Снова же таки, с начала нам надо прописать точки распространения для CRL и AIA на нашем Enterprise CA.
Настройка точек распространения для CRL и AIA
certutil -getreg ca\CRLPublicationURLs
CRLPublicationURLs REG_MULTI_SZ = 0: 65:C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl CSURL_SERVERPUBLISH -- 1 CSURL_SERVERPUBLISHDELTA -- 40 (64) 1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 CSURL_SERVERPUBLISH -- 1 CSURL_ADDTOCERTCDP -- 2 CSURL_ADDTOFRESHESTCRL -- 4 CSURL_ADDTOCRLCDP -- 8 CSURL_SERVERPUBLISHDELTA -- 40 (64) 2: 6:http://%1/CertEnroll/%3%8%9.crl CSURL_ADDTOCERTCDP -- 2 CSURL_ADDTOFRESHESTCRL -- 4 3: 0:file://\\%1\CertEnroll\%3%8%9.crlТеперь нам необходимо сконфигурировать правильные пути размещения CRL и AIA. Итак,
1. Нажимаем Start, All Programs, Administrative Tools, и выбираем Certification Authority.
2. Выбираем наш центр сертификации, кликаем по нему правой мышью, и выбираем Properties.
3. Заходим на вкладку Extensions.
Настройка точек распространения для CRL
Для начала, необходимо удалить все точки распространения CRL , кроме локальной.
1. На вкладке Extensions в Select extension выбираем CRL Distribution Point (CDP).
2. В Specify location from which users can obtain a certificate revocation list (CRL) выбираем LDAP, и кликаем по Remove.
3. Удаляем все, кроме локальной CRL.
Так, поудаляли все ненужное, теперь пришла пора создать новые точки распространения. Заполняем все, согласно таблице ниже, единственное что, в протоколе HTTP заменяем на имя своего внешнего домена. Также желательно www заменять на crl, чтобы не делать алиас www на контроллере домена. Итак, таблица:3. Удаляем все, кроме локальной CRL.
List of CRL Distribution Points for CorporateRootCA
| Access protocol | CRL distribution point |
|---|---|
| [local] | C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl |
| HTTP | http://www.contoso.com/pki/%3%8%9.crl |
| LDAP | Ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 |
Путь [local] должен указывать текущий каталог Windows
Чтобы добавить точки распространения, необходимо нажать кнопку Add, и скопировать пути из таблицы.
После того, как пути введены, надо расставить птички из таблицы ниже:
Table 15 CRL Distribution Point Properties
| CRL distribution point property | File | HTTP | LDAP |
|---|---|---|---|
| Publish CRLs to this location check box | Select | N/A | Clear |
| Include in all CRLs check box | N/A | N/A | Select |
| Include in CRLs check box | N/A | Clear | Select |
| Include in the CDP extension of issued certificates check box | N/A | Select | Select |
| Publish delta CRLs to this location check box | Clear | N/A | Clear |
Настройка точек распространения для AIA
1. Заходим туда, куда и в предыдущем пункте, только выбираем Authority Information Access (AIA).
2. В Specify locations from which users can obtain the certificate for this CA выбрать LDAP и нажать кнопку Remove.
3. Удалить все, кроме локального пути.
4. Далее, создаем новые пути, согласно таблице, но заменяя на свои реальные имена.
List of AIA CRL Distribution Points for Contoso
| Access protocol | AIA Distribution Point |
|---|---|
| [local] | D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt |
| HTTP | http://www.contoso.com/pki/%1_%3%4.crt |
| LDAP | ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11 |
5. Далее, ставим птички в созданных точках распространения, согласно таблице:
AIA Properties
| AIA property | FILE | HTTP | LDAP |
|---|---|---|---|
| Include in the AIA extension of issued certificates check box | N/A | Select | Select |
| Include in the online certificate status protocol (OCSP) extension check box | N/A | Clear | Clear |
Проверка правильности настройки CorporateRootCA CRL и AIA
Поскольку конфигурация точек распространения CRL и AIA очень важна, проверьте свою конфигурацию, сделав одно из следующие действия:
certutil –getreg ca\CRLPublicationURLs
certutil –getreg ca\CACertPublicationURLs
Проверяем, что вывод схож с тем, как на примере:
CACertPublicationURLs REG_MULTI_SZ = 0: 1:D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt CSURL_SERVERPUBLISH -- 1 1: 2:ldap:///CN=%7,CN=AIA,CN=Public KeyServices,CN=Services,%6%11 CSURL_ADDTOCERTCDP -- 2 2: 2:http://www.contoso.com/pki/%1_%3%4.crt CSURL_ADDTOCERTCDP -- 2Настройка интервала рубликации CRL
После настройки точки распространения CRL, мы должны сконфигурировать интервал публикации CRL. Чтобы это сделать, надо:
1. Нажать Start, Programs, Administrative Tools, и выбрать Certification Authority.
2. В дереве консоли слева, делаем правый клик по Revoked Certificates, и выбираем Properties.
3. В секции CRL publication interval, необходимо интервал, и выбрать единицу измерения времени. В моем случае это 2 недели.
4. В пункте Publish Delta CRLs установить значение. Я для себя выбрал 5 дней.
Переиздание CorporateRootCA CRL
В консоли Certification Authority делаем правый клик по Revoked Certificates и в меню All Tasks нажимаем Publish. В открывшемся окне выбираем New CRL. Новый CRL опубликован.
Также можно опубликовать CRL с командной строки, надо ввести
certutil -CRLВот. Теперь наш Enterprise CA базово настроен и готов для работы. Дальше я опишу настройку прав пользователей, бэкап и восстановление, а также групповые политики для автоэнролмента сертификатов.
Комментариев нет:
Отправить комментарий