Hier ist eine kurze Anleitung wie man schnell eine zweistufige Zertifizierungsstelle auf Basis von Windows 2016 einrichtet. Eigenständige Zertifizierungsstelle (Standalone Root CA) mit Unternehmenszertifizierungsstelle (Enterprise Subordinate CA)
Zertifizierungsstelle Architecture
Meine Demo-Umgebung besteht aus den drei Komponenten:
1. Domain Controller, Server 2016
2. Offline Standalone Root CA (Eigenständige Zertifizierungsstelle), Server 2016, Workgroup Member
3. Enterprise Subordinate CA (Unternehmenszertifizierungsstelle), Server 2016, Domain Member
Installation der Root CA (Offline) HOME-ROOT-CA
01. Auf einem Non Domain Member Server eine neue Rolle hinzufügen
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28. Die Adresse des zweiten Servers (Online Sub CA) eingeben:
http://home-ca-sub/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
29.
30.
31. http:// home-ca-sub/certEnroll/<ServerDNSName>_<CaName><CertificateName>.crt
32. CERTUTIL -setreg CA\DSConfigDN CN=Configuration,DC=home,DC=com
33. CERTUTIL -setreg CA\CRLPeriod weeks
34. CERTUTIL -setreg CA\CRLPeriodUnits 52
35. CERTUTIL -setreg CA\CRLDeltaPeriods days
36. CERTUTIL -setreg CA\CRLDeltaUnits 0
37. CERTUTIL -setreg CA\CRLOverlapPeriods weeks
38. CERTUTIL -setreg CA\CRLOverlapPeriodUnits 4
39. CERTUTIL -setreg CA\ValidityPeriod years
40. CERTUTIL -setreg CA\ValidityPeriodUnits 10
41. CERTUTIL -setreg CA\csp\DiscreteSignatureAlgorithm 1
42. net stop certsvc und net start certsvc
43.
44.
Installation der Subordinate CA (Online) HOME-Sub-CA
Enterprise Subordinate CA
01.
02.
03.
04.
05.
06.
07.
08.
09.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
Weiter auf dem Server: HOME-ROOT-CA
01.
02.
03.
04.
05. Eigenschaften
06.
07.
08.
09.
10.
11.
12.
13.
Weiter auf dem Server: HOME-Sub-CA
14.
CRL und CRT Dateien von \\HOME-ROOT-CA\C$\Windows\System32\certsrv\CertEnroll
nach \\HOME-SUB-CA\C$\Windows\System32\certsrv\CertEnroll kopieren.
15.
16.
16. Zertifikatdienste starten.