AD CS ontwerpen en implementeren
- 14 minuten
Het is essentieel om ervoor te zorgen dat u uw interne CA op de optimale manier ontwerpt. Uw ontwerp heeft aanzienlijke gevolgen voor de beveiliging en operationele aspecten van uw PKI-omgeving.
Op AD CS gebaseerde hiërarchie ontwerpen
Voordat u AD CS implementeert, moet u eerst uw CA-hiërarchie ontwerpen. Als onderdeel van uw ontwerp moet u bepalen hoeveel CA-lagen u nodig hebt en wat het doel is van de CA in elke laag. Het is niet raadzaam om een CA-hiërarchie dieper dan drie niveaus te bouwen, tenzij deze zich in een complexe, zeer veilige of gedistribueerde omgeving bevindt. Ca-hiërarchieën hebben meestal twee niveaus, met de hoofd-CA op het hoogste niveau en een onderliggende ca op het tweede niveau. Meestal gebruikt u de basis-CA om de CA-hiërarchie te bouwen. In dat geval blijft de basis-CA offline terwijl u afhankelijk bent van de onderliggende CA om certificaten uit te geven en te beheren.
Notitie
Een CA-hiërarchie met meerdere niveaus is niet verplicht. Voor kleinere, minder complexe omgevingen kunt u alleen een basis-CA implementeren. In dat geval biedt de basis-CA ook certificaatuitgifte- en beheerfunctionaliteit.
Enkele complexere CA-ontwerpen zijn:
- CA-hiërarchieën met een beleids-CA. Beleids-CA's zijn onderliggende CA's die zich rechtstreeks onder de basis-CA bevinden en boven andere onderliggende CA's in een CA-hiërarchie. U gebruikt beleids-CA's om CA-certificaten uit te geven aan hun onderliggende CA's. De CA-certificaten weerspiegelen het beleid en de procedures die een organisatie implementeert om de PKI te beveiligen, de processen die de identiteit van certificaathouders valideren en de processen die de procedures afdwingen die certificaten beheren. Een beleids-CA geeft alleen een certificaat uit aan andere CA's. De CA's die deze certificaten ontvangen, moeten het beleid handhaven en afdwingen dat de door de beleids-CA gedefinieerde beleidsregels heeft gedefinieerd. Het gebruik van beleids-CA's is niet verplicht, tenzij verschillende afdelingen, sectoren of locaties van uw organisatie verschillende uitgiftebeleidsregels en -procedures vereisen. Een organisatie kan bijvoorbeeld één beleids-CA implementeren voor alle certificaten die intern worden uitgegeven aan werknemers en een andere beleids-CA voor alle certificaten die worden uitgegeven aan contractanten.
- CA-hiërarchieën met vertrouwensrelatie tussen certificeringen. In dit scenario werken twee onafhankelijke CA-hiërarchieën samen wanneer een CA in een hiërarchie een kruiscertificeringsinstantiecertificaat uitgeeft aan een CA in een andere hiërarchie. Wanneer u dit doet, stelt u wederzijds vertrouwen in tussen verschillende CA-hiërarchieën.
Zelfstandige versus ondernemings-CA's
Wanneer u AD CS gebruikt, kunt u twee typen CA's implementeren: standalone en enterprise. Deze typen CA's gaan niet over hiërarchie, maar over functionaliteit en integratie met AD DS. Een zelfstandige CA is niet afhankelijk van AD DS. Voor een ca voor ondernemingen is AD DS vereist om extra functionaliteit te bieden, zoals automatische inschrijving. Met automatisch inschrijven kunnen domeingebruikers en apparaten die lid zijn van een domein automatisch worden ingeschreven voor certificaten nadat u automatische certificaatinschrijving via Groepsbeleid hebt ingeschakeld.
De volgende tabel bevat de belangrijkste verschillen tussen zelfstandige ca's en ca's voor ondernemingen.
Karakteristiek
Zelfstandige CA
Ca voor ondernemingen
Normaal gebruik
Doorgaans gebruikt u een zelfstandige CA voor offline CA's.
Doorgaans gebruikt u een ca voor ondernemingen om certificaten uit te geven aan gebruikers, computers en services. U kunt deze niet gebruiken als offline-CA.
AD DS-afhankelijkheden
Een zelfstandige CA is niet afhankelijk van AD DS.
Een ca voor ondernemingen is afhankelijk van AD DS als configuratie- en registratiedatabase. Een ca voor ondernemingen maakt ook gebruik van AD DS voor het publiceren van certificaten en de bijbehorende metagegevens.
Methoden voor certificaataanvragen
Gebruikers kunnen alleen certificaten aanvragen van een zelfstandige CERTIFICERINGsinstantie met behulp van een handmatige procedure of webinschrijving.
Gebruikers kunnen certificaten aanvragen bij een certificeringsinstantie voor ondernemingen met behulp van handmatige inschrijving, webinschrijving, automatische inschrijving, inschrijving namens en webservices
Uitgiftemethoden voor certificaten
Een CA-beheerder moet alle aanvragen handmatig goedkeuren.
CA kan certificaten uitgeven of certificaatuitgifte automatisch weigeren op basis van een door de CA-beheerder gedefinieerde aangepaste configuratie.
Een basis-CA voor ondernemingen is de meest voorkomende keuze bij het implementeren van één CA in een AD DS-omgeving. Als u een hiërarchie met twee lagen implementeert met een onderliggende CA in een AD DS-omgeving, moet u overwegen een zelfstandige basis-CA te gebruiken als de basis-CA. Hierdoor kunt u het offline halen zonder dat dit van invloed is op het proces van het beheren van certificaten voor domeingebruikers en apparaten die lid zijn van een domein.
Een andere overweging is het installatietype van het besturingssysteem. Zowel de Bureaubladervaring als de Server Core-installatiescenario's ondersteunen AD CS. Server Core minimaliseert potentiële schadelijke hackeroppervlak en de overhead van het besturingssysteemonderhoud, waardoor het de optimale keuze is voor AD CS in een bedrijfsomgeving.
Bovendien moet u er rekening mee houden dat u geen computernamen, domeinnaam of computerdomeinlidmaatschappen kunt wijzigen nadat u een CA van elk type op die computer hebt geïmplementeerd. Daarom is het belangrijk om deze instellingen vóór de implementatie te configureren.
Er zijn ook enkele overwegingen die specifiek zijn voor de implementatie van een offline, zelfstandige basis-CA:
- Voordat u een ondergeschikt certificaat van de basis-CA uitgeeft, moet u ervoor zorgen dat u ten minste één certificaatintrekkingslijstdistributiepunt (CDP) en AIA-locatie opgeeft die beschikbaar is voor alle clients. Dit komt doordat een zelfstandige basis-CA standaard het CDP en AIA op zichzelf heeft. Als u de basis-CA uit het netwerk haalt, mislukt een intrekkingscontrole omdat de CDP- en AIA-locaties niet toegankelijk zijn. Wanneer u deze locaties definieert, moet u de CRL- en AIA-gegevens handmatig naar die locatie kopiëren.
- Stel een geldigheidsperiode in voor CRL's die de basis-CA publiceert naar een lange periode, bijvoorbeeld één jaar. Dit betekent dat u de basis-CA eenmaal per jaar moet inschakelen om een nieuwe CRL te publiceren. Vervolgens moet u deze kopiëren naar een locatie die beschikbaar is voor clients. Als u dit niet doet, mislukt het intrekken van alle certificaten ook nadat de CRL op de basis-CA is verlopen.
- Gebruik Groepsbeleid om het basis-CA-certificaat te publiceren naar een vertrouwd basis-CA-archief op alle server- en clientcomputers. U moet dit handmatig doen omdat een zelfstandige CA dit niet automatisch kan doen, in tegenstelling tot een ca voor ondernemingen. U kunt het basis-CA-certificaat ook publiceren naar AD DS met behulp van het opdrachtregelprogramma certutil.
Demonstratie
In de volgende video ziet u hoe u:
- Vereisten configureren voor een basis-CA voor ondernemingen.
- Implementeer een basis-CA voor ondernemingen.
De belangrijkste stappen in het proces zijn:
- Maak een AD DS-omgeving. Maak een AD DS-forest met één domein.
- Vereisten configureren voor een basis-CA voor ondernemingen. Installeer de vereiste serverfunctie- en serverfunctieservices.
- Implementeer een basis-CA voor ondernemingen. Basis-CA-instellingen voor ondernemingen configureren.