SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Self Signed Zertifikate haben den Nachteil, dass der Browser – ohne manueller Interaktion – die Website als nicht vertrauenswürdig einstuft. Ein grässliches Bild. Es muss eine Zertifizierungsstelle her: für die WLAN Authentifizierung, für den Intranet Webserver und für andere Dienste. Und der Browser soll nicht mehr meckern. In diesem Artikel wird Step-by-Step die Installation einer Active Directory integrierten Zertifizierungsstelle durchgeführt.

Vorwort zur Serie

Diese Serie bezieht sich auf die Konfiguration einer One-Tier Root CA in einer Active Directory Domäne. Für Neulinge in Bezug auf Zertifikate empfehle ich als Einführung meinen Artikel Cyber Security – Pen Testing (Teil 4): Zertifikate und PKI. Dieser Artikel ist Teil 1 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Installation der Serverrolle

Ich verwende für die Installation der CA (Certification Authority) einen Windows Server 2016, welcher auch als Domain-Controller fungiert. In einer Produktionsumgebung empfehle ich die Installation auf einem Member-Server durchzuführen. Alle Punkte können auch auf einem Windows Server 2012 ausgeführt werden.

Im Server-Manager “Rollen und Features hinzufügen” auswählen.

1.PNG

Weiter klicken.

2.PNG

Rollenbasierte oder featurebasierte Installation auswählen.

3a.PNG

Bei Zielserver die Standardeinstellung belassen.

4.PNG

Bei Serverrolle muss Active Directory-Zertifikatsdienste gewählt werden.

5a.PNG

Die Remoteserver-Verwaltungstools sollten mitinstalliert werden.

6a.PNG

Es sind keine weiteren Features nötig. Weiter klicken.

7x

Ein wichtiger Hinweis: Der Name des Computers kann nach der Installation nicht mehr geändert werden.

8.PNG

Bei Rollendienste muss die Rolle Zertifizierungsstelle gewählt werden.

9a.PNG

Alles überprüfen und auf Installieren klicken.

10a.PNG

Die Installation ist abgeschlossen.

11a.PNG

Zertifizierungsstelle (CA) installieren

Nach dem Abschluss der Installation der Serverrolle muss die CA konfiguriert werden. Dafür klickt man auf den Link im Server-Manager.

12a.PNG

Jetzt muss sichergestellt sein, dass die Rechte ausreichen, um eine CA in Betrieb zu nehmen. Der Benutzer muss Mitglied der Gruppe Organisations-Admins (Enterprise-Admins) sein.

13a.PNG

Danach wählt man Zertifizierungsstelle.

14a.PNG

Wie anfangs beschreiben wird eine Active Directory integrierte CA installiert. Daher muss hier Unternehmenszertifizierungsstelle gewählt werden.

15a.PNG

Da es keine andere CA gibt, wählt man Stammzertifzierungsstelle.

16a.PNG

Wir benötigen für eine Root-CA einen neuen privaten Schlüssel.

17a.PNG

SHA1 wird nicht empfohlen. SHA256 sollte ausreichen. Das wird auch vorgeschlagen.

18a.PNG

Hier wählt man einen Namen für die CA. In meinem Fall CA-PAGR.

19a.PNG

Die Gültigkeitsdauer  kann erhöht werden.  Sollte die Gültigkeit ablaufen muss das Zertifikat neu erstellt werden.

20

Den Speicherort der Datenbank bestätigen.

21.PNG

Wichtig: Bevor man auf Konfigurieren klickt sollte man sich alle Eingaben noch einmal genau durchlesen, vor allem den Hashalgorithmus und den Namen der CA.

22a.PNG

Ein grünes Häkchen ist ein gutes Zeichen.

23a.PNG

Fertig.

Erste Schritte

Im Server-Manger unter Tools – Zertifizierungsstelle kann man das Snap-In zur Verwaltung der CA öffnen. Oder man gibt in Ausführen certsrv.msc ein.

24.PNG

Und schon erscheint die neue CA. Es sind auch bereits einige Zertifikatsvorlagen vorkonfiguriert.

25.PNG

Öffnet man auf einem Domain-Controller der Domäne adsiedit.msc dann kann man in der Konfigurationspartition des Forest die CA unter “CN=Konfiguration,CN=Services,CN=Public Key Services,CN=Certification Authorities” finden.

26.PNG

Überprüfung der Client-Computer

Auf den Client-Computern der Domäne sollte – spätestens nach einem Neustart – das Zertifikat der neuen CA in den Vertrauenswürdigen Stammzertifizierungsstellen auftauchen. Um das zu überprüfen gibt man am Client oder auf einem Member-Server in Ausführen certmgr.msc ein.

27.PNG

Unter Vertrauenswürdige Stammzertifizierungsstellen – Zertifikate befindet sich der Public Key der neu installierten CA. Das Root Zertifikat wird per GPO an alle Client-Computer verteilt.

When you install an enterprise root CA, it uses Group Policy to propagate its certificate to the Trusted Root Certification Authorities certificate store for all users and computers in the domain.

Quelle: https://msdn.microsoft.com/en-us/microsoft-r/cc776874

28a.PNG

Damit ist sichergestellt, dass alle Active Directory Computer der CA vertrauen. Sollte nun von dieser CA ein Webserver-Zertifikat für die Intranet Homepage ausgestellt werden, so vertraut der Browser dem Webserver-Zertifikat und die Meldung, dass die Seite nicht vertrauenswürdig ist, bleibt aus.

Weiter gehts in Teil 2: Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung


15 Comments

  1. […] unter Windows implementieren möchte, dem empfehle ich meine Serie, bestehend aus 8 Teilen: Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA. (Einige Teil-Links finden sich hier verstreut schon im […]

    Like

  2. […] verwendet werden. Ein Zertifikat könnte von einer Root CA unter Windows Server wie im Artikel Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA beschrieben bezogen […]

    Like

  3. […] Danach kommt möglicherweise eine Abfrage, ob Sie dieser Verbindung vertrauen. Bestätigen Sie mit Ja. Die Verbindung wird hergestellt. Tipp: Die Zertifikatsmeldung ist eine nervige Sache. Abhilfe schafft die Installation einer Zertifzierungsstelle: Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA. […]

    Like

  4. […] Einziger Schönheitsfehler: Es besteht ein Problem mit dem Zertifikat. Das Zertifikat wurde selbst erstellt, daher vertraut der Browser dem Zertifikat nicht. Lösung: Zertifikat kaufen, oder manuell das Zertifikat zu den Vertrauenswürdigen Stammzertifizierungsstellen hinzufügen, oder wie oben erwähnt eine eigene CA installieren: Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA. […]

    Like

  5. […] Beim Test des Zugriffs über Port 80 (http) öffnet sich die Standard-Webseite. Wer die Seite über 443 erreichbar machen möchte, dem empfehle ich die Installation einer CA: Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com