Xây dựng hạ tầng PKI trên nền Windows Server 2008 – Phần 6.2


Xem thêm:
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 3
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 5
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.2

————-

2.  Triển khai cấu trúc CA phân cấp 3 tầng

Mô hình mẫu được sử dụng trong phần này và ở các giải pháp trong các phần sau là hệ thống phân cấp CA gồm ba tầng của công ty UIT đã triển khai sẵn AD DS với domain là uit.vn (xem Hình 1).

Hình 1 – Cấu trúc CA ba tầng của công ty UIT

Triển khai offline Root CA

1.    Tạo tập tin CAPolicy.inf

Soạn nội dung giả định như sau rồi đặt nó vào thư mục %Windir% của máy rootca

[Version]
Signature=”$Windows NT$”

[certsrv_server]
renewalkeylength=2048
RenewalValidityPeriodUnits=20
RenewalValidityPeriod=years

CRLPeriod=weeks
CRLPeriodUnits=26
CRLOverlapPeriod=weeks
CRLOverlapUnits=2
CRLDeltaPeriodUnits=0
CRLDeltaPeriod=days
DiscreteSignatureAlgorithm=1

2.    Cài đặt Certificate Services

Tải về video hướng dẫn từng bước tại: http://www.mediafire.com/?1ruibj0j3yfy7m9

3.    Tập tin cấu hình Post-Installation

Soạn nội dung giả định như dưới đây rồi đặt cho nó cái tên có đuôi là .cmd. Sau đó thực thi tập tin này và theo dõi kết quả trong cửa sổ Command Prompt.

::Khai báo Configuration NC
certutil -setreg CA\DSConfigDN CN=Configuration,DC=uit,DC=vn

::Khai báo CRL Publication Interval
certutil -setreg CA\CRLPeriodUnits 26
certutil -setreg CA\CRLPeriod “Weeks”
certutil -setreg CA\CRLDeltaPeriodUnits 0
certutil -setreg CA\CRLDeltaPeriod “Days”
certutil -setreg CA\CRLOverlapPeriod “Weeks”
certutil -setreg CA\CRLOverlapUnits 2

::Chỉ định CDP Extension URL
certutil -setreg CA\CRLPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n10:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n2:http://www.uit.vn/Certdata/%%3%%8%%9.crl”

::Chỉ định AIA Extension URL
certutil -setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crl\n2:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://www.uit.vn/CertData/%%1_%%3%%4.crt”

::Bật tất cả các tùy chọn auditing cho the UIT Root CA
certutil -setreg CA\AuditFilter 127

::Thiết lập Validity Period cho các chứng chỉ được cấp phát
certutil -setreg CA\ValidityPeriodUnits 10
certutil -setreg CA\ValidityPeriod “Years”

::Bật tính năng discrete signatures cho chứng chỉ của các subordinate CA
Certutil -setreg CA\csp\DiscreteSignatureAlgorithm 1

::Khởi động lại Certificate Services
net stop certsvc & net start certsvc
sleep 5
certutil –CRL

::Chép chứng chỉ của Root CA và CRL vào ổ USB (F:\)
sleep 5
copy /y %windir%\system32\certsrv\certenroll\*.cr? F:\

Triển khai offline Policy CA

Sau khi cài đặt và thiết lập xong cho Root CA, việc triển khai offline Policy CA bắt đầu bằng việc gửi một yêu cầu cấp chứng chỉ cho Policy CA tới Root CA.

1.    Tập tin cấu hình Pre-Installation

Ta có thể cài đặt thủ công chứng chỉ và CRL của Root CA (được lưu trong ổ USB) tới kho chứa Local Machine Store của Policy CA hoặc thi thực đoạn script sau trên máy policyca (giả sử F: là ổ USB)

@echo off
F:
cd \
for %%c in (*.crt) do certutil -addstore -f Root “%%c”
for %%c in (*.crl) do certutil -addstore -f Root “%%c”

2.    Tạo tập tin CAPolicy.inf

Soạn nội dung giả định như sau rồi đặt nó vào thư mục %Windir% của máy policyca

[Version]
Signature=”$Windows NT$”

[PolicyStatementExtension]
Policies=UITCPS

[UITCPS]
OID=1.3.6.1.4.1.311.509.3.1
NOTICE=UIT Certification Practice Statement
URL=http://www.uit.vn/CPS/CPStatement.asp

[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriodUnits=10
RenewalValidityPeriod=years
CRLPeriod=weeks
CRLPeriodUnits=26
CRLOverlapPeriod=weeks
CRLOverlapUnits=2
CRLDeltaPeriodUnits=0
CRLDeltaPeriod=days

DiscreteSignatureAlgorithm=1

3.    Cài đặt Certificate Services

Tải về video hướng dẫn từng bước tại: http://www.mediafire.com/?57a2ek0xs4qz9az

4.    Tập tin cấu hình Post-Installation

Soạn nội dung giả định như dưới đây rồi đặt cho nó cái tên có đuôi là .cmd. Sau đó thực thi tập tin này và theo dõi kết quả trong cửa sổ Command Prompt.

::Khai báo Configuration NC
certutil -setreg CA\DSConfigDN CN=Configuration,DC=uit,DC=vn

::Khai báo CRL Publication Intervals
certutil -setreg CA\CRLPeriodUnits 26
certutil -setreg CA\CRLPeriod “Weeks”
certutil –setreg CA\CRLOverlapUnits 2
certutil –setreg CA\CRLOverlapPeriod “Weeks”
certutil -setreg CA\CRLDeltaPeriodUnits 0
certutil -setreg CA\CRLDeltaPeriod “Days”

::Chỉ định CDP Extension URL
certutil -setreg CA\CRLPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n10:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n2:http://www.uit.vn/Certdata/%%3%%8%%9.crl”

::Chỉ định AIA Extension URL
certutil -setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://www.uit.vn/CertData/%%1_%%3%%4.crt”

::Bật tất cả các tùy chọn auditing cho Policy CA
certutil -setreg CA\AuditFilter 127

::Thiết lập Validity Period cho các chứng chỉ được cấp phát
certutil -setreg CA\ValidityPeriodUnits 5
certutil -setreg CA\ValidityPeriod “Years”

::Bật tính năng discrete signatures cho các chứng chỉ của subordinate CA
Certutil –setreg CA\csp\DiscreteSignatureAlgorithm 1

::Khởi động lại Certificate Services
net stop certsvc & net start certsvc
sleep 5
certutil –CRL

::Chép chứng chỉ và CRL của Policy CA tới ổ USB (F:\)
sleep 5
copy /y %windir%\system32\certsrv\certenroll\*.cr? F:\

Triển khai online Issuing CA

1.    Cấu hình Pre-Installation

Lưu các chứng chỉ và CRL của Root CA và Policy CA vào ổ USB rồi đem cài đặt tại các vị trí sau.

Cài đặt tại máy Issuing CA

Thực thi script có nội dung sau. Lưu ý, chỉnh sửa tên tập tin của chứng chỉ và CRL cho phù hợp và F:\ là ổ đĩa chứa chứng chỉ và CRL của Root CA và Policy CA

@echo off
F:
cd \
for %%c in (“rootca*.crt”) do certutil -addstore -f Root “%%c”
for %%c in (“UIT Root CA*.crl”) do certutil -addstore -f Root “%%c”
for %%c in (“policyca*.crt”) do certutil -addstore -f CA “%%c”
for %%c in (“UIT Policy CA*.crl”) do certutil -addstore -f CA “%%c”

Đẩy vào AD DS

Thực thi đoạn script sau với quyền của tài khoản nằm trong nhóm Enterprise Admins

@echo off
F:
cd \
for %%c in (“rootca*.crt”)  do certutil -dspublish -f “%%c” RootCA
for %%c in (“policyca*.crt”) do certutil -dspublish -f “%%c” SubCA
for %%c in (“UIT Root CA*.crl”) do certutil -dspublish -f “%%c”
for %%c in (“UIT Policy CA*.crl”) do certutil -dspublish -f “%%c”
gpupdate /force

Sao chép tới Web server chứa các HTTP URL được định nghĩa trong các extension AIA và CDP

Ở đây là đường dẫn http://www.uit.vn/certdata

2.    Tạo tập tin CAPolicy.inf

Soạn nội dung giả định như sau rồi đặt nó vào thư mục %Windir% của máy issuing.uit.vn

[Version]
Signature=”$Windows NT$”

[certsrv_server]
renewalkeylength=2048
RenewalValidityPeriodUnits=5
RenewalValidityPeriod=years
CRLPeriod=3
CRLPeriodUnits=days
CRLOverlapPeriod=4
CRLOverlapUnits=hours
CRLDeltaPeriod=12
CRLDeltaPeriodUnits=hours

DiscreteSignatureAlgorithm=1
LoadDefaultTemplates=0

3.    Cài đặt Certificate Services

Tải về video hướng dẫn từng bước tại: http://www.mediafire.com/?xq64lft9fpi6909

4.     Cấu hình Post-Installation

Soạn nội dung giả định như dưới đây rồi đặt cho nó cái tên có đuôi là .cmd. Sau đó thực thi tập tin này và theo dõi kết quả trong cửa sổ Command Prompt.

::Khai báo Configuration NC
certutil -setreg CA\DSConfigDN CN=Configuration,DC=uit,DC=vn

::Khai báo CRL Publication Interval
certutil -setreg CA\CRLPeriodUnits 3
certutil -setreg CA\CRLPeriod “Days”
certutil -setreg CA\CRLOverlapUnits 4
certutil -setreg CA\CRLOverlapPeriod “Hours”
certutil -setreg CA\CRLDeltaPeriodUnits 12
certutil -setreg CA\CRLDeltaPeriod “Hours”

::Chỉ định các CDP Extension URL
certutil -setreg CA\CRLPublicationURLs “65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://www.uit.vn/CertData/%%3%%8%%9.crl\n6:http://%%1/CertEnroll/%%3%%8%%9.crl”

::Chỉ định các AIA Extension URL
certutil -setreg CA\CACertPublicationURLs “1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://www.uit.vn/CertData/%%1_%%3%%4.crt\n2:http://%%1/CertEnroll/%%1_%%3%%4.crt”

::Bật tất cả các tùy chọn auditing cho Issuing CA
certutil -setreg CA\AuditFilter 127

::Bật tính năng discrete signatures cho các chứng chỉ được cấp phát
certutil -setreg CA\csp\DiscreteSignatureAlgorithm 1

::Thiết lập Validity Period tối đa cho các chứng chỉ được cấp phát
certutil -setreg CA\ValidityPeriodUnits 2
certutil -setreg CA\ValidityPeriod “Years”

::Khởi động lại Certificate Services
net stop certsvc & net start certsvc
sleep 5
certutil -CRL

::Chép chứng chỉ và CRL của Issuing CA tới ổ USB (F:\)
sleep 5
copy /y %windir%\system32\certsrv\certenroll\*.cr? F:\

–manthang

7 comments

  1. Em đã đọc qua một loạt bài viết về PKI trên nền Windows Server 2008 của anh, rất hay và bổ ích, anh có thể phác thảo rõ hơn 1 chút về sơ đồ vật lý hệ thống của anh được không. Em vẫn hơi khó hình dung về mô hình triển khai. Em cảm ơn anh.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s