stammzertifizierungsstelle befindet dieser Computer wird in Ihrem Shop Trusted Root Certification Authorities vertrauen nun von Ihrem AD CS Server ausgestellte Zertifikate. Diese Stufe der Vertrauenswürdigkeit ist außerordentlich leistungsfähig. Sie können automatisch Zertifikate für jeden bestimmten Zweck, wie HTTPS auf einem IIS-Server zu aktivieren. Betrachten Sie die Schritte, die Sie verwenden möchten.
Sie haben zum Erstellen eines Domänenserverzertifikats in IIS HTTPS aktivieren. Hierzu in der IIS-Manager-Konsole durch den Servernamen Serverzertifikate doppelklicken, und dann auf den Link mit der Bezeichnung Create Domain-Zertifikat im Aktionsbereich auswählen. Sie sehen einen Assistenten für das Zertifikat erforderlichen Informationen aufgefordert werden. Geben Sie diese Informationen, und klicken Sie auf Weiter.
Zweiten Bildschirm des Assistenten kann etwas verwirrend sein. Die Auswählen-Schaltfläche ist nicht immer automatisch einen AD CS-Server auswählen. Wenn die Schaltfläche abgeblendet angezeigt wird, geben Sie die CA-Namen, gefolgt vom Namen des Servers (siehe Abbildung 2). In diesem Beispiel wird die Zertifizierungsstelle ist berechtigt, Unternehmens-DC-CA auf dem DC-Server. Sie müssen auch einen Weitere "angezeigten" Namen für Ihre CA-Server eingeben.
.jpg)
Abbildung 2 Geben Sie eine Onlinezertifizierungsstelle Behörde.
Klicken Sie auf Fertig stellen, um das Zertifikat anzufordern. Standardmäßig erfordert AD CS Administratorgenehmigung ein Zertifikat ausstellen, so werden Sie wahrscheinlich eine Fehlermeldung sehen. Diese Fehlermeldung können Sie wissen, die Zertifikatanforderung war erfolgreich, aber die Behörde nicht automatisch ein Zertifikat ausgestellt (siehe Abbildung 3).
.jpg)
Abbildung 3 Diese Meldung bedeutet eine erfolgreiche Anforderung ausstehendes Zertifikat Ausstellung.
Zurück zu der CA-Verwaltungskonsole, und klicken Sie dann auf ausstehende Anforderungen. Das angeforderte Zertifikat sollte angezeigt werden. Mit der rechten Maustaste der Anforderung, und wählen Sie Ausgabe, um das Zertifikat auszustellen (siehe Abbildung 4). An dieser Stelle übertragen, das Zertifikat ausgestellt hat zurück zu IIS ein Export und Import Prozess von der Zertifizierungsstelle an den IIS-Manager erfordert.
.jpg)
Abbildung 4 Problem-Zertifikat.
Klicken Sie in der CA-Verwaltungskonsole auf ausgestellte Zertifikate, und doppelklicken Sie auf das Zertifikat zu übertragen. Wählen Sie Details | Kopieren Sie Datei, um den Zertifikatexport-Assistenten zu starten. Exportieren Sie das Zertifikat in eine Datei als eine DER--binären x. 509-Zertifikats mit der Erweiterung .cer codiert.
Schließlich wieder im IIS-Manager, wählen Sie die Zertifikatanforderung abschließen und zeigen Sie den resultierenden-Assistenten auf die soeben erstellte Datei. Dieses Zertifikat können jetzt für die HTTPS-Kommunikation.
Diese Zertifikate schützen
Sie müssen diese zusätzlichen Schritte ausführen, da AD CS in der Standard Edition von Windows Active Directory verwenden kann, um zu überprüfen, die zum Anfordern von Zertifikaten zugelassen hat. Infolgedessen bleiben Zertifikate in ausstehende Anforderungen, bis Sie manuell eingeben. Sie können eine Einstellung in der AD CS-Server-Richtlinienmodul ermöglichen die automatische Genehmigung aller Zertifikate anpassen, aber das ist keine gute Idee. Aktivieren die automatische Ausstellung würde ermöglicht beliebigen Personen einem automatisch genehmigten Zertifikat für jeden Zweck erstellen – nicht gerade eine bewährte Sicherheitsmethode.
Windows Server Enterprise Edition enthält andere Features, die es lohnt sich Kandidaten für AD CS. Sie können anpassen Zertifikatvorlagen und stellen Zertifikate für spezielle Verwendungszwecke (v2 und v3-Zertifikate genannt) wie das Signieren von Skripts für Windows PowerShell. Dies erfordert ein Code Signing-Zertifikat, das nicht zu AD CS in Windows Server Standard Edition zur Verfügung steht. Andere Windows Server Enterprise Edition-Funktionen können Sie eine einfache AD CS-Instanz in eine umfassende PKI-Infrastruktur zu aktualisieren.
Siehe Zertifikate wirklich nicht so schlecht sind. Güte weiß, dass Sie sie benötigen. Erstellen eine eigene Zertifikatinfrastruktur muss nicht schwierig sein. Starten Sie einfach mit Ihrer Zertifizierungsstellenhierarchie einfach.
.jpg)
Greg Shields, MVP, ist Partner bei Concentrated Technology. Erfahren Sie mehr über Tausendsassa-Tipps und Tricks 'Shields concentratedtech.com.