Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Voordat u servercertificaten implementeert, moet u de volgende items plannen:
De locatie en naam van de virtuele map op uw webserver plannen
De configuratie van de servercertificaatsjabloon op de CA plannen
Basisserverconfiguratie plannen
Nadat u Windows Server 2016 hebt geïnstalleerd op de computers die u wilt gebruiken als certificeringsinstantie en webserver, moet u de naam van de computer wijzigen en een statisch IP-adres voor de lokale computer toewijzen en configureren.
Zie de Core Network Guide voor Windows Server 2016 voor meer informatie.
Domeintoegang plannen
Als u zich wilt aanmelden bij het domein, moet de computer een domeinlidcomputer zijn en moet het gebruikersaccount worden gemaakt in AD DS vóór de aanmeldingspoging. Bovendien vereisen de meeste procedures in deze handleiding dat het gebruikersaccount lid is van de groepen Ondernemingsadministrators of Domeinadministrators in Active Directory: gebruikers en computers, dus moet u zich aanmelden bij de CA met een account met het juiste groepslidmaatschap.
Zie de Core Network Guide voor Windows Server 2016 voor meer informatie.
De locatie en naam van de virtuele map op uw webserver plannen
Als u toegang wilt verlenen tot de CRL en het CA-certificaat voor andere computers, moet u deze items opslaan in een virtuele map op uw webserver. In deze handleiding bevindt de virtuele map zich op de webserver WEB1. Deze map bevindt zich op het station C:en heeft de naam 'pki'. U kunt uw virtuele map op uw webserver vinden op elke maplocatie die geschikt is voor uw implementatie.
Een CNAME-record (DNS-alias) voor uw webserver plannen
Alias-resourcerecords (CNAME) worden ook wel canonieke naam-resourcerecords genoemd. Met deze records kunt u meer dan één naam gebruiken om naar één host te verwijzen, zodat u eenvoudig dingen kunt doen, zoals het hosten van zowel een FTP-server (File Transfer Protocol) als een webserver op dezelfde computer. Bekende servernamen (ftp, www) worden bijvoorbeeld geregistreerd met aliasresource-records (CNAME), die zijn toegewezen aan de hostnaam van het Domain Name System (DNS), zoals WEB1, voor de servercomputer die deze services host.
Deze handleiding bevat instructies voor het configureren van uw webserver voor het hosten van de certificaatintrekkingslijst (CRL) voor uw certificeringsinstantie (CA). Omdat u mogelijk ook uw webserver wilt gebruiken voor andere doeleinden, zoals het hosten van een FTP of website, is het een goed idee om een aliasresourcerecord te maken in DNS voor uw webserver. In deze handleiding heet de CNAME-record 'pki', maar u kunt een naam kiezen die geschikt is voor uw implementatie.
Configuratie van CAPolicy.inf plannen
Voordat u AD CS installeert, moet u CAPolicy.inf configureren op de CA met informatie die juist is voor uw implementatie. Een CAPolicy.inf-bestand bevat de volgende informatie:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
U moet de volgende items voor dit bestand plannen:
URL. Het voorbeeldbestand CAPolicy.inf heeft een URL-waarde van
https://pki.corp.contoso.com/pki/cps.txt. Dit komt doordat de webserver in deze handleiding WEB1 heet en een DNS CNAME-resourcerecord van pki heeft. De webserver is ook gekoppeld aan het corp.contoso.com domein. Daarnaast is er een virtuele map op de webserver met de naam 'pki' waar de certificaatintrekkingslijst wordt opgeslagen. Zorg ervoor dat de waarde die u opgeeft voor URL in uw CAPolicy.inf-bestand verwijst naar een virtuele map op uw webserver in uw domein.RenewalKeyLength. De standaardlengte voor verlengingssleutels voor AD CS in Windows Server 2012 is 2048. De sleutellengte die u selecteert, moet zo lang mogelijk zijn en tegelijkertijd compatibiliteit bieden met de toepassingen die u wilt gebruiken.
RenewalValidityPeriodUnits. Het voorbeeldbestand CAPolicy.inf heeft de waarde RenewalValidityPeriodUnits van 5 jaar. Dit komt doordat de verwachte levensduur van de CA ongeveer tien jaar is. De waarde van RenewalValidityPeriodUnits moet overeenkomen met de totale geldigheidsperiode van de CA of het hoogste aantal jaren waarvoor u inschrijving wilt opgeven.
CRLPeriodUnits. Het voorbeeldbestand CAPolicy.inf heeft een CRLPeriodUnits-waarde van 1. Dit komt doordat het voorbeeldvernieuwingsinterval voor de certificaatintrekkingslijst in deze handleiding 1 week is. Bij de intervalwaarde die u met deze instelling opgeeft, moet u de CRL op de CA publiceren naar de virtuele map van de webserver waar u de CRL opslaat en toegang geeft voor computers die zich in het verificatieproces bevinden.
AlternateSignatureAlgorithm. Met deze CAPolicy.inf wordt een verbeterd beveiligingsmechanisme geïmplementeerd door alternatieve handtekeningindelingen te implementeren. U moet deze instelling niet implementeren als u nog steeds Windows XP-clients hebt waarvoor certificaten van deze CA zijn vereist.
Als u niet van plan bent om onderliggende CA's toe te voegen aan uw openbare-sleutelinfrastructuur op een later tijdstip en als u wilt voorkomen dat onderliggende CA's worden toegevoegd, kunt u de PathLength-sleutel toevoegen aan uw CAPolicy.inf-bestand met de waarde 0. Als u deze sleutel wilt toevoegen, kopieert en plakt u de volgende code in uw bestand:
[BasicConstraintsExtension]
PathLength=0
Critical=Yes
Important
Het wordt afgeraden andere instellingen in het bestand CAPolicy.inf te wijzigen, tenzij u hiervoor een specifieke reden hebt.
Plan de configuratie van de CDP- en AIA-extensies op CA1
Wanneer u het certificaatintrekkingslijst (CRL) Distributiepunt (CDP) en de AIA-instellingen (Authority Information Access) op CA1 configureert, hebt u de naam van uw webserver en uw domeinnaam nodig. U hebt ook de naam nodig van de virtuele map die u maakt op uw webserver waar de certificaatintrekkingslijst (CRL) en het certificaat van de certificeringsinstantie worden opgeslagen.
De CDP-locatie die u tijdens deze implementatiestap moet invoeren, heeft de volgende indeling:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.
Als uw webserver bijvoorbeeld WEB1 heet en uw DNS-alias CNAME-record voor de webserver 'pki' is, is uw domein corp.contoso.com en de virtuele map pki heet, is de CDP-locatie:
http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
De AIA-locatie die u moet invoeren, heeft de volgende indeling:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.
Als uw webserver bijvoorbeeld WEB1 heet en uw DNS-alias CNAME-record voor de webserver pki is, is uw domein corp.contoso.com en de virtuele map pki heet, is de AIA-locatie:
http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt
De kopieerbewerking tussen de CA en de webserver plannen
Als u het CRL- en CA-certificaat van de CA wilt publiceren naar de virtuele map van de webserver, kunt u de opdracht certutil -crl uitvoeren nadat u de CDP- en AIA-locaties op de CA hebt geconfigureerd. Zorg ervoor dat u de juiste paden configureert op het tabblad CA-eigenschappenextensies voordat u deze opdracht uitvoert met behulp van de instructies in deze handleiding. Als u het CA-certificaat voor ondernemingen naar de webserver wilt kopiëren, moet u de virtuele map op de webserver al hebben gemaakt en de map als een gedeelde map hebben geconfigureerd.
De configuratie van de servercertificaatsjabloon op de CA plannen
Als u automatisch ingeschreven servercertificaten wilt implementeren, moet u de certificaatsjabloon met de naam RAS en IAS-server kopiëren. Deze kopie heeft standaard de naam Copy of RAS en IAS Server. Als u de naam van deze sjabloonkopie wilt wijzigen, plant u de naam die u tijdens deze implementatiestap wilt gebruiken.
Note
De laatste drie implementatiesecties in deze handleiding: hiermee kunt u automatische inschrijving van servercertificaten configureren, Groepsbeleid vernieuwen op servers en controleren of de servers een geldig servercertificaat van de CA hebben ontvangen. Hiervoor zijn geen aanvullende planningsstappen vereist.