Distributionsplanering för servercertifikat

Innan du distribuerar servercertifikat måste du planera följande:

• Planera grundläggande serverkonfiguration

• Planera domänåtkomst

• Planera platsen och namnet på den virtuella katalogen på webbservern

• Planera en DNS-aliaspost (CNAME) för webbservern

• Planera konfigurationen av CAPolicy.inf

• Planera konfigurationen av CDP- och AIA-tilläggen på CA1

• Planera kopieringsprocessen mellan CA:n och webbservern

• Planera konfigurationen av servercertifikatmallen på certifikatutfärdaren

Planera grundläggande serverkonfiguration

När du har installerat Windows Server 2016 på de datorer som du planerar att använda som certifikatutfärdare och webbserver måste du byta namn på datorn och tilldela och konfigurera en statisk IP-adress för den lokala datorn.

Mer information finns i Nätverksguiden för Windows Server 2016 Core.

Planera domänåtkomst

Om du vill logga in på domänen måste datorn vara en domänmedlemsdator och användarkontot måste skapas i AD DS innan inloggningsförsöket. Dessutom kräver de flesta procedurer i den här guiden att användarkontot är medlem i grupperna Företagsadministratörer eller Domänadministratörer i Active Directory Användare och datorer, så du måste logga in på certifikatutfärdare med ett konto som har rätt gruppmedlemskap.

Mer information finns i Nätverksguiden för Windows Server 2016 Core.

Planera platsen och namnet på den virtuella katalogen på webbservern

Om du vill ge åtkomst till CRL och CA-certifikatet till andra datorer måste du lagra dessa objekt i en virtuell katalog på webbservern. I den här guiden finns den virtuella katalogen på webbservern WEB1. Den här mappen finns på enheten "C:" och heter "pki". Du kan hitta din virtuella katalog på webbservern på valfri mappplats som är lämplig för distributionen.

Planera en DNS-aliaspost (CNAME) för webbservern

Aliasresursposter (CNAME) kallas ibland även för kanoniska namnresursposter. Med dessa poster kan du använda mer än ett namn för att peka på en enda värd, vilket gör det enkelt att göra sådana saker som värd för både en FTP-server (File Transfer Protocol) och en webbserver på samma dator. Till exempel registreras de välkända servernamnen (ftp, www) med hjälp av aliasresursposter (CNAME) som mappas till DNS-värdnamnet (Domain Name System), till exempel WEB1, för den serverdator som är värd för dessa tjänster.

Den här guiden innehåller instruktioner för hur du konfigurerar webbservern som värd för listan över återkallade certifikat (CRL) för certifikatutfärdare (CA). Eftersom du kanske också vill använda webbservern för andra syften, till exempel för att vara värd för en FTP eller webbplats, är det en bra idé att skapa en aliasresurspost i DNS för webbservern. I den här guiden heter CNAME-posten "pki", men du kan välja ett namn som är lämpligt för distributionen.

Planera konfiguration av CAPolicy.inf

Innan du installerar AD CS måste du konfigurera CAPolicy.inf på CA med information som är korrekt för din implementering. En CAPolicy.inf-fil innehåller följande information:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Du måste planera följande objekt för den här filen:

• URL. Exempelfilen CAPolicy.inf har ett URL-värde på https://pki.corp.contoso.com/pki/cps.txt. Det beror på att webbservern i den här guiden heter WEB1 och har en DNS CNAME-resurspost för pki. Webbservern är också ansluten till domänen corp.contoso.com. Dessutom finns det en virtuell katalog på webbservern med namnet "pki" där listan över återkallade certifikat lagras. Kontrollera att det värde som du anger för URL:en i din CAPolicy.inf-fil pekar på en virtuell katalog på webbservern i domänen.

• RenewalKeyLength. Standardlängden för förnyelsenyckeln för AD CS i Windows Server 2012 är 2048. Nyckellängden som du väljer bör vara så lång som möjligt samtidigt som den ger kompatibilitet med de program som du tänker använda.

• RenewalValidityPeriodUnits. Exempelfilen CAPolicy.inf har värdet RenewalValidityPeriodUnits på 5 år. Detta beror på att ca:ns förväntade livslängd är cirka tio år. Värdet för RenewalValidityPeriodUnits bör återspegla den övergripande giltighetsperioden för CA eller det största antal år för vilka du vill erbjuda registrering.

• CRLPeriodUnits. Exempelfilen CAPolicy.inf har värdet CRLPeriodUnits 1. Det beror på att exempeluppdateringsintervallet för listan över återkallade certifikat i den här guiden är 1 vecka. Vid det intervallvärde som du anger med denna inställning måste du publicera certifikatrevokeringslistan (CRL) på CA:n till den virtuella katalogen på webbservern där du lagrar CRL och ge datorer, som är i autentiseringsprocessen, åtkomst till den.

• AlternateSignatureAlgorithm. Den här CAPolicy.inf implementerar en förbättrad säkerhetsmekanism genom att implementera alternativa signaturformat. Du bör inte implementera den här inställningen om du fortfarande har Windows XP-klienter som kräver certifikat från den här certifikatutfärdare.

Om du inte planerar att lägga till underordnade certifikatutfärdare i infrastrukturen för den offentliga nyckeln vid ett senare tillfälle, och om du vill förhindra att underordnade certifikatutfärdare läggs till, kan du lägga till PathLength-nyckeln i CAPolicy.inf-filen med värdet 0. Om du vill lägga till den här nyckeln kopierar du och klistrar in följande kod i filen:

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

Planera konfigurationen av CDP- och AIA-tilläggen på CA1

När du konfigurerar cdp-distributionsplatsen (Certificate Revocation List) och AIA-inställningarna (Authority Information Access) på CA1 behöver du namnet på webbservern och domännamnet. Du behöver också namnet på den virtuella katalog som du skapar på webbservern där listan över återkallade certifikat (CRL) och certifikatutfärdarcertifikatet lagras.

Den CDP-plats som du måste ange under det här distributionssteget har formatet:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.

Om webbservern till exempel heter WEB1 och din DNS-alias-CNAME-post för webbservern är "pki", är domänen corp.contoso.com och den virtuella katalogen heter pki, är CDP-platsen:

http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Den AIA-plats som du måste ange har formatet:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.

Om din webbserver till exempel heter WEB1 och DNS-aliaset (CNAME-posten) för webbservern är "pki", din domän är corp.contoso.com, och din virtuella katalog heter pki, är AIA-platsen:

http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt

Planera kopieringen mellan CA och webbservern

Om du vill publicera CRL- och CA-certifikatet från certifikatutfärdare till den virtuella webbserverkatalogen kan du köra kommandot certutil -crl när du har konfigurerat CDP- och AIA-platserna på certifikatutfärdare. Se till att du konfigurerar rätt sökvägar på fliken Certifikatmyndighetens egenskaper Extensioner innan du kör det här kommandot, med hjälp av anvisningarna i den här guiden. För att kunna kopiera Certifikatutfärdarcertifikatet för företag till webbservern måste du dessutom redan ha skapat den virtuella katalogen på webbservern och konfigurerat mappen som en delad mapp.

Planera konfigurationen av servercertifikatmallen på certifikatutfärdaren

Om du vill distribuera automatiskt registrerade servercertifikat måste du kopiera certifikatmallen med namnet RAS och IAS Server. Som standard heter den här kopian Kopia av RAS och IAS Server. Om du vill byta namn på den här mallkopian planerar du det namn som du vill använda under det här distributionssteget.