it-swarm-tr.com

Çevrimdışı Kök ve Orta Düzey Sertifika Yetkilisi (CA) oluşturmaya ilişkin denetim listesi

Microsoft, CA'nın bu paketi desteklemeyen istemciler için Yeni Nesil Şifreleme (CNG) ve yumsuzluk sorunları hakkında tavsiyeler kullanmasına izin verir.

2008 R2 CA'sı için varsayılan şifreleme ayarlarının bir görüntüsü. Bu makine, etki alanına bağlı olmayan bir Bağımsız CA'dır:

Default Cryptography settings

İşte yüklü sağlayıcılar. CNG sağlayıcıları # işaretiyle işaretlenmiştir

enter image description here

Amacım, genel amaçlı bir çevrimdışı Root-CA'ya ve daha sonra belirli bir amaca hizmet eden birkaç Ara CA'ya sahip olmak (yalnızca MSFT-Unix'e karşı Akıllı Kartlar vs)

Süresi 5, 10 ve 15 yıl olan bir Kök Sertifika için ideal ayarlar nelerdir?

  1. CSP
  2. İmzalama Sertifikası
  3. Anahtar Karakter Uzunluğu

Bu bir RootCA olduğundan, parametrelerden herhangi biri düşük güçlü CPU'ları (mobil cihazlar) etkiler mi?

25

AD CS'ye Özgü komutlar

Bu, Windows 2008 R2 CA Sunucusu'nu yapılandırmayla ilgili komutların listesidir. Bu bilgilendirici çok uzun sürdüğünden ve diğer tüm komutlar doğrudan bir CA kurmakla ilgili olmadığından onları diğer gönderiden kaldırdım.

Bu "Nasıl yapılır" bölümünden ziyade "ne ve neden" dir. Ayrıca CA sürümleri arasındaki sürüme özgü farklılıkları da içerir (2000'e karşı 2003'e, 2008'e karşı)


Kayıt Politikası Düzenleme Bayraklarını listeleyin

Bu gizli sunucu ayarlarına bağlı olarak istemciden gelen bazı istekler otomatik olarak çıkarılabilir .

C:\Users\ChrisLamont>certutil -getreg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration:

Keys:
  Secure Email Root v1

Values:
  Active                   REG_SZ = Secure Email Root v1
  DBDirectory              REG_SZ = C:\Windows\system32\CertLog
  DBLogDirectory           REG_SZ = C:\Windows\system32\CertLog
  DBTempDirectory          REG_SZ = C:\Windows\system32\CertLog
  DBSystemDirectory        REG_SZ = C:\Windows\system32\CertLog

  DBSessionCount           REG_DWORD = 64 (100)
  LDAPFlags                REG_DWORD = 0

  DBFlags                  REG_DWORD = b0 (176)
    DBFLAGS_MAXCACHESIZEX100 -- 10 (16)
    DBFLAGS_CHECKPOINTDEPTH60MB -- 20 (32)
    DBFLAGS_LOGBUFFERSHUGE -- 80 (128)

  Version                  REG_DWORD = 40001 (262145) -- 4.1
  SetupStatus              REG_DWORD = 6001 (24577)
    SETUP_SERVER_FLAG -- 1
    SETUP_DCOM_SECURITY_UPDATED_FLAG -- 2000 (8192)
    SETUP_SERVER_IS_UP_TO_DATE_FLAG -- 4000 (16384)
CertUtil: -getreg command completed successfully.

C:\Users\ChrisLamont>certutil -getreg policy\editflags

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Secur
e Email Root v1\PolicyModules\CertificateAuthority_MicrosoftDefault.Policy\EditF
lags:

  EditFlags REG_DWORD = 83ee (33774)
    EDITF_REQUESTEXTENSIONLIST -- 2
    EDITF_DISABLEEXTENSIONLIST -- 4
    EDITF_ADDOLDKEYUSAGE -- 8        // <--- THIS ENTRY REMOVES A CLIENT'S Key Agreement  
    EDITF_ATTRIBUTEENDDATE -- 20 (32)
    EDITF_BASICCONSTRAINTSCRITICAL -- 40 (64)
    EDITF_BASICCONSTRAINTSCA -- 80 (128)
    EDITF_ENABLEAKIKEYID -- 100 (256)
    EDITF_ATTRIBUTECA -- 200 (512)
    EDITF_ATTRIBUTEEKU -- 8000 (32768)
CertUtil: -getreg command completed successfully.

Çözüm certutil -setreg policy\EditFlags -EDITF_ADDOLDKEYUSAGE daha sonra güncellenir

     Configuration\spatula\PolicyModules\CertificateAuthority_MicrosoftDefault.Policy\EditFlags:

Per CA Bazında bir politika nasıl tanımlanır

Verilen sertifikalara bir ilke eklemek için Komut İstemi komutuna aşağıdaki komutları girin:

 certutil -v -setreg policy\EnableRequestExtensionlist "+2.5.29.32"
 certutil –shudown
 net start certsvc

İle ayarı devre dışı bırakabilirsiniz.

  certutil -v -setreg policy\EnableRequestExtensionlist      "-2.5.29.32"
  certutil –shudown
  net start certsvc

OCSP önbellek süresi nasıl tanımlanır

Aşağıdaki komutlar, Maksimum Yaş üstbilgisi ayarını ayarlamanızı, değiştirmenizi ve silmenizi sağlar.

  appcmd set config /section:httpProtocol /+customHeaders.[name='cacheControlHeader',value='max-age=604800']

Geçerli httpProtocol özel başlıklarını görüntülemek için

  appcmd list config /section:httpProtocol

Çevrimdışı CA sertifikaları AD'ye nasıl aktarılır

:
: Root CA certificates
:
certutil -dspublish -f concorp-ca-00_CorporateRootCA.crt RootCA
:
: Sub CA certificate
:
certutil -dspublish -f connoam-ca-00_IntermediateCA1.crt SubCA
:
: Root CA CRLs
: Since these are .NET CA CRLS that have the publication location as
: part of the CRL, the publication location is optional
:
:                                              |-- publication location ---|
:
certutil -dspublish -f CorporateRootCA.crl     concorp-ca-00 CorporateRootCA
:
: Sub CA CRLs
:
certutil -dspublish -f IntermediateCA1.crl     connoam-ca-00 IntermediateCA1

PKCS # 1 v1.21 nasıl etkinleştirilir

Bu, CAPolicy.inf dosyasında AlternateSignatureAlgorithm=1. Uyumluluk sorunlarının farkında olduğunuzdan emin olun.

Son olarak, AD Sertifika Hizmetlerini kurmanın rolü eklemek kadar basit olmadığını bilmeliyiz. Bunu kontrol etmelisiniz VBS Kurulum betiği ve dosyanın CAPolicy.inf ortamınız için gerektiği gibi düzenlenmesini sağlamalısınız

Çapraz Sertifika Dağıtım Noktası nasıl tanımlanır

Windows AD Sertifika Hizmetleri CAPolicy.info dosyasında [CrossCertificateDistributionPointsExtension] giriş

Çeşitli: Windows 2000 CA'yı Windows 2003'e yükseltirken AIA farklılıkları

Windows 2000 ve 2003 CA'ları arasında davranış değişikliği olduğunu unutmayın. Windows CA'ları tarafından verilen sertifikaların AKI uzantısı Windows 2000 ve Windows Server 2003 arasında farklılık gösterir. Varsayılan olarak, aşağıdaki bilgiler verilen sertifikaların AIA uzantısında depolanır.

  • Windows 2000 CA tarafından verilen sertifikaların AIA uzantısı veren CA'nın LDAP DN'sini (Veren adı), veren CA sertifikasının seri numarasını ve CA sertifikasının ortak anahtarının anahtar karmasını içerir.

  • Windows Server 2003 CA tarafından verilen sertifikaların AIA uzantısı, yalnızca Anahtar Kimliği olarak da bilinen veren CA'nın ortak anahtarının bir karmasını içerir.

Davranıştaki değişiklik, bir CA'nın sertifikası yenilendiğinde oluşabilecek zincirleme hatalarından kaynaklanmaktadır. Verilen sertifikayı imzalamak için kullanılan CA sertifikası istemci tarafından kullanılamıyorsa, varsayılan Windows 2000 davranışı eksik zincirlerle sonuçlanabilir. Windows Server 2003 varsayılan davranışında, CA aynı anahtar çiftiyle yenilenmişse, aynı anahtar çiftini kullanan veren CA için herhangi bir CA sertifikası sertifika zincirine dahil edilebilir.

Bu komutu çalıştırarak eski davranışı taklit edebilirsiniz

 certutil -setreg policy\EditFlags -EDITF_ENABLEAKIISSUERNAME
 certutil -setreg policy\EditFlags -EDITF_ENABLEAKIISSUERSERIAL

AD'deki sertifikaları listeleme

Bu komut, Active Directory'de yayınlanan sertifikaları listeler.

certutil -viewstore "ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com?cACertificate?one?objectClass=certificationAuthority"

ISIS MTT v1.1 PKI Uyumluluğu

Bkz. Yordamlar için KB Makalesi , ayrıca burada ISIS MTT v1.1 için alternatif CAPolicy.inf yöntemi

4

kontrol listesindeki bir nokta sıklıkla kaçırılır:

  • YEDEKLEMELER
  • YEDEKLEMELER
  • YEDEKLEMELER

eSP. bir CA uygularsanız.

Önceki cevabımda yer kalmadı, ancak bunun geçerli ve yararlı bilgiler olduğunu düşünüyorum:

İptali

Sonraki birkaç bölümde CRL ve sertifikalar tartışılıyor, ancak çok fazla ilerlemeden önce dikkatinizi üretim ve PKI işlemlerini etkileyebilecek bir soruna çekmek istiyorum: PKI'nızın Microsoft'un PKI'sıyla (Active Directory Sertifikası) aynı sertifikayı iki kez iptal edeceğini düşünüyorsanız Hizmetler), iptal tarihi birinci değil ikinci iptal tarihi olacaktır. Ancak Microsoft'un FIM CM ürünü (Forefront Identity Management - Sertifika Yönetimi) ile akıllı kartlardaki sertifikaları yönetiyorsanız, bu tür yinelenen iptalleri gerçekleştireceksiniz. kaynak

1