Bagikan melalui

Mengonfigurasi Layanan Web Pendaftaran Sertifikat untuk perpanjangan berbasis kunci sertifikat pada port kustom

Penulis: Jitesh Thakur, Meera Mohideen, Penasihat Teknis dari Windows Group. Ankit Tyagi, Insinyur Dukungan dengan Grup Windows

Summary

Artikel ini memberikan instruksi langkah demi langkah untuk menerapkan Layanan Web Kebijakan Pendaftaran Sertifikat (CEP) dan Layanan Web Pendaftaran Sertifikat (CES) pada port kustom selain 443 untuk perpanjangan berbasis kunci sertifikat untuk memanfaatkan fitur perpanjangan otomatis CEP dan CES.

Artikel ini juga menjelaskan cara kerja CEP dan CES dan menyediakan panduan penyiapan.

Note

Alur kerja yang disertakan dalam artikel ini berlaku untuk skenario tertentu. Alur kerja yang sama mungkin tidak berfungsi untuk situasi yang berbeda. Namun, prinsip-prinsipnya tetap sama.

Penafian: Penyiapan ini dibuat untuk persyaratan tertentu di mana Anda tidak ingin menggunakan port 443 untuk komunikasi HTTPS default untuk server CEP dan CES. Meskipun pengaturan ini dimungkinkan, pengaturan ini memiliki dukungan terbatas. Layanan dan Dukungan Pelanggan dapat membantu Anda jika Anda mengikuti panduan ini dengan hati-hati menggunakan penyimpangan minimal dari konfigurasi server web yang disediakan.

Scenario

Untuk contoh ini, instruksi didasarkan pada lingkungan yang menggunakan konfigurasi berikut:

  • Hutan Contoso.com yang memiliki infrastruktur kunci umum (PKI) Active Directory Certificate Services (AD CS).

  • Dua instans CEP/CES yang dikonfigurasi pada satu server yang berjalan di bawah akun layanan. Satu instans menggunakan nama pengguna dan kata sandi untuk pendaftaran awal. Yang lain menggunakan autentikasi berbasis sertifikat untuk perpanjangan berbasis kunci dalam mode perpanjangan saja.

  • Pengguna memiliki grup kerja atau komputer yang tidak bergabung dengan domain untuk mendaftarkan sertifikat komputer dengan menggunakan kredensial nama pengguna dan kata sandi.

  • Koneksi dari pengguna ke CEP dan CES melalui HTTPS terjadi pada port kustom seperti 49999. (Port ini dipilih dari rentang port dinamis dan tidak digunakan sebagai port statis oleh layanan lain.)

  • Ketika masa pakai sertifikat mendekati akhir, komputer menggunakan perpanjangan berbasis kunci CES berbasis sertifikat untuk memperbarui sertifikat melalui saluran yang sama.

deployment

Configuration instructions

Overview

  1. Konfigurasikan templat untuk perpanjangan berbasis kunci.

  2. Sebagai prasyarat, konfigurasikan server CEP dan CES untuk autentikasi nama pengguna dan kata sandi. Di lingkungan ini, kami menyebut instans sebagai "CEPCES01".

  3. Konfigurasikan instans CEP dan CES lain dengan menggunakan PowerShell untuk autentikasi berbasis sertifikat di server yang sama. Instans CES menggunakan akun layanan.

    Di lingkungan ini, kami menyebut instans sebagai "CEPCES02". Akun layanan yang digunakan adalah "cepcessvc".

  4. Mengonfigurasi pengaturan sisi klien.

Configuration

Bagian ini menyediakan langkah-langkah untuk mengonfigurasi pendaftaran awal.

Note

Anda juga dapat mengonfigurasi akun layanan pengguna, MSA, atau GMSA agar CES berfungsi.

Sebagai prasyarat, Anda harus mengonfigurasi CEP dan CES di server dengan menggunakan autentikasi nama pengguna dan kata sandi.

Mengonfigurasi templat untuk perpanjangan berbasis kunci

Anda dapat menduplikasi templat komputer yang sudah ada, dan mengonfigurasi pengaturan templat berikut:

  1. Pada tab Nama Subjek pada templat sertifikat, pastikan bahwa Pasokan dalam Permintaan dan Penggunaan informasi subjek dari sertifikat yang ada untuk permintaan perpanjangan pendaftaran otomatis dipilih. New Templates

  2. Switch to the Issuance Requirements tab, and then select the CA certificate manager approval check box. Issuance Requirements

  3. Assign the Read and Enroll permission to the cepcessvc service account for this template.

  4. Terbitkan templat baru di CA.

Note

Pastikan pengaturan kompatibilitas pada templat diatur ke Windows Server 2012 R2 karena ada masalah yang diketahui di mana templat tidak terlihat jika kompatibilitas diatur ke Windows Server 2016 atau versi yang lebih baru. Untuk informasi selengkapnya, lihat Tidak dapat memilih templat sertifikat yang kompatibel dengan Windows Server 2016 CA dari server CA atau server CEP berbasis Windows Server 2016 atau yang lebih baru.

Mengonfigurasi instans CEPCES01

Langkah 1: Instal instance

Untuk menginstal instans CEPCES01, gunakan salah satu metode berikut.

Method 1

Lihat artikel berikut untuk panduan langkah demi langkah guna mengaktifkan CEP dan CES untuk autentikasi nama pengguna dan kata sandi:

Panduan Layanan Web Kebijakan Pendaftaran Sertifikat

Panduan Layanan Web Pendaftaran Sertifikat

Note

Pastikan Anda tidak memilih opsi "Aktifkan Key-Based Perpanjangan" jika Anda mengonfigurasi instans autentikasi CEP dan CES dengan nama pengguna dan kata sandi.

Method 2

Anda dapat menggunakan cmdlet PowerShell berikut untuk menginstal instans CEP dan CES:

Import-Module ServerManager
Add-WindowsFeature Adcs-Enroll-Web-Pol
Add-WindowsFeature Adcs-Enroll-Web-Svc

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username -SSLCertThumbprint "sslCertThumbPrint"

Perintah ini menginstal Layanan Web Kebijakan Pendaftaran Sertifikat (CEP) dengan menentukan bahwa nama pengguna dan kata sandi digunakan untuk autentikasi.

Note

In this command, <SSLCertThumbPrint> is the thumbprint of the certificate to bind IIS.

Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig "CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Username

This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA. Identitas CES ditentukan sebagai identitas kumpulan aplikasi default. The authentication type is username. SSLCertThumbPrint adalah sidik jari sertifikat untuk menghubungkan ke IIS.

Langkah 2: Periksa konsol Manajer Layanan Informasi Internet (IIS)

Setelah penginstalan berhasil, Anda akan melihat tampilan berikut di konsol manajer Layanan Informasi Internet (IIS). Cuplikan layar yang menampilkan konsol Layanan Informasi Internet Manager.

Di bawah Default Web Site, pilih ADPolicyProvider_CEP_UsernamePassword, lalu buka Pengaturan Aplikasi. Note the ID and the URI.

You can add a Friendly Name for management.

Mengonfigurasi instans CEPCES02

Langkah 1: Instal CEP dan CES untuk perpanjangan berbasis kunci di server yang sama.

Jalankan perintah berikut di PowerShell:

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -SSLCertThumbprint "sslCertThumbPrint" -KeyBasedRenewal

Perintah ini menginstal Layanan Web Kebijakan Pendaftaran Sertifikat (CEP) dan menentukan bahwa sertifikat digunakan untuk autentikasi.

Note

Dalam perintah ini, <SSLCertThumbPrint> adalah thumbprint sertifikat untuk mengikat IIS.

Perpanjangan berbasis kunci memungkinkan klien sertifikat memperbarui sertifikat mereka dengan menggunakan kunci sertifikat yang ada untuk autentikasi. Saat dalam mode perpanjangan berbasis kunci, layanan hanya mengembalikan templat sertifikat yang diatur untuk perpanjangan berbasis kunci.

Install-AdcsEnrollmentWebService -CAConfig "CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Certificate -ServiceAccountName "Contoso\cepcessvc" -ServiceAccountPassword (read-host "Set user password" -assecurestring) -RenewalOnly -AllowKeyBasedRenewal

This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA.

In this command, the identity of the Certificate Enrollment Web Service is specified as the cepcessvc service account. The authentication type is certificate. SSLCertThumbPrint is the thumbprint of the certificate to bind IIS.

The RenewalOnly cmdlet lets CES run in renewal only mode. The AllowKeyBasedRenewal cmdlet also specifies that the CES accepts key based renewal requests for the enrollment server. Ini adalah sertifikat klien yang valid untuk autentikasi yang tidak dipetakan langsung ke entitas keamanan.

Note

The service account must be part of IIS_IUSRS group on the server.

Langkah 2 Periksa konsol Manajer IIS

Setelah penginstalan berhasil, Anda akan melihat tampilan berikut di konsol IIS Manager. IIS manager

Select KeyBasedRenewal_ADPolicyProvider_CEP_Certificate under Default Web Site and open Application Settings. Take a note of the ID and the URI. You can add a Friendly Name for management.

Note

Jika instans diinstal pada server baru, periksa kembali ID untuk memastikan bahwa ID sama dengan yang dihasilkan dalam instans CEPCES01. Anda dapat menyalin dan menempelkan nilai secara langsung jika berbeda.

Menyelesaikan konfigurasi Layanan Web Pendaftaran Sertifikat

Untuk mendaftarkan sertifikat untuk fungsionalitas CEP dan CES, Anda harus mengonfigurasi akun komputer grup kerja di Direktori Aktif lalu mengonfigurasi delegasi yang dibatasi pada akun layanan.

Langkah 1: Buat akun komputer komputer grup kerja di Direktori Aktif

Akun ini digunakan untuk autentikasi menuju perpanjangan berbasis kunci dan opsi Terbitkan ke Direktori Aktif pada templat sertifikat.

Note

Anda tidak perlu bergabung dengan domain komputer klien.

New Object

Langkah 2: Mengonfigurasi akun layanan untuk Delegasi Yang Dibatasi (S4U2Self)

Jalankan perintah PowerShell berikut untuk mengaktifkan delegasi yang dibatasi (S4U2Self atau protokol autentikasi apa pun):

Get-ADUser -Identity cepcessvc | Set-ADAccountControl -TrustedToAuthForDelegation $True
Set-ADUser -Identity cepcessvc -Add @{'msDS-AllowedToDelegateTo'=@('HOST/CA1.contoso.com','RPCSS/CA1.contoso.com')}

Note

Dalam perintah ini, <cepcessvc> adalah akun layanan, dan <CA1.contoso.com> adalah Otoritas Sertifikasi.

Important

Kami tidak mengaktifkan bendera RENEWALONBEHALOF pada CA dalam konfigurasi ini karena kami menggunakan delegasi yang dibatasi untuk melakukan pekerjaan yang sama bagi kami. Ini memungkinkan kita dapat menghindari penambahan izin akun layanan ke dalam keamanan CA.

Langkah 3: Mengonfigurasi port kustom di server web IIS

  1. Di konsol Manajer IIS, pilih Situs Web Default.

  2. Di panel tindakan, pilih Edit Pengikatan Situs.

  3. Ubah pengaturan port default dari 443 ke port kustom Anda. Contoh cuplikan layar menunjukkan pengaturan port 49999. Change port

Langkah 4: Edit Objek layanan pendaftaran CA di Direktori Aktif

  1. Pada pengendali domain, buka adsiedit.msc.

  2. Sambungkan ke partisi Konfigurasi, dan navigasikan ke objek layanan pendaftaran CA Anda:

    CN = ENTCA, CN = Layanan Pendaftaran, CN = Layanan Kunci Publik, CN = Layanan, CN = Konfigurasi, DC = contoso, DC = com

  3. Klik kanan dan edit Objek CA. Change the msPKI-Enrollment-Servers attribute by using the custom port with your CEP and CES server URIs that were found in the application settings. For example:

    140https://cepces.contoso.com:49999/ENTCA_CES_UsernamePassword/service.svc/CES0
181https://cepces.contoso.com:49999/ENTCA_CES_Certificate/service.svc/CES1

    ADSI Edit

Mengonfigurasi komputer klien

Di komputer klien, siapkan kebijakan Pendaftaran dan kebijakan Pendaftaran Otomatis. Untuk melakukan ini, ikuti langkah-langkah berikut:

  1. Select Start>Run, and then enter gpedit.msc.

  2. Go to Computer Configuration>Windows Settings>Security Settings, and then click Public Key Policies.

  3. Aktifkan kebijakan Klien Layanan Sertifikat - Pendaftaran Otomatis agar sesuai dengan pengaturan dalam cuplikan layar berikut. Kebijakan sertifikat grup

  4. Aktifkan Klien Layanan Sertifikat - Kebijakan Pendaftaran Sertifikat.

    a. Click Add to add enrollment policy and enter the CEP URI with UsernamePassword that we edited in ADSI.

    b. For Authentication type, select Username/password.

    c. Set a priority of 10, and then validate the policy server. Cuplikan layar yang memperlihatkan tempat untuk mengatur prioritas.

    Note

    Pastikan bahwa nomor port ditambahkan ke URI dan diizinkan pada firewall.

  5. Daftarkan sertifikat pertama untuk komputer melalui certlm.msc. Cuplikan layar yang memperlihatkan tempat memilih kebijakan pendaftaran sertifikat.

    Pilih templat KBR dan daftarkan sertifikat. Cuplikan layar yang memperlihatkan tempat untuk memilih templat K B R.

  6. Open gpedit.msc again. Edit Klien Layanan Sertifikat – Kebijakan Pendaftaran Sertifikat, lalu tambahkan kebijakan pendaftaran pembaruan berbasis kunci:

    a. Click Add, enter the CEP URI with Certificate that we edited in ADSI.

    b. Set a priority of 1, and then validate the policy server. Anda akan diminta untuk mengautentikasi dan memilih sertifikat yang kami daftarkan awalnya.

    Enrollment Policy

Note

Pastikan bahwa nilai prioritas kebijakan pendaftaran perpanjangan berbasis kunci lebih rendah dari prioritas prioritas kebijakan pendaftaran Kata Sandi Nama Pengguna. Preferensi pertama diberikan pada prioritas terendah.

Menguji penyiapan

Untuk memastikan bahwa Perpanjangan Otomatis berfungsi, verifikasi bahwa perpanjangan manual berfungsi dengan memperbarui sertifikat dengan kunci yang sama menggunakan mmc. Selain itu, Anda harus diminta untuk memilih sertifikat saat memperbarui. Anda dapat memilih sertifikat yang sebelumnya kami daftarkan. Perintah diharapkan.

Buka penyimpanan sertifikat pribadi komputer, dan tambahkan tampilan sertifikat yang diarsipkan. Untuk melakukan ini, tambahkan snap-in akun komputer lokal ke mmc.exe, sorot Sertifikat (Komputer Lokal) dengan mengkliknya, klik tampilan dari tab tindakan di sebelah kanan atau atas mmc, klik opsi tampilan, pilih Sertifikat yang diarsipkan, lalu klik OK.

Method 1

Jalankan perintah berikut:

certreq -machine -q -enroll -cert <thumbprint> renew

Method 2

Majukan waktu dan tanggal pada komputer klien ke dalam waktu pembaruan templat sertifikat.

Misalnya, templat sertifikat memiliki pengaturan validitas 2 hari dan pengaturan perpanjangan 8 jam yang dikonfigurasi. Contoh sertifikat dikeluarkan pada pukul 4:00 A.M. pada hari ke-18 dalam sebulan, berakhir pada pukul 4:00 A.M. pada tanggal 20. Mesin Pendaftaran Otomatis diaktifkan saat sistem dihidupkan ulang dan pada setiap interval delapan jam (kira-kira).

Oleh karena itu, jika Anda memajukan waktu menjadi pukul 20:10 pada tanggal 19 karena jendela perpanjangan kami ditetapkan menjadi 8 jam pada template, menjalankan Certutil -pulse (untuk memicu mesin AE) akan mendaftarkan sertifikat untuk Anda.

command

Setelah pengujian selesai, kembalikan pengaturan waktu ke nilai asli, lalu mulai ulang komputer klien.

Note

Cuplikan layar sebelumnya adalah contoh untuk menunjukkan bahwa mesin Pendaftaran Otomatis berfungsi seperti yang diharapkan karena tanggal CA masih diatur ke tanggal 18. Oleh karena itu, ia terus menerbitkan sertifikat. Dalam situasi kehidupan nyata, sejumlah besar perpanjangan ini tidak akan terjadi.

References

Panduan Lab Pengujian: Menunjukkan Perpanjangan Berbasis Kunci Sertifikat

Layanan Web Pendaftaran Sertifikat

Install-AdcsEnrollmentPolicyWebService

Install-AdcsEnrollmentWebService

See also

Forum Keamanan Windows Server

Tanya Jawab Umum (FAQ) Active Directory Certificate Services (AD CS) Public Key Infrastructure (PKI)

Referensi dan Pustaka Dokumentasi PKI Windows

Windows PKI Blog

Cara mengonfigurasi Delegasi Yang Dibatasi Kerberos (S4U2Proxy atau Hanya Kerberos) pada akun layanan kustom untuk halaman proksi Pendaftaran Web