Installation einer zweistufigen PKI unter Windows Server (Teil 2)

Letzte Aktualisierung am 20.06.2020, 14:06:14 Uhr

Im zweiten Teil geht es um die Installation und Konfiguration der Zwischenzertifizierungsstelle. Diese soll ins Active Directory integriert werden.

Installation der Zwischenzertifizierungsstelle

Zertifikat der RootCA veröffentlichen

Zuerst die beiden Dateien (Zertifikat und Sperrliste) von der pki01 (C:\Windows\System32\CertSrv\CertEnroll) nach pki02 kopiert.
Anschließend wird das Zertifikat noch im Active Directory veröffentlicht.

Abschließend können die beiden Dateien in C:\Temp wieder gelöscht werden.

Konfiguration der Zwischenzertifizierungsstelle

Hier können die exakte Schritte aus Teil 1 wiederholt werden.

Zwischenzertifizierungstelle aktivieren

Nach der Installation der Rolle auf pki02 wurde die Datei C:\pki02.lab01.wydler.eu_lab01-PKI02-CA.req abgelegt. Diese beinhaltet die Zertifikatsanforderung für die Zwischenzertifizierungsstelle. Diese Datei wird nach C:\Temp auf pki01 kopiert.	Nun kann wird die Zertifikatsanforderung in die RootCA importiert werden.
	Die Datei C:\Temp\pki02.lab01.wydler.eu_lab01-PKI02.p7b muss jetzt auf pki02 (C:\Temp) verschoben werden.

Parameter für die Sperrlistenveröffentlichung

Falls sich jemand die Augen reibt, es sind zwei Sperrlisten der SubCA01 zu sehen. Die mit einem „+“ am Ende, stellt die Delta-Sperrliste dar.

Gültigkeitsdauer auszustellender Zertifikate

Standardwert sind 2 Jahre. Ich habe diesen Wert auf 3 Jahre angehoben, da dies aktuell auch bei käuflichen Zertifikaten das Maximum ist.

Abschließend den Server pki02 neustarten.

Abschlussarbeiten

Nun steht die finale Prüfung an, ob z.B. die Sperrlisten oder Zertifikate abgerufen werden können. Dazu auf pki02 folgende Schritte durchführen:

Damit die Zertifikate/Sperrlisten sauber via Webserver abgerufen werden können, muss noch ein Filter aktiviert werden:

Fertig ist die Einrichtung und Basiskonfiguration einer zweistufigen PKI unter Windows Server.