Gary Blok

18. Mai 2020

Aufbau eines CM-Labors – Zertifizierungsstelle [3]

Series Post 3, Hinzufügen einer Zertifizierungsstelle zu Ihrem Labor (erfordert zuerst die Einrichtung eines DC), für Ihre Umgebung völlig optional.

Dies ist ein Bonus, Sie können in Ihrem Labor alles tun, was Sie wollen, ohne diese Funktion, aber raten Sie mal, wenn Sie etwas tun, das HTTPS benötigt, macht eine eigene Zertifizierungsstelle (CA) dies so viel einfacher.

Das Erstellen einer CA ist einfach, Sie wählen die Rolle aus und klicken einige Male auf Weiter. Ich füge es meinem DC hinzu, da es ein einfacher Ort ist, es zu platzieren.

Hinzufügen von Rollen und Features Serverrollen — Sie aktivieren das Kontrollkästchen "Active Directory-Zertifikatdienste, wodurch dieses Dialogfeld angezeigt wird. Klicken Sie auf "Features hinzufügen".

Assistent zum Hinzufügen von Rollen und Funktionen — Dies ist Standard

AD CS-Konfiguration — Standardeinstellungen

Privater Schlüssel der AD CS-Konfiguration

AD CS-Konfigurationskryptografie — Ich habe die Standardeinstellungen hier belassen

Name der AD CS-Konfigurationszertifizierungsstelle

Gültigkeitszeitraum der AD CS-Konfiguration

Datenbank für AD-CA-Konfigurationszertifikate

Ok, jetzt haben wir unsere CA eingerichtet und konfiguriert. Nichts Besonderes, jetzt können wir eine Cert-Vorlage erstellen. In diesem Beispiel erstelle ich eine Zertifikatsvorlage zur Verwendung mit unserem Recast Management Server Webserver, die im Grunde für jeden Webserver gleich ist.

Zertifizierungsstelle starten — Zertifizierungsstelle über das Tools-Menü starten

Vorlage für die Zertifizierungsstelle — Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten

Zertifikatvorlagenkonsole — Wir werden ein Duplikat der zu verwendenden Webserver-Vorlage erstellen

Eigenschaften der neuen Vorlage — Ich werde ihn Recast Webserver nennen

Recast Webserver-Eigenschaften — Unter Sicherheit habe ich eine AD-Gruppe „Web Server Cert Enrollment“ hinzugefügt und die Kästchen „Enroll & Autoenroll“ angekreuzt.

Eigenschaften der Webserver-Zertifikatregistrierung — In AD sind dies die Gruppe und die Mitglieder. Ich habe mehrere Server hinzugefügt, die das Zertifikat möglicherweise benötigen, und einer, von dem ich weiß, dass er dies sicher tut. Schließlich erhalten alle diese Server automatisch das Zertifikat, da sie auf die automatische Registrierung eingestellt sind.

Eigenschaften von Zertifikatadministratoren — Die Gruppe der Zertifikatsadministratoren, jeder in dieser Gruppe hat die Möglichkeit, dieses neue Zertifikat zu registrieren.

Nachdem dies erledigt ist, müssen Sie diese Zertifikate zu „Zertifikatvorlagen“ hinzufügen – Andernfalls erhalten Sie möglicherweise diesen Fehler:
“Die angeforderte Zertifikatsvorlage wird von dieser CA nicht unterstützt. Eine gültige Zertifizierungsstelle (CA), die zum Ausstellen von Zertifikaten basierend auf dieser Vorlage konfiguriert ist, kann nicht gefunden werden, oder die CA unterstützt diesen Vorgang nicht oder die CA ist nicht vertrauenswürdig.“

Das hat mich eine Weile verrückt gemacht, dann wurde mir klar, dass ich einen Schritt vergessen hatte. Alle von Ihnen duplizierten und erstellten Vorlagen, die diese CA herausgeben soll, müssen Sie hier hinzufügen: [Mehr Info]
,

Entschuldigung, die Namen haben sich geändert, ich habe dies nach dem ursprünglichen Beitrag bemerkt und füge dies aus meinem persönlichen Labor hinzu.

Jetzt können Sie sich auf dem Server registrieren und das Zertifikat hinzufügen.

In diesem Beispiel werde ich das Zertifikat auf dem Recast Management Server registrieren lassen, der unseren Recast Enterprise Server Web Service hostet.

Derzeit verwendet es sein selbst ausgestelltes Zertifikat, das dazu führt, dass Clients eine Warnung erhalten, wenn Sie versuchen, eine Verbindung herzustellen.

HTTPS Nicht sicher Warnung — Sie können hier sehen, dass es zwar HTTPS ist, aber eine „Nicht sicher“-Warnung ausgibt

Gehen Sie zu „Computerzertifikate verwalten“. Klicken Sie auf Persönlich mit der rechten Maustaste und wählen Sie „Alle Aufgaben“ und dann „Neues Zertifikat anfordern“.

Internetinformationsdienste-Manager IIS — Nachdem wir nun das Zertifikat verfügbar haben, teilen wir der Site unseres Recast-Servers mit, dass es unser neues Zertifikat verwenden soll
Öffnen Sie IIS, wählen Sie den Recast-Verwaltungsserver, klicken Sie auf Bindungen, klicken Sie dann auf „Bearbeiten“ und wählen Sie das ausgestellte Zertifikat aus.

Recast-Server — Und jetzt können Sie vom Client aus sehen, dass der Fehler verschwunden ist und keine Eingabeaufforderungen mehr vorhanden sind.

,
Jetzt haben wir also ein CA-Setup und haben es verwendet, um die Erfahrung auf unserem Recast-Managementserver zu verbessern. Langfristig ist geplant, HTTPS nur auf unserem CM-Server zu aktivieren. Dazu kommen wir in einem zukünftigen Beitrag.