Tervezés és CDP AIA kiterjesztések - PKI bővítmények
Megjegyzés: Mielőtt bármilyen változás, a jelen bejegyzést biztos, hogy egy biztonsági másolatot.
A legtöbb adminisztrátorok telepítésekor szerepek Active Directory Certificate Services (AD CS) nagyon könnyen Next -> Next ->. -> profit. Egyrészt ez jó, de gyakran ez nem túl jó. Mi a jó -, hogy működni fog. Mi a rossz - a megjelenése néhány különleges feltételek (például a külső az erdő jelenlegi ügyfelek) elkezd dolgozni kevesebb és még veszti működőképes. Ma azt tervezi, hogy ezeket a kérdéseket, mint nestanadrtnye ügyfelek (nem támogatják az LDAP), és külső ügyfelek, különösen azért, mert ez elég gyakori eset.
A legelső ajánlás lenne, hogy nem szükséges telepíteni az IIS CA szerver (ha van csak egy szerver a hálózat). Amikor telepíti az Active Directory szerepet varázsló kéri telepíti az IIS HTTP linkek CRT és CRL-fájlokat. Úgy vélem, hogy a jelenléte a belső és / vagy külső webszerver telepíthető más CA szerver - egy hülye ötlet. Meg ezáltal egyszerűen add magad extra munkát, és nem megoldani bizonyos problémákat. Telepítése új szerep növeli a támadási felületet a támadók, időt vesz igénybe a rendszergazdák, növeli a költségeit IIS, hogy megvédje a szervezetet, és nem foglalkozik azzal a kérdéssel szolgáló külső ügyfelek a kiadvány a CA szerver az interneten (bár csak IIS szerepet. Egy sikeres támadás, akkor azt is átveheti az irányítást az egész szerver ) ötlet annyira buta és szerencsétlen, hogy nem kívánta figyelembe kell venni. Hiszem, hogy a szerver mellett a szerepe CA CA semmi ne legyen. Ezért, amikor telepíti a CA szerepet bölcsen visszautasítani. Helyette inkább egy dedikált webszerver, ami valószínűleg meg a cég. Ugyanakkor azt is futtatható bármilyen operációs rendszer, bár linupsa. Ez lesz írva az alábbiakban.
Már tárgyalt általános problémáit a hibát egyik korábbi hozzászólások: CRL Distribution Points és Hatóság Information Access. A fent leírt okokból ezen a poszton nagyon szigorúan Scrollsaw minden utalást LDAP.
- A szükséges lépéseket a helyzet a friss telepítés szerepének CA termelt megjelenése előtt az első tanúsítványt.
Ezzel a lépéssel, akkor megszünteti a használata LDAP hivatkozások, amelyek nagyon hasznos lehet számos típusú ügyfelek, mint például a mobil ügyfelek, vásárlók az interneten, az ügyfelek munkacsoportok és egyéb erdők, stb És azt is el kell hagyni az alapértelmezett HTTP linkeket, hogy pont a szerver CA
- Szükséges lépéseket, ha a CA szerver már kiadott tanúsítványokkal.
Ehhez futtassa a beépülő CertSrv.msc, CA tulajdonságokat választhat, és menj a lapon. Ezen a lapon lapozzunk a hivatkozásra, kezdve az LDAP: //. Vegye ki az összes kullancsot kivéve közzététele CRL erre a helyre és közzététele Delta CRL erre a helyre (ha azt tervezi, hogy használja a Delta CRL). És azt is távolítsa el a HTTP linkek mutatnak a szerver maga CA. A módosítások mentéséhez és indítsa újra a Certificate Services szolgáltatást.
Ezzel a lépéssel, felfüggesztettük a kiadói LDAP és HTTP kapcsolatokat az újonnan kibocsátott tanúsítványok. Azonban már dolgozunk PKI infrastruktúra, ezért a korábban kiadott tanúsítványok tartalmaznak linkeket LDAP. Annak érdekében, hogy a hatékonyság, továbbra is közzéteszi CRT / CRL-fájlokat LDAP.
Kis vbrosik. Úgy gondolom, hogy sok, észrevette, hogy a fájl nevét. Például az alapértelmezett neve CRT formátuma a következő:
Ugyanez is alkalmazni kell a CRL. Bekezdéssel összhangban § 3.2.5.1.6 protokoll specifikációjától [MS-csrA]:
1.Amikor ez a módszer kerül alkalmazásra, a CA létre kell hozni egy új bázis és / vagy delta CRL egyes CA kulcs, ahogyan azt az alábbi lépéseket 2, 3, 4, 5, 6, és 7. típusú CRL létrehozni (bázis, delta, vagy mindkettő) az egyes CA kulcsot a következőképpen határozzuk meg:<38>
A CA létre kell hozni egy új bázis CRL egyes CA kulcsot.
Ha a CA lehetővé tette delta CRL, amint azt a nulla Config_Delta_CRL_Validity_Period értéket, a CA kell hozni egy új delta CRL mellett egy új bázis CRL, minden CA kulcsot.
Ha delta CRL jelenleg le van tiltva (Config_Delta_CRL_Validity_Period 0), és engedélyezve van a korábban (Previous_Delta_CRL_Validity_Period nem nulla), a CA kell hozni egy új delta CRL mellett egy új bázis CRL egyes CA kulcsot.
A Web szerver, hozzon létre egy mappát minden nevét (pl PKI neve), amelyben tárolni a fájlokat. Rassharte ezt a mappát, és add meg az írási engedélyt a számítógép számla, amelyen fut a szerver CA. Így úgy vélik, hogy a jogokat a szerkeszteni kívánt szintjén NTFS jogok és megosztási engedélyek. Elvileg a jogot, hogy létrehozott fájlok / írása adat elegendő a feladat. Az IIS, hozzon létre egy virtuális könyvtár és elérési útvonalát, és adja meg azt a mappát, amely tárolja a CRT / CRL fájlok bármilyen webhelyen.
Mivel mi közzé a fájlokat egy dedikált web szerver, meg kell szerkeszteni a kiterjesztéseket kell. Fuss a bepattanó CertSrv.msc, CA tulajdonságokat választhat, és menj a lapon. Kattintson a Hozzáadás gombra a Hely mezőbe írja be az útvonalat a következő formában:
Amit kiemelt egyik kötelező eleme a CRL-fájl nevét. A többi az ízlése. És állítsa be a jelölőnégyzetek a Publish CRL erre a helyre és közzététele Delta CRL erre a helyre (ha azt tervezi, hogy használja a Delta CRL). Ha Delta CRL kiszolgáló CA nem fogja használni,
Most van hozzá egy link, amely megjelenik a kibocsátott tanúsítványok. Ehhez egy új HTTP linket, ami pont az, mint például a Web szerver:
És tegye a jelölések: Tartalmazza a CDP bővítmények kiadott tanúsítványok és tartalmazza a CRL. Az ügyfelek ennek alapján találja Delta CRL helyek (ha használ Delta CRL).
Ugyanez történik a bővítése AIA, hogy a típusú kapcsolat:
És kullancs Tartalmazza az AIA kiterjesztése kiadott tanúsítványokat. Mint már mondtam, nem lehet, hogy automatikusan közzé CRT nem a megszokott helyen, így manuálisan kell nevezni.
Megjegyzés: A fizikai fájlnevek azonosnak kell lennie a nevét a HTTP kapcsolat.
Elvileg, a végén meg kell kap valamit, mint ez a fajta kapcsolatok és létrehozta a kullancsokat:
CDP - új telepítés
C: \ WINDOWS \ system32 \ Certsrv \ CertEnroll \
Adja CRL erre a helyre
Adja Delta CRL erre a helyre
file: // \\ WebServerName \ pki \ Company_RCA
Adja CRL erre a helyre
Adja Delta CRL erre a helyre
CDP - örökölt telepítési
C: \ WINDOWS \ system32 \ Certsrv \ CertEnroll \
Adja CRL erre a helyre
Adja Delta CRL erre a helyre
Megjegyzés: nem törli ezt így, mert a szerver által használt magát CA.
file: // \\ WebServerName \ pki \ Company_RCA
Adja CRL erre a helyre
Adja Delta CRL erre a helyre
ldap: /// CN =
Adja CRL erre a helyre
Adja Delta CRL erre a helyre
AIA - a régi és új berendezések
C: \ WINDOWS \ system32 \ Certsrv \ CertEnroll \
nincs kullancsok. Változatlan marad.
Nem hívom, és azonnal rohan, hogy újra mindent. Ezek az ajánlások csak természetének megértése a problémát, és hogyan lehet megoldani. Segítségükkel ha szükséges, akkor kézzel készít tervet a változás CDP és AIA kiterjesztéseket.