Installation einer zweistufigen PKI unter Windows Server (Teil 2)

Im zweiten Teil geht es um die Installation und Konfiguration der Zwischenzertifizierungsstelle. Diese soll ins Active Directory integriert werden.

Installation der Zwischenzertifizierungsstelle

2stufige-pki-subca-setup-step01 2stufige-pki-subca-setup-step02
2stufige-pki-subca-setup-step03 2stufige-pki-subca-setup-step04
2stufige-pki-subca-setup-step05 2stufige-pki-subca-setup-step06
2stufige-pki-subca-setup-step07 2stufige-pki-subca-setup-step08
2stufige-pki-subca-setup-step09 2stufige-pki-subca-setup-step10
2stufige-pki-subca-setup-step11 2stufige-pki-subca-setup-step12
2stufige-pki-subca-setup-step13 2stufige-pki-subca-install-step01
2stufige-pki-subca-install-step02 2stufige-pki-subca-install-step03
2stufige-pki-subca-install-step04 2stufige-pki-subca-install-step05
2stufige-pki-subca-install-step06 2stufige-pki-subca-install-step07
2stufige-pki-subca-install-step08 2stufige-pki-subca-install-step09
2stufige-pki-subca-install-step10 2stufige-pki-subca-install-step11
2stufige-pki-subca-install-step12


Zertifikat der RootCA veröffentlichen

Zuerst die beiden Dateien (Zertifikat und Sperrliste) von der pki01 (C:\Windows\System32\CertSrv\CertEnroll) nach pki02 kopiert.

2stufige-pki-certenroll-rootca-step01

2stufige-pki-certenroll-rootca-step02
Anschließend wird das Zertifikat noch im Active Directory veröffentlicht.
2stufige-pki-certenroll-rootca-step03v2 2stufige-pki-certenroll-rootca-step04v2
2stufige-pki-certenroll-rootca-step05 2stufige-pki-certenroll-rootca-step06
2stufige-pki-certenroll-rootca-step07 2stufige-pki-certenroll-rootca-step08
2stufige-pki-certenroll-rootca-step09 2stufige-pki-certenroll-rootca-step10

Abschließend können die beiden Dateien in C:\Temp wieder gelöscht werden.

Konfiguration der Zwischenzertifizierungsstelle

Hier können die exakte Schritte aus Teil 1 wiederholt werden.


Zwischenzertifizierungstelle aktivieren

Nach der Installation der Rolle auf pki02 wurde die Datei C:\pki02.lab01.wydler.eu_lab01-PKI02-CA.req abgelegt. Diese beinhaltet die Zertifikatsanforderung für die Zwischenzertifizierungsstelle. Diese Datei wird nach C:\Temp auf pki01 kopiert. Nun kann wird die Zertifikatsanforderung in die RootCA importiert werden.

2stufige-pki-certenroll-subca-step01

2stufige-pki-certenroll-subca-step02
2stufige-pki-certenroll-subca-step03 2stufige-pki-certenroll-subca-step04
2stufige-pki-certenroll-subca-step05 2stufige-pki-certenroll-subca-step06
2stufige-pki-certenroll-subca-step07 2stufige-pki-certenroll-subca-step08
Die Datei C:\Temp\pki02.lab01.wydler.eu_lab01-PKI02.p7b muss jetzt auf pki02 (C:\Temp) verschoben werden.
2stufige-pki-certenroll-subca-step09 2stufige-pki-certenroll-subca-step10
2stufige-pki-certenroll-subca-step11 2stufige-pki-certenroll-subca-step12
2stufige-pki-certenroll-subca-step13

 

Parameter für die Sperrlistenveröffentlichung

2stufige-pki-crl-subca-step01

2stufige-pki-crl-subca-step02
2stufige-pki-crl-subca-step03 2stufige-pki-crl-subca-step04
2stufige-pki-crl-subca-step05
Falls sich jemand die Augen reibt, es sind zwei Sperrlisten der SubCA01 zu sehen. Die mit einem „+“ am Ende, stellt die Delta-Sperrliste dar.


Gültigkeitsdauer auszustellender Zertifikate

Standardwert sind 2 Jahre. Ich habe diesen Wert auf 3 Jahre angehoben, da dies aktuell auch bei käuflichen Zertifikaten das Maximum ist.
2stufige-pki-lifetime-subca-step01
Abschließend den Server pki02 neustarten.


Abschlussarbeiten

Nun steht die finale Prüfung an, ob z.B. die Sperrlisten oder Zertifikate abgerufen werden können. Dazu auf pki02 folgende Schritte durchführen:

2stufige-pki-checkup-step01 2stufige-pki-checkup-step02
2stufige-pki-checkup-step03 2stufige-pki-checkup-step04
2stufige-pki-checkup-step05 2stufige-pki-checkup-step06

Damit die Zertifikate/Sperrlisten sauber via Webserver abgerufen werden können, muss noch ein Filter aktiviert werden:
2stufige-pki-iis-step01

2stufige-pki-iis-step02

2stufige-pki-iis-step03
Fertig ist die Einrichtung und Basiskonfiguration einer zweistufigen PKI unter Windows Server.

Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x
Back to top