+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Центр сертификации active directory. Публикация расширения CDP с помощью интерфейса

Содержание

Установка и настройка корневого центра сертификации (RootCA)

Центр сертификации active directory. Публикация расширения CDP с помощью интерфейса

Степан Москалев

Леонид Шапиро

Следующий этап внедрения инфраструктуры открытых ключей – установка корневого удостоверяющего центра. Как правило это виртуальная машина, при этом ее не следует подключать к сети, поскольку это может создать потенциальный риск компрометации.

Весь информационный обмен: перенос сертификатов и списков отзыва, передача запросов к центру сертификации и выданных сертификатов с него осуществляется с помощью внешнего защищенного носителя, доступ к которому ограничен доверенным кругом лиц.

Процедура самой установки службы сертификатов не отличается от установки любой другой роли Windows Server 2016, и знакома системному администратору. Добавляется новая роль – Active Directory Certificate Service. Перед установкой следует разместить файл capolicy.inf [1], содержимое которого мы обсуждали в предыдущей статье [3] в папке systemroot. См. рис. 1.

рис. 1.

Это позволит нам выполнить начальную конфигурацию сервера сертификатов. В процессе установки сервиса, вернее будет сказать послеустановочной настройки см. рис. 2., потребуется задать учетную запись, от имени которой будет работать служба, тип развертывания – «Stand Alone CA», роль удостоверяющего центра – «RootCA».

рис. 2.

Также будет необходимо создать новый частный ключ, указать требуемый криптоалгоритм и длину ключа, алгоритм хеширования, срок жизни сертификата. После этого может сложится впечатление, что настройка завершена, однако это не так.

Дело в том, что многие параметры работы сервера сертификатов останутся в состоянии «по-умолчанию», что приведет к неверной работе. Так, например, точки публикации сертификатов (AIA) см. рис. 3 и списков отзыва (CDP) см. рис.

4, порядок их опроса не будут соответствовать нашим потребностям, параметры логирования не будут заданы вовсе.

рис. 3.

рис. 4.

AIA расшифровывается как Authority Information Access и определяет место хранение актуальных сертификатов нашего сервера. CDP – дает нам возможность определить место хранения списков отзывов, подписанных нашим сервером сертификатов. Оба эти расширения содержаться во всех выданных удостоверяющим центром сертификатах и, соответственно, должно быть доступны всем потребителям.

Получается, клиенты должны обладать возможностью проверять цепочку сертификатов и список отзыва, обращаясь по тем, которые указаны в сертификате, то есть определены в AIA и CDP расширениях при настройке.

Если это сделать не получится, то сервисы, ради которых внедрялась инфраструктура открытых ключей будет неработоспособна.

Например, вы хотели использовать сертификаты для аутентификации с помощью смарт карт, но пользователь не смог проверить список отзыва по заданному вами пути, в этом случае войти по смарт карте не выйдет.

Изменение этих настроек может быть выполнено разными способами. Может быть использован графический интерфейс (GUI), утилита certutil [4], с помощью которой можно полностью выполнять любые задачи из командной строки, наконец воспользоваться командлетами powershell.

Certutil.exe – программа командной строки, которая устанавливается как часть служб сертификации. Используется для сбора информации о конфигурации удостоверяющего центра, настройки служб сервиса, резервного копирования и восстановления компонентов ЦС и проверки сертификатов, пар ключей и цепочек сертификатов.

Администратор может вносить изменения в AIA и CDP расширения, однако на уже выданные сертификаты это никак не повлияет, они содержат предыдущие значения, соответственно, надо учитывать этот факт, и не лишать обладателей ранее выданных сертификатов возможности работы.

Порядок строк в CDP, определяет последовательность проверки списка отзыва сертификатов. Получается, что, при наличии внешних клиентов, надо учесть, что проверка, скажем LDAP пути, который по-умолчанию стоит раньше в списке, будет для них просто невозможна.

То есть будут возникать задержки [5] пока получится добраться до «рабочего» варианта. В этой ситуации, будет целесообразно, первым разместить HTTP путь.

Это же будет относится и к не Windows клиентам, которые не будут использовать LDAP для поиска сертификатов и списков отзыва.

Вообще, наиболее часто используемым будет именно HTTP вариант, поскольку он универсален и подходит любому типу клиента независимо от его членства в домене AD DS и типа.

Стоит отметить, что у нас нет возможности частичной корректировки уже внесенной строки. Также невозможно изменить порядок следования строк.

И, поскольку указанный по-умолчанию вариант в большинстве случаем не подходит, то ничего не остается, как только удалить эти строки полностью и внести новые значения, соответствующие требованиям.

На этом этапе должны быть уже определены места хранения сертификатов и списков отзыва и подготовлен веб сервер, что уже обсуждалось в предыдущей статье [3].

Еще один важный момент – как выполнить эти настройки? Конечно, это может быть сделано «вручную» с помощью графического интерфейса, однако при таком способе вероятность ошибок из-за невнимательности возрастает, поэтому лучше будет воспользоваться заранее подготовленным и отлаженным скриптом, который и выполнит все необходимые модификации реестра и настроит CA.

Для настройки параметров CDP будем применять утилиту certutil и воспользуемся следующей командой:

CertUtil [Options] -setreg [{ca|restore|policy|exit|template|enroll|chain|PolicyServers}[ProgId]]RegistryValueName Value+ ,

с помощью, которой и назначим точки публикации CRL.

Определимся с тем, каких результатов нам требуется добиться.

Список отзыва сертификатов публикуется на самом сервере сертификатов в виде обычного файла с расширением CRL. Стало быть, надо указать папку, где будет этот файл храниться. Например, тот вариант, который предлагается по-умолчанию:

C:\Windows\system32\CertSrv\CertEnroll.

Он нам вполне подойдет. Следует понимать, что клиенты его получить не смогут, поскольку наш корневой сервер сертификатов для них недоступен. RootCA отключен от сети, да и вообще выключен.

Значит файл его списка отзыва должен храниться где-то еще. То есть на сервере распространения – это наш веб сервер, который мы раньше установили. Нам придется его туда скопировать.

Мы вернемся к вопросу переноса данных чуть позже в следующих статьях этого цикла.

Пусть все настроено и наши клиенты уже работают с сертификатами, например, пытаются подключиться по SSL.

Получив сертификат веб сервера при попытке установить соединение с ним, проверяется не отозван ли сам сертификат и сертификаты выдавшего центра сертификации, и всех удостоверяющих центров до корневого включительно и действительна ли цепочка сертификатов не устарели ли они.

Значит список отзыва RootCA должен быть включен в выданные им сертификаты.

Какие пути надо включить? Первым будет HTTP, а вторым LDAP путь для клиентов AD. Вероятней всего, до проверки LDAP дело не дойдет, но мы все-таки дополнительно внесем и этот путь.

Включим публикацию этих путей в сертификате. То есть получив сертификат, клиент точно будет знать куда идти для проверки. С дополнительными параметрами в этой команде можно познакомиться в статье [5].

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl2:http://pki.nwtraders.msft/PKI/%3%8.crl10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10”

Сам сертификат УЦ тоже должен где-то храниться, мы используем путь по-умолчанию: C:\Windows\system32\CertSrv\CertEnroll.

Теперь то, что касается проверки цепочки доверия сертификатов, клиенты будут проверять сами сертификаты, то есть надо включить информацию о их месте нахождения. Точно также мы воспользуемся http и ldap путями.

Настройку AIA выполним таким образом:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%4.crt2:http://pki.nwtraders.msft/PKI//%3%4.crt2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11”

Для настройки срока действия сертификата и периодичности публикации CRL, если нам требуется изменить уже внесенные с помощью capolicy.inf значения, с помощью все той же утилиты certutil делается нижеследующее:

certutil -setreg CA\ValidityPeriodUnits 20

certutil -setreg CA\ValidityPeriod “Years”

certutil -setreg CA\CRLPeriodUnits 26

certutil -setreg CA\CRLPeriod “Weeks”

certutil -setreg CA\CRLOverlapUnits 2

certutil -setreg CA\CRLOverlapPeriod “Weeks”

certutil -setreg CA\CRLDeltaPeriodUnits 0

certutil -setreg CA\CRLDeltaPeriod “Hours”

Последовательно здесь настраиваются:

  • Период действия сертификата центра сертификации
  • Единицы измерения для ValidityPeriodUnits
  • Периодичность выпуска списков CRL и Delta CRL, а также срок продленного действия списков CRL

Последнее, что осталось сделать – настроить аудит.

certutil -setreg CA\AuditFilter 127

Наконец, для определения значения переменной %6 – выполните следующую команду:

certutil -setreg ca\DSConfigDN “CN=Configuration,DC=nwtraders,DC= msft”

Вот теперь мы можем считать, что корневой центр сертификации развернут.

Продолжение следует

в журнале “Системный Администратор № 3, 2018  стр.  16-19

Литература

[1] How CA Certificates Work. Overview of Capolicy.inf. https://technet.microsoft.com/en-us/library/cc737264(WS.10).aspx.

[2] Prepare the Capolicy.inf https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/prepare-the-capolicy-inf-file

[3] Леонид Шапиро Внедрение Инфраструктуры Открытых Ключей на основе Windows Server 2016 Часть № 1. Предварительный этап /Системный Администратор № 1-2, 2018  стр.  23-27

[4] Certutil https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil

[5] Certification Authority Guidance https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831574(v=ws.11)

Источник: http://ITband.ru/2018/03/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%BA%D0%BE%D1%80%D0%BD%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE-%D1%86%D0%B5%D0%BD%D1%82/

Удаляем центр сертификации из Active directory – itgaleon

Центр сертификации active directory. Публикация расширения CDP с помощью интерфейса

В первую очередь нужно отозвать все выданные сертификаты.

Для этого откройте консоль Certification Authority, разверните узел сервера сертификации и в перейдите в раздел Issued Certificates.

В правом окне выберите выданный сертификат и в контекстном меню выберите  пункт All Tasks > RevokeCertificate.

Укажите причину отзыва сертификаты (Cease of Operation — Прекращение работы), время с которого он считается недействительным (текущее) и нажмите Yes.

Сертификат пропадет из списка. Аналогичным образом поступите со всеми выданными сертификатами.

Затем откройте свойства ветки RevokeCertificates.

Увеличьте значение поля CRLpublicationinterval (интервал публикации списка отозванных сертификатов) – этот параметр определяет периодичность обновления списка отозванных сертификатов.

Нажмите ПКМ по узлу Revoked Certificates и выберите All Tasks > Publish.

Выберите NewCRL и нажмите OK.

Проверьте и, в случае необходимости, откажите в выдаче всем ожидающим запросам на выдачу сертификатов. Для этого в контейнере Pending Requests выделите запрос и в контекстном меню выберитеAll Tasks -> Deny Request.

Удаление роли Active Directory Certificate Services

На сервере с ролью CA откройте командную строку и остановим работы служб сертификации командой:

certutil –shutdown

Чтобы вывести список локально хранящихся закрытых ключей выполним команду:

certutil –key

В нашем примере с CA ассоциирован один закрытый ключ. Удалить его можно командой certutil -delkey CertificateAuthorityName. В качестве имени ключа используется значение, полученное на предыдущем шаге. Например,

certutil –delkey le-DomainController-b44c7ee1-d420-4b96-af19-8610bf83d263

Чтобы убедится, что закрытый ключ CA удален еще раз выполним команду:

certutil –key

Затем откроем консоль Server Manager и удалим роль Active Directory Certificate Services.

После удаления роли сервер нужно перезагрузить.

Удаление объектов CA из Active Directory

При установке центра сертификации в структуре Active Directory создается ряд служебных объектов CA, которые не удаляются при удалении роли ADCS. Удаляется только объект pKIEnrollmentService, благодаря чему клиенты не пытаются запрашивать новые сертификат у выведенного из эксплуатации CA.

Выведем список доступных центров сертификации (он пуст):

certutil

Откроем консоль Active Directory Site and Services и включим отображение сервисных веток, выбрав в верхнем меню пункт View ->Show Services Node.

Затем последовательно удалим следующие объекты AD:

  1. Центр сертификации в разделе Services -> Public Key Services -> AIA.
  2. Контейнер с именем сервера CA в разделе Services -> Public Key Services -> CDP.
  3. CA  в разделе Services > Public Key Services > Certification Authorities.
  4. Проверьте, что в разделе Services -> Public Key Services -> Enrollment Services отсутствует объектpKIEnrollmentService (он должен удалиться во время процесса деинсталляции CA). Если он присутствует, удалите его вручную.
  5. Удалите шаблоны сертификатов, расположенные в разделе Services -> Public Key Services > Certificate Templates (выбелить все шаблоны CTRL+A).

Удаляем сертификаты, опубликованные в контейнере NtAuthCertificates

При установке нового центра сертификации его сертификаты добавляются и хранятся в контейнереNTAuthCertificates. Их также придется удалить вручную. Для этого с правами администратора предприятия выясним полный LDAP путь к объекту NtAuthCertificates в Active Directory.

certutil -store -? | findstr “CN=NTAuth”

Осталось удалить сертификаты с помощью утилиты certutil , указав полный LDAP путь, полученный на предыдущем шаге.

certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=certificationAuthority”

Подтверждаем удаление сертификата.

https://www.youtube.com/watch?v=Jb4rPIbPdoc

Далее выполним команду:

certutil –viewdelstore “ldap:///CN=NtAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=no1abnopary,DC=local?cACertificate?base?objectclass=pKIEnrollmentService”

Подтвердите удаление сертификата.

Удаление базы центра сертификации

База CA автоматически не удаляется при удалении службы ADCS, поэтому эту операцию нужно выполнить вручную, удалив каталог %systemroot%\System32\Certlog.

Удаление сертификатов с контроллеров домена

Необходимо удалить сертификаты, выданные контроллерам домена. Для этого на контроллере домена нужно выполнить команду:

certutil -dcinfo deleteBad

Certutil попытается проверить все сертификаты, выданные DC. Сертификаты, которые не удастся проверить, будут удалены.

На этом полное удаление службы Active Directory Certificate Services из структуры Active Directory завершено.

Источник: https://www.sites.google.com/site/itgaleon/windows-server/udalaem-centr-sertifikacii-iz-active-directory

Разворачиваем Центр сертификации в домене(PKI)

Центр сертификации active directory. Публикация расширения CDP с помощью интерфейса

Оцените материал

Домен: TEST.LOCAL

Серверы: (Автономный) RootCA; (Предприятие) SRV03.TEST.LOCAL

Сетевое хранилище DFS: \\test.local\SOFT\PKI

WEB сервер: совмещён с сервером ЦС домена SRV03.TEST.LOCAL

Подготовка сетевого хранилища

Создать сетевую папку на файловом сервере и подключить к пространству имён. Назначить права на папку: Доступ – Все (чтение/запись); Безопасность – TEST\SRV03$ (чтение/запись)(учётная запись сервера ЦС в домене)

Подготовка WEB сервера

На серверах DNS (в случае домана – контроллеры домена) создать запись pki.test.local ведущую на IP адрес WEB сервера (в нашем случае SRV03.TEST.LOCAL)

Создасть сайт pki.test.local на WEB сервере, указав в качестве физического сетевой путь \\test.local\SOFT\PKI

Для возможности работы с сетевой папкой необходимо запускать сайт как сетевую службу. Для этого в разделе Пулы приложений – выбрать приложение созданого сайта PKIДополнительные параметры.

Параметр Модель процесса Удостоверение установить NetworkService.

Перейти в настройки сайта – Проверка подлинностиАнонимная проверка подлинностиИзменить и установить Удостоверение пула приложений

Чтобы IIS сервер мог распознавать DeltaCRL необходимо добавить возможность чтения знака “+”. Для этого в оснастке IIS нужно в настройках сайта открыть Фильтрация запросов – Изменить параметры и установить Разрешить двойное преобразование

Источник: https://windowsnotes.ru/iis/application-pool-identities-v-iis/

Установка корневого центра сертификации

Предполагается, что компьютер с именем RootCA установлен, обновлён и сконфигурированы параметры безопасности. Данный компьютер будет выполнять роль корневого центра сертификации (Root Certification Authority). Поскольку корневой CA — самая важная точка в иерархии PKI, этот сервер будет нормально выключен и включаться только для следующих целей:

  • Отправка новой заявки на сертификат;
  • Публикация CRL;
  • Обновление сертификата самого CA;
  • Установка обновлений безопасности.

В остальное время он должен быть выключен и физический доступ к нему должен быть ограничен. Данный сервер не будет издавать сертификаты конечным потребителям, поэтому выключенное состояние никак на потребителях не отразится.

После установки Центра сертификации (из стостава AD CS) необходимо её настроить.

  • Автономный ЦС
  • Корневой ЦС
  • Создать новый закрытый ключ
  • RSA#Microsoft Software Key Storage Provider; длину ключа в 2048 бит и алгоритм подписи в SHA1
  • Имя ЦС: ROOT-TEST-CA
  • Период действия сертификата = 15 лет
  • Период публикации отозванных сертификатов = 1 год

Последующая настройка выполняется с помощью коммандной строки

Создаём папку в корне диска C, где будут храниться CRT и CRL файлы

md C:\CertData

Задаём точки публикации CRL файлов и ссылки, публикуемые в издаваемых сертификатах. То же самое и для CRT файлов.

certutil -setreg CA\CRLPublicationURLs “65:%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl65:C:\CertData\%3%8%9.crl2:http://pki.test.local/%3%8%9.crl”
certutil -setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%1_%3%4.crt2:http://pki.test.local/%3%4.crt”

Для Windows 2008 строка будет с двумя знаками %% для переменных certutil -setreg CA\CRLPublicationURLs “65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl65:C:\CertData\%%3%%8%%9.crl2:http://pki.test.local/%%3%%8%%9.crl” и также для certutil -setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt2:http://pki.test.local/%%3%%4.crt”

Поскольку мы не можем управлять публикацией CRT файлов, мы его переименовываем в нужное имя и копируем в папку CertData

ren %windir%\system32\CertSrv\CertEnroll\*.crt ROOT-TEST-CA.crt
copy %windir%\system32\CertSrv\CertEnroll\ROOT-TEST-CA.crt C:\CertData

задаём срок действия издаваемых сертификатов равным 15 лет

certutil -setreg CA\ValidityPeriodUnits 15
certutil -setreg CA\ValidityPeriod “Years”

Задаём параметры публикации CRL (повторяем, что было указано в CAPolicy.inf)

certutil -setreg CA\CRLPeriodUnits 12
certutil -setreg CA\CRLPeriod “Months”
certutil -setreg CA\CRLOverlapPeriod “Months”
certutil -setreg CA\CRLOverlapUnits 1
certutil -setreg CA\CRLDeltaPeriodUnits 0
certutil -setreg CA\CRLDeltaPeriod “Days”
certutil -setreg CA\CRLOverlapPeriod “Weeks”
certutil -setreg CA\CRLOverlapUnits 2

Примечание: Данные параметр может быть изменены и через реестр в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\

Включаем полный аудит для сервера CA

certutil -setreg CA\AuditFilter 127

Отключаем генерацию кросс-сертификатов

certutil -setreg ca\CRLFlags +CRLF_DISABLE_ROOT_CROSS_CERTS

Конфигурируем ЦС для включения истёкших отозванных сертификатов в списки отзыва

certutil –setreg ca\CRLFlags +CRLF_PUBLISH_EXPIRED_CERT_CRLS

Включаем поддержку сертификатов OCSP Response Signing на Offline CA:

certutil -v -setreg policy\editflags +EDITF_ENABLEOCSPREVNOCHECK
net stop certsvc && net start certsvc

Публикуем новый CRL в новую локацию.

certutil -CRL

Установка издающих центра сертификации

После установки Центра сертификации (из стостава AD CS) необходимо её настроить.

  • ЦС предприятия
  • Подчиненный ЦС
  • Создать новый закрытый ключ
  • RSA#Microsoft Software Key Storage Provider; длину ключа в 2048 бит и алгоритм подписи в SHA1
  • Имя ЦС: TEST-CA
  • Создать запрос сертификата в файле на конечном компьютере
  • Период действия сертификата = 10 лет
  • Период публикации отозванных сертификатов = 3 месяца

Скопировать файл запроса на сервер RootCA и выпустить по немуц сертификат

  • открыть Панель управленияАдминистрированиеЦентр сетрификации
  • выбрать сервер-все задачиВыдать новый запрос… и выбрать файл запроса
  • перейти в подраздел запросы в ожидании
  • выбелить запрос, затем все задачи – выдать
  • перейти в подраздел выданные сертификаты и открыть сетрификат
  • на вкладке Состав нажать копировать в файл и сохратить в формате .p7b (TEST-CA.p7b)

Скопировать файл выданного сертификата (TEST-CA.p7b) и файлы из папки C:\CertData (ROOT-TEST-CA.crt и ROOT-TEST-CA.crl) в сетевое хранилище \\test.local\SOFT\PKI

После этого сервер RootCA можно выключить.

https://www.youtube.com/watch?v=NhprXz6kdHw

Зарегистрировать файлы с корневого ЦС на подчинённом сервере (запускать с привилегиями Администратора)

certutil –addstore Root \\test.local\SOFT\PKI\ROOT-TEST-CA.crtcertutil –addstore Root \\test.local\SOFT\PKI\ROOT-TEST-CA.crl

certutil -dspublish -f \\test.local\SOFT\PKI\ROOT-TEST-CA.crt RootCA

Если ошибок не возникло, то установить сертификат ЦС (выданный RootCA)

  • открыть Панель управленияАдминистрированиеЦентр сетрификации
  • выбрать сервер-все задачиУстановить сертификат ЦС и выбрать файл (TEST-CA.p7b)
  • после успешной установки файл .p7b можно удалить

Выполнить пакетный файл настройки для дальнейшей настройки

Задаём точки публикации CRL файлов и ссылки, публикуемые в издаваемых сертификатах. То же самое и для CRT файлов.

certutil -setreg CA\CRLPublicationURLs “65:%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl65:\\test.local\SOFT\PKI\%3%8%9.crl6:http://pki.test.local/%3%8%9.crl”
certutil -setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%1_%3%4.crt2:http://pki.test.local/%3%4.crt”

Для Windows 2008 строка будет с двумя знаками %% для переменных certutil -setreg CA\CRLPublicationURLs “65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl65:\\test.local\SOFT\PKI\%%3%%8%%9.crl6:http://pki.test.local/%%3%%8%%9.crl” и также для certutil -setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt2:http://pki.test.local/%%3%%4.crt

Поскольку мы не можем управлять публикацией CRT файлов, мы его переименовываем в нужное имя и копируем в папку CertData

ren %windir%\system32\CertSrv\CertEnroll\*.crt TEST-CA.crt
copy %windir%\system32\CertSrv\CertEnroll\TEST-CA.crt \\test.local\SOFT\PKI

задаём максимальный срок действия издаваемых сертификатов равным 5 лет

certutil -setreg CA\ValidityPeriodUnits 5
certutil -setreg CA\ValidityPeriod “Years”

Задаём параметры публикации CRL (повторяем, что было указано в CAPolicy.inf)

certutil -setreg CA\CRLPeriodUnits 3
certutil -setreg CA\CRLPeriod “Months”
certutil -setreg CA\CRLDeltaPeriodUnits 1
certutil -setreg CA\CRLDeltaPeriod “Months”
certutil -setreg CA\CRLOverlapPeriod “Days”
certutil -setreg CA\CRLOverlapUnits 10

Включаем наследование Issuer Statement в издаваемых сертификатах

certutil -setreg Policy\EnableRequestExtensionList +”2.5.29.32″

Включаем полный аудит для сервера CA

certutil -setreg CA\AuditFilter 127 задаём контекст конфигурации для сервера CA. Контекст конфигурации должен указывать на *корневой домен* текущего леса.
certutil -setreg CA\DSConfig “CN=Configuration,DC=test,DC=local”

публикуем сертификат CA в AD

certutil -dspublish -f \\test.local\SOFT\PKI\TEST-CA.crt Subca
certutil -dspublish -f \\test.local\SOFT\PKI\TEST-CA.crt NTAuthCA
net start certsvc

Публикуем новый CRL в новую локацию.

certutil –CRL

Проверка PKI предприятия

На сервере ЦС предприятия запустить оснастку PKIView.msc и проверить весь пусть регистрауии (Корневой и подчинённый серверы) – все пути AIA и CDP должны указывать на сайт http://pki.test.local

Внимание!

Особенность такого построения серверов (когда корневой сервер находится в отключенном режиме) является то, что периодически придётся вречную его запускать и выгружать обновлённый файл отозванных сервтификатов ROOT-TEST-CA.

crt на общее хранилище. Для этого достаточно примерно за месяц до истечения действия текущего файла запустить сервер корневого ЦС и скопировать обновлённый файл из папки  C:\CertData.

Если файл автоматически не обновился при запуске сервера, то обновить его командой

certutil –CRL

P.S

Для того, чтобы теперь действующий на сервере SRV03.TEST.LOCAL WEB сервер корректно работал в домене по протоколу HTTPS нужно выпустить ему доменный сертификат.

Открываем Панель управленияДиспетчер службы IIS и выбираем WEB сервер (SRV03). Открываем Сертификаты сервера и проверяем текущие сертификаты. Сертификат сервера SRV03 на данный момент самоподписанный и поэтому не будет автоматически признаваться в домене.

Выбираем действие Создать сертификат домена… и заполняем данные. Полное имя должно соответствовать адресу требуемого сайта – в нашем случае будет SRV03.TEST.

LOCAL, остальные поля произвольно. Далее выбираем сервер сертификации – в нашем случае будет TEST-CA\SRV03.TEST.

LOCAL и назначаем Полное имя – оно будет отображаться как псевдоним в Диспетчере службы IIS.

После выпуска сертификата его нужно закрепить за основным сайтом сервера. Для этого нужно выбрать сайт Default Web SiteИзменить привязки, выбрать привязку https и в его настройках выбрать новый созданный сертификат.

Источники: https://www.sysadmins.lv/blog-ru/ustanavlivaem-certification-authority-podvedenie-itogov.aspx
http://www.alexxhost.ru/2011/05/pki.html
https://habr.com/company/microsoft/blog/348944/

Полезные команды:

Публикуем новый CRL в новую локацию

certutil –CRL

Просмотр PKI структуры

PKIView.msc

Менеджер сертификатов

certmgr.msc

добавить сертификаты в хранилище

импортируем сертификат рутового ЦА

certmgr.exe -add -c RootCA.cer -s -r localMachine Root

импортируем сертификат выдающего ЦА

certmgr.exe -add -c CA.cer -s -r localMachine CA

импортируем сертификат в хранилище компа

certutil.exe -importpfx -p password VPN_Cert.pfx

импортируем сертификат в хранилище пользователя

importpfx.exe -f VPN_Cert.pfx -p password -t User -s My

список названий хранилищ сертификатов:
My – Личные
Root – Доверенные корневые центры сертификации
Trust – Доверительные отношения в предприятии
CA – Промежуточные центры сертификации
AuthRoot – Сторонние корневые центры центры сертификации
TrustedPublisher – Довереннные издатели
TrustedPeople – Доверенные лица
AddressBook – Другие пользователи

Прочитано 4296 раз Последнее изменение Вторник, 03 декабря 2019 11:54

Источник: https://pontin.ru/technical/windows/domain/pki-domain

Удаление центра сертификации из Active Directory

Центр сертификации active directory. Публикация расширения CDP с помощью интерфейса

При удалении службы сертификации Active Directory Certificate Services необходимо выполнить ряд предварительных и пост шагов, необходимых для корректного удалений центра сертификации (Certification Authority или CA) из Active Directory.

Необходимо отозвать все выданные сертификаты, удалить закрытые ключи,  роль ADCS и вручную очистить AD  обо всех упоминаниях удаляемого центра сертификации.

При некорректном удалении центра сертификации из AD, приложения, зависящие от инфраструктуры открытого ключа, могут работать неправильно.

Создание SSL-сертификата подписанного через Active Directory Certificate Services (AD CS) для Tomcat (LM/Connect/RS). – IT

Центр сертификации active directory. Публикация расширения CDP с помощью интерфейса
Skip to end of metadata Go to start of metadata

SSL сертификаты самый распространенный на данный момент тип сертификатов.

Для невозможности перехвата данных в момент передачи из браузера на сервер, используется специальный протокол HTTPS, который шифрует все передаваемые данные.

Для того, чтобы активировать возможность работы протокола HTTPS как раз и нужны цифровые SSL сертификаты. 

Что такое SSL сертификат?

SSL — это сокращение от Secure Socket Layer — это стандартная интернет технология безопасности, которая используется, чтобы обеспечить зашифрованное соединение между web-сервером (сайтом) и браузером. SSL сертификат позволяет нам использовать HTTPS протокол. Это безопасное соединение, которое гарантирует, что информация которая передается от вашего браузера на сервер остается приватной.

Для обеспечения работоспособности сайта/сервиса внутри организации по SSL, без выхода в интернет, достаточно будет установки самоподписанного сертификата на самом web-сервере.

Так как работа сервисов EGAR не предусмотрена с доступом из сети Интернет, то этот способ является самым действенным и бесплатным на данный момент, т.к. в ином другом случае, SSL-сертификаты, нужно будет покупать и постоянно проплачивать. Также необходимо будет следить за их сроком работы.

В случае же, с самоподписанными сертификатами, срок службы сертификата устанавливаем мы сами, при его создании.

Добавление роли Active Directory Certificate Services (AD CS)

http://osdevice.com/threads/ustanoa-sluzhby-sertifikacii-active-directory-ad-cs-v-windows-server-2012-r2.88/

http://itsave.ru/vmware-horizon-7/active-directory-certificate-services/ (следовать по картинкам под Установка AD CA в Windows server 2016 для нужд Horizon 7:)

Конфигурируем SSL-коннектор нужного нам сервиса (фрагмент server.xml):

Для Egar Limits Manager: Путь: C:\Program Files\EGAR Limits Manager\conf),

Для Egar Connect: Путь: C:\Program Files\EGAR Connect\conf),

Для Egar Report Service: Путь: C:\Program Files\EGAR Report Service\conf)

Инструкция по подписи сертификата для Nginx

На сервере с ezdoc выполнить следующие команды для генерации запроса на подпись

в рабочем каталоге ezdoc создать каталог ssl для хранения сертификатов mkdir /opt/ezdoc/ssl/

keytool -genkey -alias ezdoc -keyalg RSA -keystore /opt/ezdoc/ssl/keystore.p12 -storetype PKCS12 -ext san=dns:cbrelease-ezdoc

где -ext san=dns:полное доменное имя

keytool -certreq -keyalg RSA -alias ezdoc -file /opt/ezdoc/ssl/ezdoc.csr -keystore /opt/ezdoc/ssl/keystore.p12 -ext san=dns:cbrelease-ezdoc

openssl pkcs12 -nocerts -nodes -in keystore.p12 -out ezdoc.key

Перенести все созданные ключи в каталог на сервер Active Directory Certificate Services (AD CS)

Подписать сертификат в командной строке 

certreq -submit -attrib “CertificateTemplate: WebServer” \\dns_name\keystore\ezdoc.csr \\dns_name\keystore\ezdoc.cer

Инструкция по установке сертификата в ezdoc

В рабочий каталог /opt/ezdoc подложить два файла default.conf https.conf 

Открыть на редактирование default.conf и поменять в нем server_name на соответствующий в hostname 

Открыть на редактирование  https.conf и поменять в нем server_name на соответствующий в hostname 

Открыть на редактирование docker-compose.yml привезти его к виду:

version: '3'
services:

    ezdoc-frontend:
        image: harbor.egartech.com/backoffice/ezdoc-frontend:release        ports:

            – 80:80

    ezdoc-backend:
        image: harbor.egartech.com/backoffice/ezdoc-backend:release        env_file: ezdoc.env        ports:

            – 8080:8080

Материалы

Источник: https://confluence.egartech.com/x/uAPbAg

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.