Installation einer zweistufigen PKI unter Windows Server (Teil 2)

Letzte Aktualisierung am 20.06.2020, 14:06:14 Uhr

Im zweiten Teil geht es um die Installation und Konfiguration der Zwischenzertifizierungsstelle. Diese soll ins Active Directory integriert werden.

Installation der Zwischenzertifizierungsstelle

2stufige-pki-subca-setup-step01 2stufige-pki-subca-setup-step02
2stufige-pki-subca-setup-step03 2stufige-pki-subca-setup-step04
2stufige-pki-subca-setup-step05 2stufige-pki-subca-setup-step06
2stufige-pki-subca-setup-step07 2stufige-pki-subca-setup-step08
2stufige-pki-subca-setup-step09 2stufige-pki-subca-setup-step10
2stufige-pki-subca-setup-step11 2stufige-pki-subca-setup-step12
2stufige-pki-subca-setup-step13 2stufige-pki-subca-install-step01
2stufige-pki-subca-install-step02 2stufige-pki-subca-install-step03
2stufige-pki-subca-install-step04 2stufige-pki-subca-install-step05
2stufige-pki-subca-install-step06 2stufige-pki-subca-install-step07
2stufige-pki-subca-install-step08 2stufige-pki-subca-install-step09
2stufige-pki-subca-install-step10 2stufige-pki-subca-install-step11
2stufige-pki-subca-install-step12


Zertifikat der RootCA veröffentlichen

Zuerst die beiden Dateien (Zertifikat und Sperrliste) von der pki01 (C:\Windows\System32\CertSrv\CertEnroll) nach pki02 kopiert.

2stufige-pki-certenroll-rootca-step01

2stufige-pki-certenroll-rootca-step02
Anschließend wird das Zertifikat noch im Active Directory veröffentlicht.
2stufige-pki-certenroll-rootca-step03v2 2stufige-pki-certenroll-rootca-step04v2
2stufige-pki-certenroll-rootca-step05 2stufige-pki-certenroll-rootca-step06
2stufige-pki-certenroll-rootca-step07 2stufige-pki-certenroll-rootca-step08
2stufige-pki-certenroll-rootca-step09 2stufige-pki-certenroll-rootca-step10

Abschließend können die beiden Dateien in C:\Temp wieder gelöscht werden.

Konfiguration der Zwischenzertifizierungsstelle

Hier können die exakte Schritte aus Teil 1 wiederholt werden.


Zwischenzertifizierungstelle aktivieren

Nach der Installation der Rolle auf pki02 wurde die Datei C:\pki02.lab01.wydler.eu_lab01-PKI02-CA.req abgelegt. Diese beinhaltet die Zertifikatsanforderung für die Zwischenzertifizierungsstelle. Diese Datei wird nach C:\Temp auf pki01 kopiert. Nun kann wird die Zertifikatsanforderung in die RootCA importiert werden.

2stufige-pki-certenroll-subca-step01

2stufige-pki-certenroll-subca-step02
2stufige-pki-certenroll-subca-step03 2stufige-pki-certenroll-subca-step04
2stufige-pki-certenroll-subca-step05 2stufige-pki-certenroll-subca-step06
2stufige-pki-certenroll-subca-step07 2stufige-pki-certenroll-subca-step08
Die Datei C:\Temp\pki02.lab01.wydler.eu_lab01-PKI02.p7b muss jetzt auf pki02 (C:\Temp) verschoben werden.
2stufige-pki-certenroll-subca-step09 2stufige-pki-certenroll-subca-step10
2stufige-pki-certenroll-subca-step11 2stufige-pki-certenroll-subca-step12
2stufige-pki-certenroll-subca-step13

 

Parameter für die Sperrlistenveröffentlichung

2stufige-pki-crl-subca-step01

2stufige-pki-crl-subca-step02
2stufige-pki-crl-subca-step03 2stufige-pki-crl-subca-step04
2stufige-pki-crl-subca-step05
Falls sich jemand die Augen reibt, es sind zwei Sperrlisten der SubCA01 zu sehen. Die mit einem „+“ am Ende, stellt die Delta-Sperrliste dar.


Gültigkeitsdauer auszustellender Zertifikate

Standardwert sind 2 Jahre. Ich habe diesen Wert auf 3 Jahre angehoben, da dies aktuell auch bei käuflichen Zertifikaten das Maximum ist.
2stufige-pki-lifetime-subca-step01
Abschließend den Server pki02 neustarten.


Abschlussarbeiten

Nun steht die finale Prüfung an, ob z.B. die Sperrlisten oder Zertifikate abgerufen werden können. Dazu auf pki02 folgende Schritte durchführen:

2stufige-pki-checkup-step01 2stufige-pki-checkup-step02
2stufige-pki-checkup-step03 2stufige-pki-checkup-step04
2stufige-pki-checkup-step05 2stufige-pki-checkup-step06

Damit die Zertifikate/Sperrlisten sauber via Webserver abgerufen werden können, muss noch ein Filter aktiviert werden:
2stufige-pki-iis-step01

2stufige-pki-iis-step02

2stufige-pki-iis-step03
Fertig ist die Einrichtung und Basiskonfiguration einer zweistufigen PKI unter Windows Server.

Abonnieren
Benachrichtige mich bei
1 Comment
neueste
älteste
Inline Feedbacks
View all comments
LDAP über SSL für Domain Controller aktivieren – Aus der IT – Praxis…
03.10.2022 12:29

[…] Installation einer zweistufigen PKI unter Windows Server (Teil 2) […]