Server 2008/2012: PKI installieren (Teil 3)

Im letzten Teil dieser Beitragsserie kümmern wir uns noch um die Veröffentlichung der Zertifikate und Sperrlisten per HTTP.

Teil 1 und Teil 2 finden sich hier:

https://www.frankysweb.de/server-20082012-pki-installieren-teil-1/

https://www.frankysweb.de/server-20082012-pki-installieren-teil-2/

Auf dem Server der später die Sperrlisten und Zertifikate per HTTP ausliefern soll, legt ihr zunächst eine neue Freigabe an. Ich habe die Freigabe in den letzten Artikeln CADATA genannt. Das Computerkonto der Sub-CA benötigt in dem Verzeichnis Schreibrechte.

image

Jetzt kann die Sperrliste der Sub-CA veröffentlicht werden. Dazu mit der rechten Maustaste auf „Gesperrte Zertifikate“ –> „Alle Aufagen“ –> „Veröffentlichen“ klicken

image_thumb[3]

Jetzt muss noch das Zertifikat der Root-CA und deren Sperrliste und das Zertifikat der Sub-CA in das Verzeichnis kopiert werden. Die Dateien finden sich unter C:\Windows\System32\CertSrv\CertEnroll. Jetzt sollten wir also 5 Dateien in dem Verzeichnis CADATA haben.

image

Jetzt kann der IIS Webserver installiert werden, damit die Sperrlisten und die Zertifikate per HTTP zu erreichen sind

image

Per Servermanager kann dazu der IIS in der Standard Konfiguration installiert werden. Sobald der Webserver installiert ist, kann im IIS Manager in der Default Website ein neues virtuelles Verzeichnis hinzugefügt werden

image

Als Alias wird „cert“ gewählt und der Pfad entspricht dem Pfad von CADATA:

image

Wenn das Verzeichnis erstellt wurde, wird es markiert und auf „Anforderungsfilterung“ geklickt

image

Und dann rechts auf „Featureeinstellungen bearbeiten“

image

Dann den Haken bei „Doppelte Escapezeichen zulassen“ setzen

image

Fast Fertig. Jetzt noch im DNS Server einen neuen Host-A Eintrag mit dem Namen CA und der entsprechenden IP erzeugen. In meinem Fall ist es ca.frankysweb.de mit der IP 192.168.5.1.

image

Fertig.

In der Konsole „pkiview.msc“ sollte jetzt alles in Ordnung sein:

image

Falls es nicht der Fall sein sollte und noch Fehler auftauchen, dann sperrt in der Sub-CA die „CAExchange“ Zertifikate und lasst pkiview erneut durchlaufen:

image

2 Kommentare zu “Server 2008/2012: PKI installieren (Teil 3)”

  1. Hy

    Habe mir die Anleitung durchgelesen! Gehe ich recht in der Annahme das es sich um ein 2 Server System handelt? Der 1. Server ist der RootCA Server der dann offline gehen kann? Der 2. Server der SUB-CA kann einer meiner 4 Dcs sein, oder?

    Bitte um Info Danke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.