Im letzten Teil dieser Beitragsserie kümmern wir uns noch um die Veröffentlichung der Zertifikate und Sperrlisten per HTTP.
Teil 1 und Teil 2 finden sich hier:
https://www.frankysweb.de/server-20082012-pki-installieren-teil-1/
https://www.frankysweb.de/server-20082012-pki-installieren-teil-2/
Auf dem Server der später die Sperrlisten und Zertifikate per HTTP ausliefern soll, legt ihr zunächst eine neue Freigabe an. Ich habe die Freigabe in den letzten Artikeln CADATA genannt. Das Computerkonto der Sub-CA benötigt in dem Verzeichnis Schreibrechte.
Jetzt kann die Sperrliste der Sub-CA veröffentlicht werden. Dazu mit der rechten Maustaste auf „Gesperrte Zertifikate“ –> „Alle Aufagen“ –> „Veröffentlichen“ klicken
Jetzt muss noch das Zertifikat der Root-CA und deren Sperrliste und das Zertifikat der Sub-CA in das Verzeichnis kopiert werden. Die Dateien finden sich unter C:\Windows\System32\CertSrv\CertEnroll. Jetzt sollten wir also 5 Dateien in dem Verzeichnis CADATA haben.
Jetzt kann der IIS Webserver installiert werden, damit die Sperrlisten und die Zertifikate per HTTP zu erreichen sind
Per Servermanager kann dazu der IIS in der Standard Konfiguration installiert werden. Sobald der Webserver installiert ist, kann im IIS Manager in der Default Website ein neues virtuelles Verzeichnis hinzugefügt werden
Als Alias wird „cert“ gewählt und der Pfad entspricht dem Pfad von CADATA:
Wenn das Verzeichnis erstellt wurde, wird es markiert und auf „Anforderungsfilterung“ geklickt
Und dann rechts auf „Featureeinstellungen bearbeiten“
Dann den Haken bei „Doppelte Escapezeichen zulassen“ setzen
Fast Fertig. Jetzt noch im DNS Server einen neuen Host-A Eintrag mit dem Namen CA und der entsprechenden IP erzeugen. In meinem Fall ist es ca.frankysweb.de mit der IP 192.168.5.1.
Fertig.
In der Konsole „pkiview.msc“ sollte jetzt alles in Ordnung sein:
Falls es nicht der Fall sein sollte und noch Fehler auftauchen, dann sperrt in der Sub-CA die „CAExchange“ Zertifikate und lasst pkiview erneut durchlaufen:
Vielen Dank für diese Beitragsserie.
Gesucht, gefunden, umgesetzt: funktioniert!
Viele Grüße
Steven
Hy
Habe mir die Anleitung durchgelesen! Gehe ich recht in der Annahme das es sich um ein 2 Server System handelt? Der 1. Server ist der RootCA Server der dann offline gehen kann? Der 2. Server der SUB-CA kann einer meiner 4 Dcs sein, oder?
Bitte um Info Danke