PKI opzetten in Windows 2008: Single tier Root CA

Hallo allemaal,

Voor een afstudeeropdracht is het nodig dat ik een PKI ga bouwen. Het mag een hele simpele PKI zijn; de enige vereiste is dat het doet wat het moet doen; certificaten uitgeven.

Ik heb het boek van Brian Komar gelezen hierover (Windows Server 2008 PKI and Certificate Security). In hoofdstuk 6 wordt het implementeren van een CA hierarchie behandeld. In dit hoofdstuk staat ook een implementatie voor een single tier Root CA.

Deze 'handleiding' heb ik gevolgd, maar ik loop toch een beetje vast. In het boek wordt o.a. genoemd:

-Maken/opzetten CApolicy.inf file
-Pre installation configuration batch files (Niet nodig voor single tier)
-Post installation configuration batch files

De CAPolicy.inf file ziet er als volgt uit:

[version]
Signature="$Windows NT$"

[certsrv_server]
renewalkeylength=2048
RenewalValidityPeriodUnits=10
RenewalValidityPeriod=years

CRLPeriod=days
CRLPeriodUnits=2
CRLDeltaperiodUnits=12
CRLDeltaPeriod=hours

LoadDefaultTemplates=0


De post installation batch file ziet er als volgt uit:

@echo off
::Declare Configuration NC
certutil -setreg CA\DSConfigDN CN=Configuration,DC=bovens,DC=com

::Define CRL Publication Intervals
certutil -setreg CA\CRLPeriodUnits 2
certutil -setreg CA\CRLPeriod "Days"
certutil -setreg CA\CRLDeltaPeriodUnits 12
certutil -setreg CA\CRLDeltaPeriod "Hours"

::Apply the default CDP Extension URLs
certutil -setreg CA\CRLPublicationURLs
"65:%windir%\system32\CertSrv\CertEnroll\\%%3%%8%%9.crl\n79:ldap:///
CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://%%1/
CertEnroll/%%3%%8%%9.crl

::Apply the default AIA Extension URLs
certutil -setreg CA\CACertPublicationURLs
"1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public
Key Services,CN=Services,%%6%%11\n2:http://%%1/CertEnroll
%%1_%%3%%4.crt"

::enable all auditing events for the enterprise root CA
certutil -setreg CA\AuditFilter 127

::Set Validity Period for Issued Certificates
certutil -setreg CA\ValidityPeriodUnits 2
certutil -setreg CA\ValidityPeriod "Years"

::Restart Certificate Services
net stop certsvc & net start certsvc
sleep 5
certutil -crl

In dit batch bestand zie ik dat de CRL distribution points worden geconfigureerd, net als het certificaat voor de CA. Met het laatste blokje zie ik dat de certificate services opnieuw worden opgestart en dat de CRL bestanden worden gepubliceerd.

Als eerste kopieer ik het CAPolicy.inf bestand naar de windows directory. Hierna start ik de installatie van de Certificate Services in Active Directory. Dit is nogal recht toe, recht aan en niet erg moeilijk.

Na de installatie start ik het postinstallation batch file.

In het boek staan dan nog wel wat dingen over auditing enablen, maar verder vind ik niks voor een single tier CA hoe ik de certificaten moet gaan uitgeven. Ik heb al wel bij de template certificaten zitten kijken, wat aangepast (zoals de rechten voor de users, forest admins of computers, op enroll en/of autoenroll gezet) en vervolgens ook een aantal op issuing gezet, maar is dit alles? Ik kan me bijna niet voorstellen dat dit alles is namelijk en dat ik nog iets (of veel) over het hoofd zie.

Wie kan mij een beetje in de goede richting helpen? Alvast erg bedankt.

hans_lenze schreef op maandag 05 december 2011 @ 02:10:
Heb je hier iets aan?

http://technet.microsoft....rary/ff829847(WS.10).aspx

De step-by-step guide van MS.

Bedankt voor de link. Dit heb ik gisteren ook door zitten lezen, tot nu toe heb ik die stappen genomen, zij het met het voorbeeld van Brian Komar.

Vanavond denk toch nog eens in het boek duiken om erachter te komen wat er mis gaat

alt-92 schreef op maandag 05 december 2011 @ 18:03:
[...]

En hoe zou dat proces anders zijn dan volgens jou dan met een 2 of 3-tier model?

De PKI die ik moet bouwen heeft de simpele randvoorwaarde dat het moet werken. Period.

In het boek van Brian Komar worden dus idd de single tier, 2 tier, 3 tier en 4 tier ontwerpen behandeld. Ik kan me goed voorstellen dat je als kleine organisatie een PKI wilt die helemaal geen 'fancy' fratsen hoeft te hebben zoals bij 2, 3 of 4 tier.

Dus....is ook de opzet, ofwel het ontwerp anders. Dat de stappen om het te installeren niet anders zijn dat zal best, maar ik loop dus na de CAPolicy.inf file, de post installation file, het installeren van de certificate services van AD vast. Ik weet dan niet hoe ik de PKI verder zo moet configureren dat het werkt.

Ondertussen heb ik al wel verschillende dingen gevonden op internet. Zo ben ik in de PKI MMC gaan kijken en kon ik de templates managen. Ik heb wat verschillende templates gemaakt voor de Admin groepen op Enterprise niveau en voor de gebruikers op Domain niveau.

De templates heb ik op issue gezet (bij de map issuing certificates). Ik heb ook de rechten voor de admins en users aangepast in die zin dat ze op enroll en autoenroll staan.

Toen heb ik met een Windows XP client aangemeld op het domain, maar het account wat ik gebruikte (admin account op de domain controller) verkreeg geen certificaat.

Ik weet dus dat er ergens iets over het hoofd is gezien of dat ik iets heb gemist. De vraag is dus eigenlijk: wie heeft er (veel) ervaring met een PKI opzetten en weet, na het lezen van mijn topic berichten, wat ik vergeten ben of verkeerd doe?

Volgens mij moet het namelijk niet zo moeilijk zijn??

alt-92 schreef op woensdag 07 december 2011 @ 21:09:
Ik zou ook eens gaan kijken naar je autoenroll Group Policy instellingen.


[afbeelding]

Dit bleek dus de laatste stap te zijn (gevonden op MS website, step by step guide, andere dan de link die hier gepost werd) en toen ik dat gedaan had werkte het dus.

Nu heb ik dus een werkende PKI!

OK13 schreef op woensdag 07 december 2011 @ 08:16:
Heb je de online responder wel geinstaleerd? Zonder kun je alleen handmatig certificaten uitgeven met bijvoorbeeld certutil.

Staat er ook niets in het log van je xp machine en pki server???

Ik kan nu ook certificaten uitgeven zonder gebruik van certutil.

Maar kun je met de online responder dus echt alles geautomatiseerd maken qua uitgifte? Want ik dacht dat de online responder alleen voor (directe) controle in de certificate database van geldigheid voor certificaten is bedoeld.