Administrator instalira AD CS kao Root CA u organizaciji. Nakon instalacije Root CA, administrator može da instalira Subordinate CA da bi primenio Policy restrikcije i da bi distribuirao sertifikate. Administrator takođe može da koristi CAPolicy.inf fajl da bi automatizovao instalaciju i da bi pružio dodatne konfiguracione postavke koje nisu dostupne u instalaciji koristeći grafčki korisnički interfejs (GUI).
Instalacione postavke za Offline Root CA
Pre same instalacije Offline Root CA, potrebno je definisati i dokumentovati konfiguracione postavke tako da ih možemo ponovo izgraditi u slučaju katastrofe i pada servera.
Definisanje postavki za Offline root CA: Potrebno je definisati sledeće postavke za Offline Root CA:
-
CA Policy: Potrebno je instalirati Offline Root ili Offline Policy CA kao Stand-alone CA da bi se osiguralo da kompjuter može biti uklonjen sa mreže. Stand-alone CA ne zahteva da kompjuter bude član domena aktivnog direktorijuma i ne zahteva mrežnu konektivnost.
-
Ime kompjutera: Takođe se naziva i Network basic input-output System (NetBIOS) ime, ime kompjutera ne bi trebalo menjati nakon instalacije Certificate Services-a, takođe ne bi trebalo menjati članstvo kompjutera u domenu ili u radnoj grupi.
-
CA name (Ime CA): Ova postavka opisuje svrhu CA. Sastoji se od najčešćeg imena i odlikovanog (Distinguished) sufiksa kao što je LDAP odlikovano ime Forest Root domena. Na primer, ako želimo da kreiramo CA pod imenom Linkgroup Root CA za Linkgroup.com šumu, potrebno je definišemo najčešće (Common) ime Linkgroup Root CA i odlikovani sufiks DC=linkgroup,DC=com.
-
Kriptografski servis provajder: Certificate servis ide zajedno sa različitim softerskim kriptografskim servis provajderima (CSPs), kao što su osnovni, jaki i pojačani CSPs. Privatni ključevi koje softver CSPs generiše su arhivirani i šifrovani na zaštićenoj lokaciji. Možemo da koristimo hardverski CSP kako bismo obezbedili visok nivo zaštite za ključeve za private ključeve Certification Authority-ja.
-
Dužina ključeva: Za većinu Root CAs, najveća interoperativna dužina ključa je 4096 bita. Izuzeci se mogu postaviti ako koristimo hardverski CSP ili smart kartice za smeštanje CA ključeva. Što su veće dužine ključeva, to je veće opterećenje procesora u toku generisanja sertifikata.
-
Period validacije: Kada CA dodeljuje sertifikate korisnicima ili kompjuterima, on mora da osigura da period validacije novog sertifikata odgovara validacionom periodu na svom sertifikatu. Potrebno je osigurati da CA sertifikat ima dovoljno vremena (dovoljno dugo traje) tako da ne moramo često da obnavljamo izdavanje sertifikata. Life-time (vreme trajanja) sertifikata kog je dodelio Windows Stand-alone CA je godinu dana po defoltu. Za Windows Enterprise CA, life-time iznosi dve godine po defoltu. Ako nam ovi iznosi ne odgovaraju i ako ne ispunjavaju potrebe naše organizacije, potrebno je podesiti ključeve u redžistriju.
-
Postavke za bazu podataka i logovanje: Možemo umnogome da poboljšamo performansu CA hijerarhije koristeći odvojene diskove za bazu podataka i log fajlove. Korišćenjem nekoliko fizičkih drajvova u redundantnom setu grupe nezavisnih diskova (RAID) takođe može dosta poboljšati performansu.
Na šta treba obratiti pažnju prilikom instalacije Subordinate CA
Administrator može da iskoristi Subordinate CA da bi implementirao Policy restrikcije za PKI i distribuirao sertifikate ka klijentima. Nakon instalacije Root CA za organizaciji, administrator instalira jedan ili više Subordinate CAs.
Ako koristimo Subordinate CA za distribuciju sertifikata ka korisnicima ili kompjuterima koji imaju nalog u domenu aktivnog direktorijuma, možemo da instaliramo Subordinate CA kao Enterprise CA. Nakon toga možemo da koristimo podatke klijentskih naloga koji se nalaze u AD DS prilikom distribucije sertifikata i prilikom objavljivanja sertifikata u aktivnom direktorijumu.
Administrator mora da bude član Local Administrators grupe ili da poseduje ekvivalentna prava i dozvole da bi mogao da odradi ovu proceduru. Ako je Subordinate CA Enterprise CA, administrator takođe treba da bude član Domain Administrators grupe ili da poseduje ekvivalentne dozvole.
Vodič za izgradnju Offline Root CA
Zahtevi vaše organizacije i zahtevi posla kojom se vaša organizacija bavi i procesi koje odrađuje, određuju kako treba izgraditi Offline CA. potrebno je koristiti sledeći vodič koji vam sigurno može pomoći da uspešno izgradite Offline CA i takođe smanjite vreme koje vam je potrebno da redizajnirate i ponovo izgradite Offline CA.
Vodič:
-
Nemojte konektovati root CA na mrežu: Ako diskonektujete Offline Stand-alone Root CA sa vaše mreže da biste obezbedili sigurno CA okruženje, nemojte učlanjivati kompjuter u domen aktivnog direktorijuma.
-
Implementirajte prazne CDP i AIA ekstenzije za Root CA sertifikat: Konfiguracija pranih CDP i AIA ekstenzija osigurava da povezujući mehanizam sertifikata neće odrađivati odbacivanje (Revocation) proveru na Root CA sertifikatu.
-
Konfigurisati Offline Root CA da objavljuje svoje AIA i CDP informacije na lokacijama kojim mogu da pristupe svi klijenti: Na primer, ako Root CA ukine sertifikat podređenog CA, aplikacije mogu da izvršavaju proveru da li je sertifikat podređenog CA još uvek validan.
-
Implementirati hardverski CSP ili Hardware Security Module (HSM): Da bismo obezbedili da ključevi na Root CA budu još sigurniji, potrebno je koristiti hardverski CSP ili HSM. Možemo da koristimo Microsoft CA sa bilo kojim drugim hardverskim CSP-om koji podržava CSPs koji se zasnivaju na Cryptographic Application Programming Interface (CryptoAPI).
-
Izabrati dužinu ključa koju svi protokoli i aplikacije podržavaju: Potrebno je koristiti dužinu ključeva do 4096 bita. Na primer, Storage struktura na većini smart kartica je premala da uspešno smesti sertifikate za velike PKI-hijerarhije.
-
Potrebno je koristiti jedinstveno odlikovano (Distinguished) ime za CA: Odlikovano ime bi trebalo da identifikuje svrhu CA tako da je korisnici mogu lako prepoznati. Ime je potrebno da bude jedinstveno unutar PKI udruženja, što uključuje sve kompjutere, korisnike i servise koji procenjuju sertifikate koje je dodelio CA. PKI udruženje takođe može uključivati eksterne kompjutere, korisnike i servise, ako se sertifikati koriste na internetu ili između organizacija.
-
Konfigurisati primarni DNS sufiks za Root CA: Root CA je često instaliran na kompjuteru koji nije član domena aktivnog direktorijuma i koji nije konektovan na mrežu. Da bi DNS ime domena bilo u listi kao deo Root CA sertikat imena, potrebno je da konfigurišemo primarni DNS sufiks pre instalacije Root CA.
Kako se koristi CAPolicy.inf fajl
CAPolicy.inf fajl je izborni fajl koji se koristi za konfiguraciju Certificate Services-a. Možemo ga iskoristiti za instalaciju i za obnavljanje Root CAs i podređenih CA.
CAPolicy.inf fajl nudi:
Pre instalacije CA, potrebno je modifikovati CAPolicy.inf fajl i sačuvati u %Windir% folderu Root-a ili podređenog CA.
Primer jednog CAPolicy.inf fajla:
[Version]
Signature= "$Windows NT$"
[certsrv_server]
CRLPeriod = weeks
CRLPeriodUnits = 26
[PolicyStatementExtension]
Policies = HighAssurancePolicy, MediumAssurancePolicy, LowAssurancePolicy
CRITICAL = FALSE
[HighAssurancePolicy]
OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.402
[MediumAssurancePolicy]
OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.401
[LowAssurancePolicy]
OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.400
[PolicyConstraintsExtension]
RequireExplicitPolicy = 0
InhibitPolicyMapping = 0
[BasicConstraintsExtension]
Šta je definisano u CAPolicy.inf fajlu
Možemo da definišemo i manipulišemo sa nekoliko različitih tipova informacija u CAPolicy.inf fajlu. Sve postavke koje će biti pomenute su izborne postavke za CAPolicy.inf fajl. Samo postavke u pre dve linije fajla su obavezne i one definišu verziju CA.
-
Certification practice statement (CPS): CPS je izlaganje delovanja koje koristi CA prilikom izdavanje sertifikata. CPS se odražava na Sertifikat polisu organizacije i sigurnosnu polisu. Na primer, ovaj izborni element u CAPolicy.inf fajlu može ukazati na veb stranicu koja objašnjava prihvatljivo korišćenje sertifikata u organizaciji.
-
Object Identifier (OID): OID je broj sekvence koji identifikuje specifičan objekat ili atribut. OID je ograničen i može da identifikuje specifičan CPS i sertifikat polisu. Možemo da koristimo privatni ili javni OID. Ako naša organizacija planira da koristi PKI-omogućene aplikacije zajedno sa drugim organizacijama, moramo da dobijemo OID od Public Number Assigment kompanije da bismo osigurali da naš OID bude jedinstven na Internetu. Možete dobiti besplatan OID na adresi
http://www.iana.org/cgi-bin/enterprise.pl.
-
CRL Publication intervals: Kada instaliramo CA, možemo da definišemo interval objavljivanja za osnovni CRL. Dužina ovog intervala zavisi od procenjenog broja sertifikata koje će CA ukinuti i od uloge koju obavlja CA u CA hijerarhiji. Na primer, Offline Root CA poseduje duži interval objavljivanja od Online Issuing CA.
-
CA Renewal settings: Možemo da definišemo postavke koje se odnose na obnavljanje sertifikata (Renewal settings). Možemo da definišemo postavke kao što su dužina ključeva, period validacije (vreme trajanja sertifikata).
-
Key Size: Kada obnavljamo naš Root CA, postavke u CAPolicy.inf fajlu određuju dužinu para ključeva. U toku instalacije, Certificate Services Installation Wizard definiše dužinu para ključeva. Na primer, ako želimo da povećamo dužinu ključeva na našem CA, potrebno je povećamo iznos u CAPolicy.inf fajlu i obnovimo serverski sertifikat.
Za podređene CA (Subordinate CA) u CAPolicy.inf fajlu možemo da definišemo sledeće postavke:
