Tervezés és CDP AIA kiterjesztések - PKI bővítmények

Megjegyzés: Mielőtt bármilyen változás, a jelen bejegyzést biztos, hogy egy biztonsági másolatot.

A legtöbb adminisztrátorok telepítésekor szerepek Active Directory Certificate Services (AD CS) nagyon könnyen Next -> Next ->. -> profit. Egyrészt ez jó, de gyakran ez nem túl jó. Mi a jó -, hogy működni fog. Mi a rossz - a megjelenése néhány különleges feltételek (például a külső az erdő jelenlegi ügyfelek) elkezd dolgozni kevesebb és még veszti működőképes. Ma azt tervezi, hogy ezeket a kérdéseket, mint nestanadrtnye ügyfelek (nem támogatják az LDAP), és külső ügyfelek, különösen azért, mert ez elég gyakori eset.

A legelső ajánlás lenne, hogy nem szükséges telepíteni az IIS CA szerver (ha van csak egy szerver a hálózat). Amikor telepíti az Active Directory szerepet varázsló kéri telepíti az IIS HTTP linkek CRT és CRL-fájlokat. Úgy vélem, hogy a jelenléte a belső és / vagy külső webszerver telepíthető más CA szerver - egy hülye ötlet. Meg ezáltal egyszerűen add magad extra munkát, és nem megoldani bizonyos problémákat. Telepítése új szerep növeli a támadási felületet a támadók, időt vesz igénybe a rendszergazdák, növeli a költségeit IIS, hogy megvédje a szervezetet, és nem foglalkozik azzal a kérdéssel szolgáló külső ügyfelek a kiadvány a CA szerver az interneten (bár csak IIS szerepet. Egy sikeres támadás, akkor azt is átveheti az irányítást az egész szerver ) ötlet annyira buta és szerencsétlen, hogy nem kívánta figyelembe kell venni. Hiszem, hogy a szerver mellett a szerepe CA CA semmi ne legyen. Ezért, amikor telepíti a CA szerepet bölcsen visszautasítani. Helyette inkább egy dedikált webszerver, ami valószínűleg meg a cég. Ugyanakkor azt is futtatható bármilyen operációs rendszer, bár linupsa. Ez lesz írva az alábbiakban.

Már tárgyalt általános problémáit a hibát egyik korábbi hozzászólások: CRL Distribution Points és Hatóság Information Access. A fent leírt okokból ezen a poszton nagyon szigorúan Scrollsaw minden utalást LDAP.

  • A szükséges lépéseket a helyzet a friss telepítés szerepének CA termelt megjelenése előtt az első tanúsítványt.

Ezzel a lépéssel, akkor megszünteti a használata LDAP hivatkozások, amelyek nagyon hasznos lehet számos típusú ügyfelek, mint például a mobil ügyfelek, vásárlók az interneten, az ügyfelek munkacsoportok és egyéb erdők, stb És azt is el kell hagyni az alapértelmezett HTTP linkeket, hogy pont a szerver CA

  • Szükséges lépéseket, ha a CA szerver már kiadott tanúsítványokkal.

Ehhez futtassa a beépülő CertSrv.msc, CA tulajdonságokat választhat, és menj a lapon. Ezen a lapon lapozzunk a hivatkozásra, kezdve az LDAP: //. Vegye ki az összes kullancsot kivéve közzététele CRL erre a helyre és közzététele Delta CRL erre a helyre (ha azt tervezi, hogy használja a Delta CRL). És azt is távolítsa el a HTTP linkek mutatnak a szerver maga CA. A módosítások mentéséhez és indítsa újra a Certificate Services szolgáltatást.

Ezzel a lépéssel, felfüggesztettük a kiadói LDAP és HTTP kapcsolatokat az újonnan kibocsátott tanúsítványok. Azonban már dolgozunk PKI infrastruktúra, ezért a korábban kiadott tanúsítványok tartalmaznak linkeket LDAP. Annak érdekében, hogy a hatékonyság, továbbra is közzéteszi CRT / CRL-fájlokat LDAP.

Kis vbrosik. Úgy gondolom, hogy sok, észrevette, hogy a fájl nevét. Például az alapértelmezett neve CRT formátuma a következő:

Ugyanez is alkalmazni kell a CRL. Bekezdéssel összhangban § 3.2.5.1.6 protokoll specifikációjától [MS-csrA]:

1.Amikor ez a módszer kerül alkalmazásra, a CA létre kell hozni egy új bázis és / vagy delta CRL egyes CA kulcs, ahogyan azt az alábbi lépéseket 2, 3, 4, 5, 6, és 7. típusú CRL létrehozni (bázis, delta, vagy mindkettő) az egyes CA kulcsot a következőképpen határozzuk meg:<38>

A CA létre kell hozni egy új bázis CRL egyes CA kulcsot.

Ha a CA lehetővé tette delta CRL, amint azt a nulla Config_Delta_CRL_Validity_Period értéket, a CA kell hozni egy új delta CRL mellett egy új bázis CRL, minden CA kulcsot.

Ha delta CRL jelenleg le van tiltva (Config_Delta_CRL_Validity_Period 0), és engedélyezve van a korábban (Previous_Delta_CRL_Validity_Period nem nulla), a CA kell hozni egy új delta CRL mellett egy új bázis CRL egyes CA kulcsot.

A Web szerver, hozzon létre egy mappát minden nevét (pl PKI neve), amelyben tárolni a fájlokat. Rassharte ezt a mappát, és add meg az írási engedélyt a számítógép számla, amelyen fut a szerver CA. Így úgy vélik, hogy a jogokat a szerkeszteni kívánt szintjén NTFS jogok és megosztási engedélyek. Elvileg a jogot, hogy létrehozott fájlok / írása adat elegendő a feladat. Az IIS, hozzon létre egy virtuális könyvtár és elérési útvonalát, és adja meg azt a mappát, amely tárolja a CRT / CRL fájlok bármilyen webhelyen.

Mivel mi közzé a fájlokat egy dedikált web szerver, meg kell szerkeszteni a kiterjesztéseket kell. Fuss a bepattanó CertSrv.msc, CA tulajdonságokat választhat, és menj a lapon. Kattintson a Hozzáadás gombra a Hely mezőbe írja be az útvonalat a következő formában:

Amit kiemelt egyik kötelező eleme a CRL-fájl nevét. A többi az ízlése. És állítsa be a jelölőnégyzetek a Publish CRL erre a helyre és közzététele Delta CRL erre a helyre (ha azt tervezi, hogy használja a Delta CRL). Ha Delta CRL kiszolgáló CA nem fogja használni, Ez teljesen el lehessen távolítani.

Most van hozzá egy link, amely megjelenik a kibocsátott tanúsítványok. Ehhez egy új HTTP linket, ami pont az, mint például a Web szerver:

És tegye a jelölések: Tartalmazza a CDP bővítmények kiadott tanúsítványok és tartalmazza a CRL. Az ügyfelek ennek alapján találja Delta CRL helyek (ha használ Delta CRL).

Ugyanez történik a bővítése AIA, hogy a típusú kapcsolat:

És kullancs Tartalmazza az AIA kiterjesztése kiadott tanúsítványokat. Mint már mondtam, nem lehet, hogy automatikusan közzé CRT nem a megszokott helyen, így manuálisan kell nevezni.

Megjegyzés: A fizikai fájlnevek azonosnak kell lennie a nevét a HTTP kapcsolat.

Elvileg, a végén meg kell kap valamit, mint ez a fajta kapcsolatok és létrehozta a kullancsokat:

CDP - új telepítés

C: \ WINDOWS \ system32 \ Certsrv \ CertEnroll \.CRL
Adja CRL erre a helyre
Adja Delta CRL erre a helyre

file: // \\ WebServerName \ pki \ Company_RCA.CRL
Adja CRL erre a helyre
Adja Delta CRL erre a helyre

CDP - örökölt telepítési

C: \ WINDOWS \ system32 \ Certsrv \ CertEnroll \.CRL
Adja CRL erre a helyre
Adja Delta CRL erre a helyre

Megjegyzés: nem törli ezt így, mert a szerver által használt magát CA.

file: // \\ WebServerName \ pki \ Company_RCA.CRL
Adja CRL erre a helyre
Adja Delta CRL erre a helyre

ldap: /// CN =, CN =, CN = CDP, CN = Public Key szolgáltatások, CN = Services,
Adja CRL erre a helyre
Adja Delta CRL erre a helyre

AIA - a régi és új berendezések

C: \ WINDOWS \ system32 \ Certsrv \ CertEnroll \_.katódsugárcső
nincs kullancsok. Változatlan marad.

Nem hívom, és azonnal rohan, hogy újra mindent. Ezek az ajánlások csak természetének megértése a problémát, és hogyan lehet megoldani. Segítségükkel ha szükséges, akkor kézzel készít tervet a változás CDP és AIA kiterjesztéseket.