Uživatelské nástroje

Nástroje pro tento web


Postranní lišta

Active Directory

Windows Servery

Infrastruktura

Security

ad_cer

Příprava certifikátu pro použití na řadiči domény


Řadič domény při poskytování AD služeb používá, nebo může použít certifikát. Jako certifikační autoritu je možné použít roli Windows serveru.

Použité zkratky:

  • CA = Certifikační autorita
  • CSR = Certificate Signing Request (žádost o vydání certifikátu)
  • SAN = Subject Alternative Name - např. DNS jméno, které klient použije pro připojení
  • CNAME = Common Name - např. DNS jméno, které klient použije pro připojení
  • DC = Domain Controller (řadič domény)
  • FQDN = Fully Qualified Domain Name
  • LDAPs = LDAP over SSL/TLS, secured LDAP, LDAP-secured

Standalone CA, certifikát pro řadič domény

CA můžeme nainstalovat v PowerShell:

PS C:\>Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Po instalaci CA je nutné provést její konfiguraci.

Video: Instalace a konfigurace Standalone CA


Standalone CA neobsahuje certificate templates a nepodporuje enrollment ze vzdáleného serveru. Je nutné vytvořit CSR a následně vygenerovat certifikát, který pro použití na DC musí obsahovat tyto položky:

1. Key usage

  • Digital Signature
  • Key Encipherment (a0)

2. Enhanced Key Usage

  • Client Authentication (1.3.6.1.5.5.7.3.2)
  • Server Authentication (1.3.6.1.5.5.7.3.1)
  • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
  • KDC Authentication (1.3.6.1.5.2.3.5)

3. CNAME: Server FQDN

4. SANs: Server FQDN, jméno domény a případně NetBIOS jméno řadiče domény

Video: Vytvoření CSR, vygenerování certifikátu


Po vygenerování certifikátu je potřeba tento certifikát importovat na řadiči domény a publikovat CA certifikát v AD.

Video: Import certifikátu na řadiči domény

Příkazy pro implementaci ROOT certifikátu (řadič domény):

certutil -enterprise -addstore NTAuth ca.cer
certutil -enterprise -addstore Root ca.cer

Příkaz pro závěrečnou kontrolu (řadič domény):

certutil -dcinfo verify



Enterprise CA, certifikát pro řadič domény

CA můžeme nainstalovat v PowerShell:

PS C:\>Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Video: Instalace a konfigurace Enterprise CA


CA obsahuje certificate templates. Řadič domény by měl použít template Kerberos Authentication, který obsahuje všechny potřebné položky pro použití s Active Directory, to znamená:

  • Client Authentication (1.3.6.1.5.5.7.3.2)
  • Server Authentication (1.3.6.1.5.5.7.3.1)
  • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
  • KDC Authentication (1.3.6.1.5.2.3.5)

Video: Získání certifikátu pro DC (enrollment)

Pokud právě probíhá implementace, kroky jdou rychle za sebou a templates nejsou dostupné, tak je potřeba spustit příkaz gpupdate /force, kterým se certifikát CA stane důvěryhodným.


V případě, kdy řadič domény nemá připojení k Enterprise CA, je možné podobně jako se Standalone CA vytvořit CSR a následně vygenerovat certifikát.

Video: Získání certifikátu pro DC (ruční). Video obsahuje rovněž známé chyby a jejich řešení.


Při použití Enterprise CA je možné pomocí GPO zapnout autoenrollment certifikátů.

  1. Computer Configuration (User Configuration) > Windows Settings > Security Settings > Public Key Policies
  2. Vpravo otevřít Certificate Services Client - Auto-Enrollment
  3. Enablovat a vybrat:

Renew expired certificates, update pending certificates, and remove revoked certificates
Update certificates that use certificate templates


Obecné tipy pro certifikát

  • Signature Hash Algorithm = SHA256
  • Key Length = 2048
  • DNS jméno použité v CNAME musí být taky v SAN
  • Do CNAME a SAN se vkládají pouze FQDN, nikoliv IP adresy nebo zkrácená jména
  • Služba LDAPs požaduje pro Enhanced Key Usage pouze hodnotu Server Authentication (1.3.6.1.5.5.7.3.1)

Tento web používá cookies. Používáním těchto stránek souhlasíte s ukládáním cookies do vašeho počítače. Také berete na vědomí, že jste si přečetli a porozuměli našim Zásadám ochrany osobních údajů. Pokud nesouhlasíte s odchodem z webu.Více informací
ad_cer.txt · Poslední úprava: 2021/10/04 10:45 (upraveno mimo DokuWiki)

Nástroje pro stránku