Certificaatinschrijving beheren

Het doel van ca is om gebruikers en apparaten toe te staan certificaten in te schrijven en te gebruiken. Dit vereist echter net als bij ca-implementatie zorgvuldige planning en voorbereiding die bepaalt welk type certificaten een CA kan uitgeven.

Wat is een certificaat?

Een certificaat is een klein bestand dat verschillende stukjes informatie over de eigenaar bevat. Deze gegevens kunnen het e-mailadres van de eigenaar, de naam van de eigenaar, het certificaatgebruikstype, de geldigheidsperiode en de URL's voor AIA- en CDP-locaties omvatten.

Een certificaat bevat ook de openbare sleutel en bijbehorende metagegevens, die bestaan uit een persoonlijke sleutel en de bijbehorende openbare sleutel. U kunt deze sleutels gebruiken in processen voor het valideren van identiteiten, digitale handtekeningen en versleuteling. Het sleutelpaar dat elk certificaat genereert, heeft de volgende voorwaarden:

• Wanneer inhoud wordt versleuteld met de openbare sleutel, kan deze alleen worden ontsleuteld met de persoonlijke sleutel.
• Wanneer inhoud wordt versleuteld met de persoonlijke sleutel, kan deze alleen worden ontsleuteld met de openbare sleutel.
• Er is geen andere sleutel betrokken bij de relatie tussen de sleutels van één sleutelpaar.
• De persoonlijke sleutel kan niet binnen een redelijke tijd worden afgeleid van een openbare sleutel en omgekeerd.

Als onderdeel van het certificaatinschrijvingsproces genereert de client het openbare/persoonlijke sleutelpaar. De client verzendt vervolgens de openbare sleutel naar ca, die clientgegevens bevestigt, deze ondertekent met een eigen persoonlijke sleutel en vervolgens het certificaat verzendt, dat de openbare clientsleutel bevat, terug naar de client.

Wat zijn certificaatsjablonen?

Certificaatsjablonen definiëren hoe gebruikers en apparaten certificaten kunnen aanvragen en gebruiken die zijn uitgegeven door een certificeringsinstantie voor ondernemingen op basis van die sjabloon. U kunt bijvoorbeeld een sjabloon maken die bestandsversleuteling of functionaliteit voor e-mailondertekening biedt. CA is afhankelijk van AD DS voor het opslaan van de sjablonen die u configureert.

CA biedt sjablonen voor gebruikers en voor computers. U kunt machtigingen toewijzen aan certificaatsjablonen om te definiëren wie ze kan beheren, wie inschrijving of automatische inschrijving kan uitvoeren en wat de geldigheids- en verlengingsperioden zijn. U kunt aanvullende wijzigingen toepassen door vooraf gedefinieerde certificaatsjablonen te dupliceren. Als u sjablonen beschikbaar wilt maken voor gebruikers en apparaten, moet u hun gebruik expliciet toestaan.

Sjabloonversies

De CA in Windows Server AD CS ondersteunt vier versies van certificaatsjablonen, met de volgende functionele verschillen:

• Versie 1-sjablonen. Met deze sjablonen kunt u alleen certificaatmachtigingen wijzigen. Wanneer u een CA installeert, worden standaard versie 1-certificaatsjablonen gemaakt.
• Versie 2-sjablonen. Met deze sjablonen kunt u aanvullende instellingen aanpassen, zoals geldigheids- en verlengingsperioden. Dit is ook de minimale versie die ondersteuning biedt voor automatisch inschrijven. De standaardinstallatie van AD CS biedt verschillende vooraf geconfigureerde versie 2-sjablonen. U kunt versie 2-sjablonen maken of een versie 1-certificaatsjabloon dupliceren om een nieuwe versie 2-sjabloon te maken.
• Versie 3-sjablonen. Versie 3-certificaatsjablonen ondersteunen Cryptography Next Generation (CNG). CNG ondersteunt geavanceerde cryptografische algoritmen. U kunt standaardsjablonen van versie 1 en versie 2 dupliceren om ze te upgraden naar versie 3. Wanneer u de certificaatsjablonen van versie 3 gebruikt, kunt u CNG-versleutelings- en hashalgoritmen gebruiken voor certificaataanvragen, uitgegeven certificaten en beveiliging van persoonlijke sleutels voor sleuteluitwisseling en sleutelarchivering.
• Versie 4-sjablonen. Versie 4-certificaatsjablonen ondersteunen zowel cryptografische serviceproviders (CSP's) als sleutelopslagproviders. U kunt ze ook configureren om verlenging met dezelfde sleutel te vereisen.

Demonstratie

In de volgende video ziet u hoe u:

• Maak een nieuwe sjabloon op basis van de webserversjabloon.
• Configureer sjablonen zodat ze kunnen worden uitgegeven.

De belangrijkste stappen in het proces zijn:

1. Maak een AD DS-omgeving. Maak een AD DS-forest met één domein.
2. Implementeer een basis-CA voor ondernemingen.
3. Maak een aangepaste certificaatsjabloon. Gebruik de console Certificaatsjablonen om de webserversjabloon te dupliceren.
4. Configureer de sjabloon zodat deze kan worden uitgegeven. Gebruik de console van de certificeringsinstantie om de sjabloon beschikbaar te maken voor gebruik.