Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
CaPolicy.inf is een configuratiebestand dat de extensies, beperkingen en andere configuratie-instellingen definieert die worden toegepast op een basis-CA-certificaat en alle certificaten die zijn uitgegeven door de basis-CA. Het CAPolicy.inf-bestand moet op een hostserver worden geïnstalleerd voordat de installatieroutine voor de basis-CA begint. Wanneer de beveiligingsbeperkingen voor een basis-CA moeten worden gewijzigd, moet het basiscertificaat worden vernieuwd en moet een bijgewerkt CAPolicy.inf-bestand op de server worden geïnstalleerd voordat het verlengingsproces begint.
De "CAPolicy.inf" is:
Handmatig gemaakt en gedefinieerd door een beheerder
Gebruikt tijdens het maken van basis- en onderliggende CA-certificaten
Gedefinieerd bij de ondertekenende CA waar u het certificaat ondertekent en uitgeeft (niet bij de CA waar de aanvraag wordt goedgekeurd)
Nadat u het BESTAND CAPolicy.inf hebt gemaakt, moet u het kopiëren naar de map%systemroot% van uw server voordat u ADCS installeert of het CA-certificaat verlengt.
Met CAPolicy.inf kunt u een groot aantal CA-kenmerken en -opties opgeven en configureren. In de volgende sectie worden alle opties beschreven voor het maken van een INF-bestand dat is afgestemd op uw specifieke behoeften.
CAPolicy.inf-bestandsstructuur
De volgende termen worden gebruikt om de structuur van het INF-bestand te beschrijven:
Sectie : is een gebied van het bestand dat betrekking heeft op een logische groep sleutels. Sectienamen in .inf-bestanden worden geïdentificeerd door tussen vierkante haken te worden weergegeven. Veel, maar niet alle secties worden gebruikt om certificaatextensies te configureren.
Sleutel : is de naam van een vermelding en wordt links van het gelijkteken weergegeven.
Waarde : is de parameter en wordt rechts van het gelijkteken weergegeven.
In het volgende voorbeeld is [Versie] de sectie, Handtekening is de sleutel en '$Windows NT$' is de waarde.
Example:
[Version]
Signature="$Windows NT$"
Version
Identificeert het bestand als een INF-bestand. Versie is de sectie die als enige vereist is en moet zich aan het begin van uw CAPolicy.inf-bestand bevinden.
PolicyStatementExtension
Geeft een lijst weer van de beleidsregels die door de organisatie zijn gedefinieerd en of ze optioneel of verplicht zijn. Meerdere beleidsregels worden gescheiden door komma's. De namen hebben betekenis in de context van een specifieke implementatie of in relatie tot aangepaste toepassingen die controleren op de aanwezigheid van dit beleid.
Voor elk beleid dat is gedefinieerd, moet er een sectie zijn waarin de instellingen voor dat specifieke beleid worden gedefinieerd. Voor elk beleid moet u een door de gebruiker gedefinieerde object-id (OID) opgeven en de tekst die u wilt weergeven als de beleidsinstructie of een URL-aanwijzer naar de beleidsinstructie. De URL kan de vorm hebben van een HTTP-, FTP- of LDAP-URL.
Als u beschrijvende tekst in de beleidsinstructie wilt hebben, ziet de volgende drie regels van CAPolicy.inf er als volgt uit:
[InternalPolicy]
OID=1.1.1.1.1.1.1
Notice="Legal policy statement text"
Als u een URL gaat gebruiken om de CA-beleidsinstructie te hosten, zien de volgende drie regels er dan als volgt uit:
[InternalPolicy]
OID=1.1.1.1.1.1.2
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
Bovendien moet u het volgende noteren:
Er worden meerdere URL- en kennisgevingssleutels ondersteund.
Kennisgevings- en URL-sleutels in dezelfde beleidssectie worden ondersteund.
URL's met spaties of tekst met spaties moeten tussen aanhalingstekens staan. Dit geldt voor de URL-sleutel , ongeacht de sectie waarin deze wordt weergegeven.
Een voorbeeld van meerdere kennisgevingen en URL's in een beleidssectie ziet er als volgt uit:
[InternalPolicy]
OID=1.1.1.1.1.1.1
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
URL=ftp://ftp.wingtiptoys.com/pki/policies/legalpolicy.asp
Notice="Legal policy statement text"
CRLDistributionPoint
U kunt CRL-distributiepunten (CDP's) opgeven voor een basis-CA-certificaat in de CAPolicy.inf. Nadat u de CA hebt geïnstalleerd, kunt u de CDP-URL's configureren die de CA opneemt in elk certificaat dat is uitgegeven. Het basis-CA-certificaat bevat de URL's die zijn opgegeven in dit onderdeel van het bestand CAPolicy.inf.
[CRLDistributionPoint]
URL=http://pki.wingtiptoys.com/cdp/WingtipToysRootCA.crl
CRL-distributiepunten (CDPs) ondersteuning:
- HTTP
- Bestands-URL's
- LDAP-URL's
- Meerdere URL's
Important
CRL-distributiepunten (CDPs) bieden geen ondersteuning voor HTTPS-URL's.
URL's moeten omringd worden door aanhalingstekens met spaties ertussen.
Als er geen URL's zijn opgegeven( dat wil gezegd, als de sectie [CRLDistributionPoint] in het bestand bestaat, maar leeg is, wordt de CRL-distributiepuntextensie weggelaten uit het basis-CA-certificaat. Dit heeft de voorkeur bij het opzetten van een root-CA. Windows voert geen intrekkingscontrole uit op een basis-CA-certificaat, dus de CDP-extensie is overbodig in een basis-CA-certificaat.
CA kan publiceren naar FILE UNC, bijvoorbeeld naar een gedeelde map die de folder van een website vertegenwoordigt waar een client via HTTP gegevens ophaalt.
Gebruik deze sectie alleen als u een basis-CA instelt of het basis-CA-certificaat verlengt. De CA bepaalt de onderliggende CA CDP-extensies.
AuthorityInformationAccess
U kunt de toegangspunten voor autoriteitsgegevens opgeven in de CAPolicy.inf voor het basis-CA-certificaat.
[AuthorityInformationAccess]
URL=http://pki.wingtiptoys.com/Public/myCA.crt
Nog enkele opmerkingen over de sectie toegang tot autoriteitsgegevens:
Er worden meerdere URL's ondersteund.
HTTP-, FTP-, LDAP- en BESTANDS-URL's worden ondersteund. HTTPS-URL's worden niet ondersteund.
Deze sectie wordt alleen gebruikt als u een basis-CA instelt of het basis-CA-certificaat verlengt. De AIA-extensies van een ondergeschikte CA worden bepaald door de CA die het certificaat van de ondergeschikte CA heeft uitgegeven.
URL's met spaties moeten tussen aanhalingstekens staan.
Als er geen URL's worden opgegeven( dat wil gezegd, als de sectie [AuthorityInformationAccess] in het bestand bestaat, maar leeg is, wordt de extensie voor toegang tot autoriteitsgegevens weggelaten uit het basis-CA-certificaat. Nogmaals, dit is de voorkeursinstelling wanneer er geen instantie hoger is dan een basis-CA waarnaar moet worden verwezen door een koppeling naar het certificaat.
certsrv_Server
De [certsrv_server] sectie van CAPolicy.inf is optioneel. Deze [certsrv_server] wordt gebruikt om de lengte van de verlengingssleutel, de geldigheidsperiode voor verlenging en de geldigheidsperiode van de certificaatintrekkingslijst (CRL) op te geven voor een CA die wordt vernieuwd of geïnstalleerd. Geen van de sleutels in deze sectie zijn vereist. Veel van deze instellingen hebben standaardwaarden die voldoende zijn voor de meeste behoeften en kunnen worden weggelaten uit het bestand CAPolicy.inf. Veel van deze instellingen kunnen ook worden gewijzigd nadat de CA is geïnstalleerd.
Een voorbeeld ziet er als volgt uit:
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0
RenewalKeyLength stelt de sleutelgrootte alleen in voor verlenging. Dit wordt alleen gebruikt wanneer er een nieuw sleutelpaar wordt gegenereerd tijdens het vernieuwen van ca-certificaten. De sleutelgrootte voor het eerste CA-certificaat wordt ingesteld wanneer de CA is geïnstalleerd.
Wanneer u een CA-certificaat met een nieuw sleutelpaar verlengt, kan de sleutellengte worden verhoogd of verlaagd. Als u bijvoorbeeld een basis-CA-sleutelgrootte van 4096 bytes of hoger hebt ingesteld en vervolgens ontdekt dat u Java-apps of netwerkapparaten hebt die alleen sleutelgrootten van 2048 bytes kunnen ondersteunen. Ongeacht of u de grootte vergroot of verkleint, moet u alle certificaten die zijn uitgegeven door die CERTIFICERINGSINSTANTIE opnieuw uitgeven.
RenewalValidityPeriod en RenewalValidityPeriodUnits stellen de levensduur van het nieuwe basis-CA-certificaat vast bij het vernieuwen van het oude basis-CA-certificaat. Deze is alleen van toepassing op een basis-CA. De levensduur van het certificaat van een onderliggende CA wordt bepaald door de hogere CA. RenewalValidityPeriod kan de volgende waarden hebben: Uren, Dagen, Weken, Maanden en Jaren.
CRLPeriod en CRLPeriodUnits bepalen de geldigheidsperiode voor de basis-CRL. CRLPeriod kan de volgende waarden hebben: Uren, Dagen, Weken, Maanden en Jaren.
CRLDeltaPeriod en CRLDeltaPeriodUnits bepalen de geldigheidsperiode van de delta-CRL. CRLDeltaPeriod kan de volgende waarden hebben: Hours, Days, Weeks, Months en Years.
Elk van deze instellingen kan worden geconfigureerd nadat de CA is geïnstalleerd:
Certutil -setreg CACRLPeriod Weeks
Certutil -setreg CACRLPeriodUnits 1
Certutil -setreg CACRLDeltaPeriod Days
Certutil -setreg CACRLDeltaPeriodUnits 1
Vergeet niet om Active Directory Certificate Services opnieuw te starten om wijzigingen door te voeren.
LoadDefaultTemplates is alleen van toepassing tijdens de installatie van een Ca voor ondernemingen. Deze instelling, Waar of Onwaar (of 1 of 0), bepaalt of de CA is geconfigureerd met een van de standaardsjablonen.
In een standaardinstallatie van de CA wordt een subset van de standaardcertificaatsjablonen toegevoegd aan de map Certificaatsjablonen in de snap-in van de certificeringsinstantie. Dit betekent dat zodra de AD CS-service wordt gestart nadat de rol is geïnstalleerd, een gebruiker of computer met voldoende machtigingen onmiddellijk kan worden ingeschreven voor een certificaat.
Mogelijk wilt u geen certificaten direct uitgeven nadat een CA is geïnstalleerd, zodat u de instelling LoadDefaultTemplates kunt gebruiken om te voorkomen dat de standaardsjablonen worden toegevoegd aan de CA voor ondernemingen. Als er geen sjablonen zijn geconfigureerd op de CA, kan er geen certificaten worden uitgegeven.
AlternateSignatureAlgorithm configureert de CA ter ondersteuning van de PKCS#1 V2.1-handtekeningindeling voor zowel het CA-certificaat als certificaataanvragen. Als deze is ingesteld op 1 op een basis-CA, bevat het CA-certificaat de PKCS#1 V2.1-handtekeningindeling. Wanneer deze is ingesteld op een onderliggende CA, maakt de onderliggende CA een certificaataanvraag met de PKCS#1 V2.1-handtekeningindeling.
ForceUTF8 wijzigt de standaardcodering van relatieve DN's (RDN's) in DN's (Subject and Issuer Distinguished Names) in UTF-8. Alleen de RDN's die UTF-8 ondersteunen, zoals die zijn gedefinieerd als directorystringtypen door een RFC, worden beïnvloed. De RDN voor domeinonderdeel (DC) ondersteunt bijvoorbeeld codering als IA5 of UTF-8, terwijl de Country RDN (C) alleen codering ondersteunt als afdrukbare tekenreeks. De ForceUTF8-instructie heeft dus invloed op een DC RDN, maar heeft geen invloed op een C RDN.
EnableKeyCounting configureert de CA zodanig dat elke keer dat de ondertekeningssleutel van de CA wordt gebruikt, een teller wordt verhoogd. Schakel deze instelling alleen in als u een HSM (Hardware Security Module) en bijbehorende cryptografische serviceprovider (CSP) hebt die ondersteuning biedt voor het tellen van sleutels. Sleutel tellen wordt niet ondersteund door de Microsoft Strong CSP of de KSP-ondersteuning (Microsoft Software Key Storage Provider).
Maak het CAPolicy.inf-bestand aan
Voordat u AD CS installeert, configureert u het CAPolicy.inf-bestand met specifieke instellingen voor uw implementatie.
Voorwaarde: U moet lid zijn van de groep Administrators.
Op de computer waarop u AD CS wilt installeren, opent u Windows PowerShell, typt unotepad.exe en drukt u op Enter.
Voer de volgende tekst in:
[Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID=1.2.3.4.1455.67.89.5 Notice="Legal Policy Statement" URL=https://pki.corp.contoso.com/pki/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=5 CRLPeriod=weeks CRLPeriodUnits=1 LoadDefaultTemplates=0 AlternateSignatureAlgorithm=1 [CRLDistributionPoint] [AuthorityInformationAccess]Selecteer Bestand en selecteer Opslaan als.
Navigeer naar de map%systemroot% .
Zorg ervoor dat de volgende opties zijn ingesteld:
Bestandsnaam is ingesteld op CAPolicy.inf
Opslaan als type is ingesteld op Alle bestanden
Encoding is ANSI
Selecteer Opslaan.
Wanneer u wordt gevraagd het bestand te overschrijven, selecteert u Ja.
Caution
Zorg ervoor dat u de CAPolicy.inf opslaat met de extensie inf. Als u niet specifiek .inf typt aan het einde van de bestandsnaam en de opties selecteert zoals beschreven, wordt het bestand opgeslagen als tekstbestand en wordt het niet gebruikt tijdens de installatie van de CA.
Sluit Kladblok.
Important
In de CAPolicy.inf ziet u dat er een regel is waarmee de URL https://pki.corp.contoso.com/pki/cps.txtwordt opgegeven. De sectie Interne Beleid van CAPolicy.inf wordt weergegeven als een voorbeeld van hoe u de locatie van een certificaatpraktijkverklaring (CPS) kunt specificeren. In deze handleiding wordt u niet opgedragen om het certificaatbeleid (CPS) te maken.