Hvis du ønsker å bli varslet når Deb Shinder utgivelser neste del av denne artikkelserien vennligst logg
opp til WindowsNetworking.com sanntid artikkel oppdatering nyhetsbrev
.
Hvis du ønsker å lese den første delen i denne artikkelserien kan du gå til distribusjon av sertifikattjenester i Windows Server 2012 (del 1)
.

Innledning

i del 1 av denne serien om distribusjon AD CS i Windows server 2012, diskuterte vi noen av de funksjoner og funksjonalitet som er nytt i den nye serveren OS, inkludert utvidet rolle evner i forskjellige serverutgaver, flere behandlingsalternativer, nytt sertifikat maler, og bedre støtte for globaliserte organisasjoner med begrenset IDN støtte. I del to, vi ’ ll fortsette den diskusjonen, som vi får inn i detaljene i den samme nøkkel sertifikatfornyelse krav og virkningene av de nye økte standard sikkerhetsinnstillinger på CA rolle service. Da vi ’ ll diskutere planlegging trinnene du bør ta før distribusjon av Windows Server 2012 instanser

Key basert fornyelse og samme nøkkel fornyelse av sertifikater

Sertifikat fornyelse er alltid et problem i å håndtere. en PKI. Du ønsker fornyelsesprosessen skal være så enkelt som mulig for både brukere og administratorer, men du også ønsker å opprettholde optimal sikkerhet. Windows Server 2012 inneholder noen nye funksjoner knyttet til fornyelse sertifikat som vil hjelpe til med begge deler.

En av de nye funksjonene i Windows Server 2012 Active Directory Certificate Services er støtte for nøkkelbasert fornyelse. Hva dette er å gjøre det lettere å få sertifikater når datamaskinen er i en uklarert domene eller selv når det ikke er koblet til et domene i det hele tatt. I mange organisasjoner, ikke alle datamaskiner er domene-sluttet. Du har kanskje noen som er medlemmer av en arbeidsgruppe. I det siste, ble administratorer som kreves for å fornye sertifikatene for disse datamaskinene manuelt, noe som gir ekstra administrativ overhead. Med Windows Server 2012 AD CS, som nå sertifikat forespørsler kan gjøres online gjennom påmelding webtjenester for automatisk å fornye sertifikater for datamaskiner som tilhører et annet domene eller skog, eller ikke er domenemedlemmer i det hele tatt.

En annen ny funksjon som vi får med denne versjonen av Windows Server er samme nøkkel sertifikat fornyelse. Dette er en viktig sikkerhetsforbedring, fordi administratorer kan nå kreve at sertifikatene fornyes med samme nøkkel som de opprinnelig ble utstedt. Dette betyr nøkkel opphold den Trusted Platform Module (TPM) etter fornyelse. Tastene kan ’ t skal eksporteres, og dermed gjøre dem sikrere. TPM gir også for anti-hamring. Dette er laget for å forpurret forsøk på brute force angrep, fordi anti-hamring logikk vil sparke inn hvis et personlig identifikasjonsnummer (PIN) er skrevet feil for mange ganger på rad. Når det skjer, TPM låser og vil ikke akseptere deretter PIN forsøk inntil en viss mengde tid har gått.

Same-key fornyelse blir håndhevet gjennom sertifikatmalen. På Request kategorien i sertifikatmalen &rsquo håndtering; s dialogboksen Egenskaper, du bare av i boksen Forny med samme nøkkel, som vist i Figur 1.

Figur 1

Med samme- nøkkelen fornyelse håndheves, maler krever at Windows 8 og Server 2012 kunder bruker den samme nøkkelen til å fornye sine sertifikater. Prøver å bruke en annen tast vil resultere i et mislykket fornyelse. Dessverre, dette doesn ’. T jobbe med kunder som kjører tidligere versjoner av Windows

Økt standardsikkerhetsinnstillinger

I Windows Server 2008 R2 og tidligere, kan du øke sikkerhetsnivået på sertifisering myndigheter etter ved hjelp av en certutil kommando som ville kreve pakker som sendes som en del av en sertifikatforespørsel krypteres:

certutil – setreg CA \\ InterfaceFlags + IF_ENFORCEENCRYPTICERTREQUEST

det involvert stoppe og starte sertifiseringsinstans tjeneste (note at den forbedrede sikkerheten innstillingen er ikke kompatibel med Windows XP klientmaskiner).

Windows Server 2012 har dette økt sikkerhet innstillingen aktivert som standard. Dette er fornuftig, fordi ellers en angriper kan fange opp sertifikat forespørsler med en sniffer og skjelne navn på brukere og maskiner, typer sertifikater, offentlig nøkkelinformasjon og mer. Kryptering av pakkene hindrer dette. Men, som nevnt ovenfor, dette vant ’ t fungere med Windows XP-klienter. Hvis du har slike klienter som trenger å be om sertifikater fra Windows Server 2012 CA, bør du oppgradere dem til Windows 7 eller Windows 8 (foretrukket) eller du kan senke sikkerhetsnivået på CA ved hjelp av følgende kommando:

Certutil -setreg CA \\ InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

Igjen, etter å ha kjørt kommandoen, du ’ ll trenger å stoppe og starte tjenesten: net stop certsvc

net start certsvc

planlegging av Windows Server 2012 AD CS distribusjon

Det første trinnet i planleggingen av din Windows Server 2012 AD CS utplassering er å se på om du vil lage en ny public key infrastructure eller utvide eksisterende PKI. Hvis du ’ re i det siste tilfellet, organisasjonen sannsynligvis allerede har en sertifikatpolicy (CP) og et sertifikat praksis uttalelse (CPS) eller tilsvarende dokumenter. Hvis du ’ re lage en helt ny PKI, disse dokumentene skal opprettes først, for å tjene som en retningslinje

CP og CPS er en del av organisasjonen ’ s. Sikkerhetspolitikk. Den generelle sikkerhetspolitikk er generelt utviklet av bedriftens IT og eller bedriftens sikkerhetspersonell. Det definerer type (r) av sikkerhetstjenester som vil bli iverksatt gjennom sertifikater. CP definerer ansvar knyttet til registrering, utstedelse og bruk av sertifikater. Det vil legge ut prosedyrene for utstedelse av sertifikater, herunder godkjenningsmetoder, formål som sertifikater utstedes, hvordan private nøkler som skal forvaltes, prosedyre i tilfelle av tap eller kompromittering av private nøkler, offentlige og private nøkkel krav (for eksempel minimum lengde, hvor private nøkler lagres, om de får lov til å bli arkivert) og krav for å fornye sertifikater (for eksempel samme nøkkel fornyelse). CP tar også de juridiske ansvar problemstillinger knyttet til sertifikater, og det bør være innspill og gjennomgang av CP av IT, ledelse, juridiske og andre avdelinger som har operasjoner kan bli påvirket.

CPS øvelser ned å legge ut de prosessuelle retningslinjer for drift av CA (e). Barnevernet dikterer hvordan CA utsteder sertifikatene som ble definert av CP. Barnevernet får inn i detaljer om CA (navn, servernavn, DNS-adresse), bestemte algoritmer, Kryptografiske Service Providers, erklæring, fornyelse, gjenvinning og tilbakekall. Barnevernet er nødvendigvis en mer teknisk dokument som omhandler mindre med “ hva de skal gjøre og rdquo; og mer med “. hvordan du gjør det ” Mens barnevernet bør gjennomgås av juridisk avdeling, vil det bli utviklet primært av IT-personell som forstår den tekniske av drift av CA på en dag til dag basis.

Dine politikk bør dekke slike spørsmål som hvordan sertifikater vil oppheves, implementering av sertifikatopphevelsesliste (CRL) sjekker av programmer, hvordan CRL vil bli distribuert, rekkefølgen på CRL distribusjonspunkter, publisering av en eksternt tilgjengelige CRL for sertifikatvalidering av brukere og programmer som er utenfor det lokale nettverket, CRL redundans , hyppighet av CRL publisering og så videre.

dine politikk bør også adresserer ta instanser offline, samt fysiske sikkerheten til CAS.

Etter at kommunistpartiene og CPS har blitt opprettet, må du for å vurdere utformingen eller forlengelse av CA infrastrukturen. Dette innebærer et antall trinn. Du kan komme i gang ved å stille disse spørsmålene:

Vil du bruke intern eller tredjeparts sertifiseringsinstanser, eller en kombinasjon av de to? Svaret vil avhenge av kostnader og budsjettmessige faktorer, eksisterende maskinvare og programvare, hvor mye kontroll du trenger /ønsker over CA, om IT-personell har evne, tid og ressurser til å håndtere sertifikatene, og din komfort nivå når det gjelder ansvar eksponering.

Hvis du velger å bruke interne instanser, hvor vil de grunninstanser bli plassert? Hvis du vil bruke en tredjeparts sertifiseringsinstans som root CA, som tredjepart CA vil du bruke

Hva er systemkravene for å ha ytelsen og kapasiteten som trengs for å støtte din organisasjon ’? S behov basert på bruk ? Vil du bruke maskinvare kryptografiske tjenesteleverandører? Vil du bruke smartkort for oppbevaring av nøkler?