Jiří Schuster, Osobní Knowledge Base

Řadič domény při poskytování AD služeb používá, nebo může použít certifikát. Jako certifikační autoritu je možné použít roli Windows serveru.

Použité zkratky:

• CA = Certifikační autorita
• CSR = Certificate Signing Request (žádost o vydání certifikátu)
• SAN = Subject Alternative Name - např. DNS jméno, které klient použije pro připojení
• CNAME = Common Name - např. DNS jméno, které klient použije pro připojení
• DC = Domain Controller (řadič domény)
• FQDN = Fully Qualified Domain Name
• LDAPs = LDAP over SSL/TLS, secured LDAP, LDAP-secured

Standalone CA, certifikát pro řadič domény

CA můžeme nainstalovat v PowerShell:

Po instalaci CA je nutné provést její konfiguraci.

Video: Instalace a konfigurace Standalone CA

Standalone CA neobsahuje certificate templates a nepodporuje enrollment ze vzdáleného serveru. Je nutné vytvořit CSR a následně vygenerovat certifikát, který pro použití na DC musí obsahovat tyto položky:

1. Key usage

• Digital Signature
• Key Encipherment (a0)

2. Enhanced Key Usage

• Client Authentication (1.3.6.1.5.5.7.3.2)
• Server Authentication (1.3.6.1.5.5.7.3.1)
• Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
• KDC Authentication (1.3.6.1.5.2.3.5)

3. CNAME: Server FQDN

4. SANs: Server FQDN, jméno domény a případně NetBIOS jméno řadiče domény

Video: Vytvoření CSR, vygenerování certifikátu

Po vygenerování certifikátu je potřeba tento certifikát importovat na řadiči domény a publikovat CA certifikát v AD.

Video: Import certifikátu na řadiči domény

Příkazy pro implementaci ROOT certifikátu (řadič domény):

certutil -enterprise -addstore NTAuth ca.cer
certutil -enterprise -addstore Root ca.cer

Příkaz pro závěrečnou kontrolu (řadič domény):

certutil -dcinfo verify

Enterprise CA, certifikát pro řadič domény

CA můžeme nainstalovat v PowerShell:

Video: Instalace a konfigurace Enterprise CA

CA obsahuje certificate templates. Řadič domény by měl použít template Kerberos Authentication, který obsahuje všechny potřebné položky pro použití s Active Directory, to znamená:

• Client Authentication (1.3.6.1.5.5.7.3.2)
• Server Authentication (1.3.6.1.5.5.7.3.1)
• Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
• KDC Authentication (1.3.6.1.5.2.3.5)

Video: Získání certifikátu pro DC (enrollment)

Pokud právě probíhá implementace, kroky jdou rychle za sebou a templates nejsou dostupné, tak je potřeba spustit příkaz gpupdate /force, kterým se certifikát CA stane důvěryhodným.

V případě, kdy řadič domény nemá připojení k Enterprise CA, je možné podobně jako se Standalone CA vytvořit CSR a následně vygenerovat certifikát.

Video: Získání certifikátu pro DC (ruční). Video obsahuje rovněž známé chyby a jejich řešení.

Při použití Enterprise CA je možné pomocí GPO zapnout autoenrollment certifikátů.

1. Computer Configuration (User Configuration) > Windows Settings > Security Settings > Public Key Policies
2. Vpravo otevřít Certificate Services Client - Auto-Enrollment
3. Enablovat a vybrat:

Renew expired certificates, update pending certificates, and remove revoked certificates
Update certificates that use certificate templates

Obecné tipy pro certifikát

• Signature Hash Algorithm = SHA256
• Key Length = 2048
• DNS jméno použité v CNAME musí být taky v SAN
• Do CNAME a SAN se vkládají pouze FQDN, nikoliv IP adresy nebo zkrácená jména
• Služba LDAPs požaduje pro Enhanced Key Usage pouze hodnotu Server Authentication (1.3.6.1.5.5.7.3.1)

• Twitter
• Facebook
• LinkedIn
• Email