Utforma och implementera AD CS
- 14 minuter
Det är viktigt att se till att du utformar din interna ca på ett optimalt sätt. Din design kommer att få betydande konsekvenser för säkerhets- och driftsaspekterna i din PKI-miljö.
Utforma EN AD CS-baserad hierarki
Innan du implementerar AD CS bör du först utforma ca-hierarkin. Som en del av din design bör du bestämma hur många CA-nivåer du behöver och vad som ska vara syftet med ca:en på varje nivå. Vi rekommenderar inte att du skapar en CA-hierarki djupare än tre nivåer, såvida den inte är i en komplex, mycket säker eller distribuerad miljö. Oftast har CA-hierarkier två nivåer, med rotcertifikatutfärdare på den översta nivån och en underordnad, som utfärdar CA på den andra nivån. Vanligtvis använder du rotcertifikatutfärdarcertifikatutfärdarna för att skapa CA-hierarkin. I sådana fall förblir rotcertifikatutfärdare offline medan du förlitar dig på att den underordnade certifikatutfärdare utfärdar och hanterar certifikat.
Kommentar
En ca-hierarki med flera nivåer är inte obligatorisk. För mindre, mindre komplexa miljöer kan du bara implementera en rotcertifikatutfärdare. I sådana fall tillhandahåller rotcertifikatutfärdarcertifikatutfärdare även certifikatutfärdar- och hanteringsfunktioner.
Några mer komplexa CA-designar är:
- CA-hierarkier med en princip-CA. Principcertifikatutfärdare är underordnade certifikatutfärdare som finns direkt under rotcertifikatutfärdare och över andra underordnade certifikatutfärdare i en CA-hierarki. Du använder principcertifikatutfärdare för att utfärda CA-certifikat till deras underordnade certifikatutfärdare. CA-certifikaten återspeglar de principer och procedurer som en organisation implementerar för att skydda sin PKI, de processer som verifierar identiteten för certifikatinnehavare och de processer som tillämpar de procedurer som hanterar certifikat. En principcertifikatutfärdare utfärdar endast certifikat till andra certifikatutfärdare. De certifikatutfärdare som tar emot dessa certifikat måste upprätthålla och framtvinga de principer som principcertifikatutfärdare har definierat. Att använda princip-CA:er är inte obligatoriskt om inte olika avdelningar, sektorer eller platser i din organisation kräver olika utfärdandeprinciper och procedurer. En organisation kan till exempel implementera en princip-CA för alla certifikat som den utfärdar internt till anställda och en annan princip-CA för alla certifikat som den utfärdar till leverantörer.
- CA-hierarkier med korscertifieringsförtroende. I det här scenariot samverkar två oberoende CA-hierarkier när en certifikatutfärdare i en hierarki utfärdar ett korscertifierat CA-certifikat till en certifikatutfärdare i en annan hierarki. När du gör det upprättar du ömsesidigt förtroende mellan olika CA-hierarkier.
Fristående jämfört med företagscertifikatutfärdare
När du använder AD CS kan du distribuera två typer av certifikatutfärdare: fristående och företag. Dessa typer av certifikatutfärdare handlar inte om hierarki, utan i stället om funktioner och integrering med AD DS. En fristående ca är inte beroende av AD DS. En företags-CA kräver AD DS för att tillhandahålla ytterligare funktioner, till exempel automatisk registrering. Med automatisk registrering kan domänanvändare och domänanslutna enheter registrera sig automatiskt för certifikat när du har aktiverat automatisk certifikatregistrering via grupprincip.
I följande tabell beskrivs de viktigaste skillnaderna mellan fristående certifikatutfärdare och företagscertifikatutfärdare.
Egenskap
Fristående CA
Företagscertifikat
Typisk användning
Du använder vanligtvis en fristående certifikatutfärdare för offline-certifikatutfärdare.
Du använder vanligtvis en företagscertifikatutfärdare för att utfärda certifikat till användare, datorer och tjänster. Du kan inte använda den som en offline-CA.
AD DS-beroenden
En fristående ca är inte beroende av AD DS.
En företags-CA förlitar sig på AD DS som konfigurations- och registreringsdatabas. En företagscertifikatutfärdare använder också AD DS för att publicera certifikat och deras metadata.
Metoder för certifikatbegäran
Användare kan endast begära certifikat från en fristående certifikatutfärdare med hjälp av en manuell procedur eller webbregistrering.
Användare kan begära certifikat från en företagscertifikatutfärdare med manuell registrering, webbregistrering, automatisk registrering, registrering för räkning och webbtjänster
Certifikatutfärdningsmetoder
En CA-administratör måste godkänna alla begäranden manuellt.
Certifikatutfärdare kan utfärda certifikat eller neka certifikatutfärdande automatiskt baserat på en certifikatutfärdares administratörsdefinierade anpassade konfiguration.
En rotcertifikatutfärdare för företag är det vanligaste valet när du distribuerar en enskild certifikatutfärdare i en AD DS-miljö. Om du distribuerar en hierarki med två nivåer med en underordnad certifikatutfärdare i en AD DS-miljö bör du överväga att använda en fristående rotcertifikatutfärdare som rotcertifikatutfärdare. På så sätt kan du ta det offline utan att påverka processen med att hantera certifikat för domänanvändare och domänanslutna enheter.
Ett annat att tänka på är installationstypen för operativsystemet. Både skrivbordsmiljön och Server Core-installationsscenarierna stöder AD CS. Server Core minimerar potentiella skadliga hackerytor och underhållskostnader för operativsystemet, vilket gör det till det optimala valet för AD CS i en företagsmiljö.
Dessutom bör du komma ihåg att du inte kan ändra datornamn, domännamn eller medlemskap i datordomäner när du har distribuerat en certifikatmottagare av någon typ på datorn. Därför är det viktigt att konfigurera de här inställningarna före distributionen.
Det finns också vissa överväganden som är specifika för distribution av en fristående rotcertifikatutfärdare offline:
- Innan du utfärdar ett underordnat certifikat från rotcertifikatutfärdare måste du ange minst en distributionsplats för listan över återkallade certifikat (CDP) och en AIA-plats som är tillgänglig för alla klienter. Det beror på att en fristående rotcertifikatutfärdare som standard har CDP och AIA på sig själv. När du tar bort rotcertifikatutfärdare från nätverket misslyckas därför en återkallningskontroll eftersom CDP- och AIA-platserna inte är tillgängliga. När du definierar dessa platser bör du manuellt kopiera CRL- och AIA-information till den platsen.
- Ange en giltighetsperiod för CRL:er som rotcertifikatutfärdare publicerar till en lång tidsperiod, till exempel ett år. Det innebär att du måste aktivera rotcertifikatutfärdare en gång per år för att publicera en ny CRL och sedan måste du kopiera den till en plats som är tillgänglig för klienter. Om du inte gör det misslyckas även återkallningskontrollerna för alla certifikat när crl-certifikatet på rotcertifikatutfärdare upphör att gälla.
- Använd grupprincip för att publicera rotcertifikatutfärdarcertifikatet till ett betrott rotcertifikatutfärdararkiv på alla server- och klientdatorer. Du måste göra detta manuellt eftersom en fristående ca inte kan göra det automatiskt, till skillnad från en företags-CA. Du kan också publicera rotcertifikatutfärdarcertifikatet till AD DS med hjälp av kommandoradsverktyget certutil.
Demonstration
Följande video visar hur du:
- Konfigurera förutsättningar för en rotcertifikatutfärdare för företag.
- Distribuera en företagsrot-CA.
De viktigaste stegen i processen är:
- Skapa en AD DS-miljö. Skapa en AD DS-skog med en domän.
- Konfigurera förutsättningar för en rotcertifikatutfärdare för företag. Installera de serverroll- och serverrollstjänster som krävs.
- Distribuera en företagsrot-CA. Konfigurera inställningar för företagets rotcertifikatutfärdarcertifikatutfärdarorganisation.