Panduan Step-By-Step Windows Server 2008 Active Directory Certificate Services

Abstract
Panduan step-by-step ini menjelaskan langkah-langkah yang diperlukan untuk set-up sebuah konfigurasi dasar dari Active Directory Certificate Services (AD CS) dalam sebuah lingkungan lab. AD CS dalam Windows Server 2008 menyediakan service-service yang dapat di-customize untuk menciptakan dan mengatur public key certificates yang digunakan dalam software sistem keamanan yang menggunakan teknologi public key.

Contents
Panduan Step-by-Step Windows Server Active Directory Certificate Services .............................. 5 Review Teknologi AD CS ............................................................................................................. 5 Kebutuhan untuk Menggunakan AD CS ...................................................................................... 6 Skenario Dasar Lab AD CS ......................................................................................................... 7 Langkah-langkah untuk Setting up Lab Dasar ............................................................................. 7 Tahap 1: Setting Up Sebuah Enterprise Root CA .................................................................... 8 Tahap 2: Menginstall Online Responder .................................................................................. 9 Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates.. 10 Tahap 4: Membuat Sebuah Konfigurasi Pengembalian ......................................................... 11 Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar .......................................... 13 Skenario Lanjutan Lab AD CS ................................................................................................... 14 Tahap-tahap untuk Setting Up Advanced Lab ........................................................................... 14 Tahap 1: Setting Up Stand-Alone Root CA ............................................................................ 15 Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA ................................... 16 Tahap 3: Menginstall dan Mengkonfigurasi Online Responder .............................................. 17 Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates.............................................................................................................. 17 Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder ........................................................................................................................... 18 Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA ........................ 19 Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate ........................... 19 Tahap 8: Membuat Sebuah Revocation Configuration........................................................... 20 Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service ............................ 21 Tahap 10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar ................... 22

Panduan Step-by-Step Windows Server Active Directory Certificate Services

Panduan step-by-step ini menjelaskan langkah-langkah yang diperlukan untuk set-up sebuah konfigurasi dasar dari Active Directory Certificate Services (AD CS) dalam sebuah lingkungan lab. AD CS dalam Windows Server 2008 menyediakan service-service yang dapat di-customize untuk menciptakan dan mengatur public key certificates yang digunakan dalam software sistem keamanan yang menggunakan teknologi public key. Dokumen ini meliputi: Sebuah tinjuan dari fitur-fitur AD CS Kebutuhab untuk menggunakan AD CS Prosedur-prosedur untuk sebuah setup dasar lab untuk mencoba AD CS pada sebuah jumlah minimum komputer Prosedure-prosedur untuk sebuah setup advance lab untuk mencoba AD CS pada sebuah jumlah besar komputer agar simulasi konfigurasi nyata yang lebih realistik

Review Teknologi AD CS
Menggunakan pilihan Active Directory Certificate Services dari Add Roles Wizard, dana bisa me-set-up komponen dari AD CS sebagai berikut: Certification authorities (CAs). Root dan subordinate CAs digunakan untuk mengeluarkan sertifikat user-user, computer-komputer, dan service-service, dan untuk mengatur validasinya. CA Web enrollment. Web enrollment membolehkan user-user untuk berhubungan ke sebuah CA dalam artian sebuah Web browser yang akan: Meminta sertifikat-sertifikat dan memeriksa sertifikat yang diminta tersebut. Mendapatkan kembali certificate revocation lists (CRLs). Melakukan pendaftaran sertifikat smart card.

Online Responder service. Online Responder service menerapkan Online Certificate Status Protocol (OCSP) dengan mendecode status penarikan kembali permintaan untuk sertifikatsertifikat tertentu, mengevaluasi status dari sertifikat-sertifikat ini, dan mengirimkan kembali sebuah sinyal respon yang berisi informasi status dari sertifikat yang diminta.

Penting Responder-responder online bisa digunakan sebagai sebuah alternative untuk atau sebuah ekstensi dari CRLs untuk menyediakan sertifikat pengembalian data ke klienklien. Responder-responder online Microsoft didasari dan mengikuti RFC 2560 untuk OCSP. Untuk informasi lebih lanjut mengenai RFC 2560, lihat Web site Internet untuk Engineering Task Force (http://go.microsoft.com/fwlink/?LinkID=67082). Network Device Enrollment Service. The Network Device Enrollment Service membolehkan router-router dan device-device network yang lainnya untuk mendapatkan sertifikat berdasarkan pada Simple Certificate Enrollment Protocol (SCEP) dari Cisco Systems Inc. Note SCEP telah dikembangkan untuk mendukung keamanan, skalabilitas keluaran dari sertifikat untuk device-device network dengan menggunakan CAs yang telah ada. Protocol tersebut mendukung CA dan pendaftaran registrasi distribusi public key, sertifikat, pengembalian sertifikat, antrian sertifikat, dan antrian pengembalian sertifikat.

Kebutuhan untuk Menggunakan AD CS

CAs bisa di-set-up pada server-server yang menjalankan beberapa jenis sistem operasi, termasuk Windows 2000 Server, Windows Server 2003, dan Windows Server 2008. Bagaimanapun, tidak semua sistem operasi mendukung semua fitur atau kebutuhan desain, dan membuat sebuah desain yang optimal membutuhkan perencanaan yang matang dan testing sebelum mendeploy AD CS dalam lingkungan produksi. Meskipun dana bisa mendeploy AD CS dengan menggunakan sedikit hardware sebagai sebuah single server untuk sebuah single CA, banyak deployment melibatkan banyak server yang dikonfigur sebagai root, policy, dan yang mengeluarkan CAs, dan server-server lainnya yang dikonfigur sebagai Online Responder. Note Sebuah set terbatas dari server roles tersedia untuk sebuah Server Core installation dari Windows Server 2008 dan untuk Windows Server 2008 untuk Itanium-based Systems. Table berikut merupakan daftar komponen-komponen AD CS yang bisa dikonfigurasi pada beberapa edisi Windows Server 2008.
Components Web Standard Enterprise Datacenter

CA Network Device Enrollment Service

Tidak Tidak

Ya Tidak

Ya Ya

Ya Ya

Components

Web

Standard

Enterprise

Datacenter

Online Responder service

Tidak

Tidak

Ya

Ya

Fitur-fitur berikut tersedia pada server Windows Server 2008 yang telah dikonfigurasi sebagai CAs.
AD CS features Web Standard Enterprise Datacenter

Version 2 dan version 3 certificate templates Key archival Role separation Certificate Manager restrictions Delegated enrollment agent restrictions

Tidak

Tidak

Ya

Ya

Tidak Tidak Tidak

Tidak Tidak Tidak

Ya Ya Ya

Ya Ya Ya

Tidak

Tidak

Ya

Ya

Skenario Dasar Lab AD CS

Bagian berikut menjelaskan bagainab dana bisa set-up sebuah lab untuk mengevaluasi AD CS. Kami menganjurkan dana pertama-tama menggunakan langkah-langkah yang disediakan dalam petunjuk ini. Pentunuk langkah-langkah ini tidak perlu semuanya digunakan untuk mendeploy fitur-fitur Windows Server tanpa sebuah dokumentasi dan harusnya digunakan dengan bijak sebgaia stdan-alone document.

Langkah-langkah untuk Setting up Lab Dasar

Dana bisa memulai testing fitur-fitur dari AD CS dalam sebuah lingkungan lab dengan menggunakan setidaknya dua Windows Server 2008 dan satu computer client yang menggunakan Windows Vista. Komputer-komputer untuk petunuk ini dinamanakan sebagai berikut: LH_DC1: Komputer ini akan menjadi domain controller untuk lingkungan test dana. LH_PKI1: Komputer ini akan meng-host sebuah enterprise root CA untuk lingkungan test tersebut. CA ini akan mengeluarkan sertifikat untuk Online Responder dan komputer client.

Note Enterprise CAs dan Online Responders hanya bisa diinstall pada servers yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. LH_CLI1: Komputer client ini menggunakan Windows Vista akan autoenroll untuk sertifikat dari LH_PKI1 dan memverifikasi statusnya dari LH_ PKI1.

Untuk mengkonfigurasi setup dasar lab untuk AD CS, dana butuh untuk melakukan langkahlangkah prerequisite berikut: Set up sebuah domain controller pada LH_DC1 untuk contoso.com, termasuk beberapa unit organisasi (OUs) untuk memuat satu atau lebih user untuk komputer client, komputer client dalam domain, dan untuk server yang menghosting CAs dan Online Responders. Menginstall Windows Server 2008 pada LH_PKI1, dan mengikutkan LH_PKI1 ke domain tersebut. Menginstall Windows Vista pada LH_CLI1, dan mengikutkan LH_CLI1 ke contoso.com.

Setelah dana menyelesaikan prosedur-prosedur tersebut, dana bisa memulai langkah-langkah berikut: Tahap 1: Setting Up Sebuah Enterprise Root CA Tahap 2: Menginstall Online Responder Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates Tahap 4: Membuat Sebuah Konfigurasi Pengembalian Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar

Tahap 1: Setting Up Sebuah Enterprise Root CA

Sebuah enterprise root CA ialah akar dari kepercayaan untuk setup dasar lab. Dia akan digunakan untuk mengeluarkan sertifikat untuk Online Responder dan komputer client, dan untuk menerbitkan informasi sertifikat ke Active Directory Domain Services (AD DS). Note Enterprise CAs dan Online Responders hanya bisa diinstall pada server Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. Untuk set up sebuah enterprise root CA 1. Log on pada LH_PKI1 sebagai administrator domain. 2. Klik Start, pilih Administrative Tools,dan kemudian klik Server Manager. 3. Pada bagian Roles Summary, klik Add roles. 4. Pada halaman Select Server Roles, centang pilihan Active Directory Certificate Services. Klik Next dua kali. 5. Pada halaman Select Role Services, centang pilihan Certification Authority,dan
8

kemudian klik Next. 6. Pada halaman Specify Setup Type, klik Enterprise,dan kemudian klik Next. 7. Pada halaman Specify CA Type, klik Root CA, dan kemudian klik Next. 8. Pada halamn Set Up Private Key dan Configure Cryptography for CA, dana bisa mengkonfigurasi settingan opsional, termasuk penyelenggara layanan cryptographic. Bagaimanapun, untuk tujuan testing dasar, gunakan settingan default lalu klik Next dua kali. 9. Pada kotak Common name for this CA, ketikan nama dari CA, RootCA1, dan kemudian klik Next. 10. Pada halaman Set the Certificate Validity Period, gunakan validasi durasi default untuk root CA, dan kemudian klik Next. 11. Pada halaman Configure Certificate Database, gunakan nilai default atau tentukan lokasi penyimpanan database log sertifikat yang lain, dan kemudian klik Next. 12. Setelah memeriksa informasi pada halaman Confirm Installation Options, klik Install. 13. Lihat kembali informasi pada layar confirmation untuk melihat apakah proses installasi berhasil.

Tahap 2: Menginstall Online Responder

Sebuah Online Responder hanya bisa diinstall pada komputer yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. Data pengembalian sertifikat bisa dating dari sebuah CA pada komputer yang menjalankan Windows Server 2008, sebuah CA pada sebuah komputer yang menjalankan Windows Server 2003, atau dari sebuah non-Microsoft CA. Note IIS harus diinstall terlebih dahulu pada komputer ini sebelum menginstall Online Responder. Untuk menginstall Online Responder 1. Log on pada LH_PKI1 sebagai administrator domain. 2. Klik Start, pilih Administrative Tools,dan kemudian klik Server Manager. 3. Klik Manage Roles. Dalam bagian Active Directory Certificate Services, klik Add role services. 4. Pada halaman Select Role Services, centang kotak Online Responder. Dana akan diminta untuk menginstall IIS dan Windows Activation Service. 5. Klik Add Required Role Services, dan kemudian klik Next tiga kali. 6. Pada halaman Confirm Installation Options, klik Install.
9

7. Ketika proses installasi selesai, lihat kembali halaman status untuk memastikan installasi berhasil.

Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates

Mengkonfigurasi sebuah CA untuk mendukung layanan Online Responder meliputi konfigurasi template-template sertifikat dan properties keluaran untuk sertifikat OCSP Response Signing dan kemudian lengkapi langkah-langkah tambahan pada CA untuk mendukung Online Responder dan keluaran sertifikat. Note Template-template sertifikat dan langkah-langkah autoenrollment ini bisa juga digunakan untuk mengkonfigurasi sertifikat yang dana ingin keluarkan untuk sebuah komputer client atau komputer user. Untuk mengkonfigurasi template-template sertifikat untuk lingkungan test anda 1. Log on pada LH_PKI1 sebagai administrator CA. 2. Buka snap-in Certificate Templates. 3. klik kanan pada template OCSP Response Signing, dan kemudian klik Duplicate Template. 4. Ketik nama baru untuk menduplikat temlate, seperti sebuah OCSP Response Signing_2. 5. klik kanan pada template sertifikat OCSP Response Signing_2, dan kemudian klik Properties. 6. Klik tab Security. Dibawah Group atau user name, klik Add, dan kemudian ketik nama atau browse untuk memilih komputer yang hosting layanan Online Responder. 7. Klik nama komputer, LH_PKI1,dan didalam kotak Permissions, centang kotak Read dan Autoenroll. 8. Ketika snap-in Certificate Templates terbuka, dana bisa mengkonfigur template sertifikat untuk user dan computer dengan menukar template-template yang diinginkan pada tahap 3, dan ulangi tahap 4 sampai 7 untuk mengkonfigur permission untuk LH_CLI1 dan account user test dana. Untuk mengkonfigur CA agar mendukung Online Responders, dana butuh untuk menggunakan snap-in Certification Authority untuk menyelesaikan dua tahap kunci berikut: Tambah lokasi dari Online Responder untuk informasi wewenang akses ekstensi dari sertifikat yang dikeluarkan. Aktifkan template sertifikat yang dana telah konfigurasi pada tahap sebelumnya untuk CA.

10

Untuk mengkonfigurasi sebuah CA untuk mendukung Online Responder service 1. Buka snap-in Certification Authority. 2. Dalam konsol, klik nama dari CA. 3. Pada menu Action, klik Properties. 4. Klik tab Extensions. Dalam daftar Select extension, klik Authority Information Access (AIA). 5. Pilih Include in the AIA extension of issue certificates centang kotak Include in the online certificate status protocol (OCSP) extension. 6. Tentukan lokasi dari mana user bisa mendapatkan data pengembalian sertifikat; untuk setup ini, lokasinya ialah http://LH_PKI1/ocsp. 7. Dalam konsol dari Certification Authority snap-in, klik kanan Certificate Templates, dan kemudian klik New Certificate Templates to Issue. 8. Dalam Enable Certificate Templates, pilih template OCSP Response Signing dan template-template lainnya yang telah dana konfigur sebelunya dan kemudian klik OK. 9. Buka Certificate Templates, dan periksa apakah sertifikat yang dimodifikasi muncul dalam daftar.

Tahap 4: Membuat Sebuah Konfigurasi Pengembalian

Sebuah konfigurasi pengembalian meliputi semua settingan yang dibutuhkan untuk respon ke status permintaan sertifikat yang telah dikeluarkan menggunakan key CA yang spesifik. Konfigurasi berikut meliputi sertifikat CA, sertifikat bertdana untuk Online Responder, dan lokasi dimana client ditunjukan untuk mengirim status permintaan mereka. Penting Sebelum dana membuat sebuah konfigurasi pengembalian, pastikan bahwa pendaftaran sertifikat telah mengambil tempat sehingga sebuah sertifikat bertdana telah ada pada computer dan sesuaikan permission pada sertifikat tersebut sehingga membolehkan Online Responder untuk menggunakannya. Untuk memeriksa sertifikat bertanda terkonfigurasi dengan benar 1. Start atau restart LH_PKI1 untuk mendaftar untuk sertifikat. 2. Log on sebagai administrator CA. 3. Buka Certificates snap-in untuk account komputer. Buka sertifikat store personal untuk computer tersebut, dan periksa apakah mengdanung sebuah sertifikat bernama OCSP Response Signing. 4. Klik kanan pada sertifikat ini, dan kemudian klik Manage Private Keys. 5. Klik tab Security. Dalam kotak dialog User Group atau user name, klik Add, masuk
11

Network Service ke daftar Group atau user name, dan klik OK. 6. Klik Network Service, dan dalam kotak dialog Permissions, centang kotak Full Control. 7. Klik OK dua kali. Membuat sebuah konfigurasi pengembalian melibatkan tugas-tugas berikut: Identifikasi sertifikat CA untuk CA yang mendukung Online Responder. Identifikasi poin distribusi CRL untuk CA. Pilih sebuah sertifikat bertdana yang akan digunakan untuk mendanai status respon pengembalian. Pilih sebuah penyedia pengembalian, komponen yang bertanggungjawab untuk mendapatkan kembali informasi pengembalian yang digunakan oleh Online Responder. Untuk membuat sebuah konfigurasi pengembalian 1. Buka Online Responder snap-in. 2. Dalam panel Actions, klik Add Revocation Configuration untuk memulai Add Revocation Configuration-wizard, dan kemudian klik Next. 3. Pada halaman Name the Revocation Configuration, ketik sebuah nama untuk konfigurasi pengembalian, seperti LH_RC1, dan kemudian klik Next. 4. Pada halaman Select CA certificate Location, klik Select a certificate from an existing enterprise CA, dan kemudian klik Next. 5. Pada halaman berikut, nama dari CA, LH_PKI1, harus muncul di dalam kotak Browse CA certificates published in Active Directory. Jika ini muncul, klik nama dari CA yang dana mau hubungkan dengan konfigurasi pengembalian dana, dan kemudian klik Next. Jika tidak muncul, klik Browse for CA Computer dan ketik nama dari computer yang menghosting LH_PKI1 atau klik Browse untuk mencari computer ini. Ketika dana telah menemukan komputernya, klik Next. Note Dana mungkin juga bisa menghubungkan sertifikat CA dari store sertifikat local, atau dengan mengimportnya dari media removable dalam tahap 4. 6. Lihat sertifikatnya dan copy poin distribusi CRL untuk root parent CA, RootCA1. Untuk melakukannya seperti berikut: a. Buka Certificate Services snap-in. pilih sebuah sertifikat yng dikeluarkan. b. Double-klik pada sertifikatnya, dan kemudian klik tab Details. c. Scroll ke bawah dan pilih box CRL Distribution Points. d. Pilih dan copy URL-nya untuk poin distribusi CRL yang dana mau gunakan.
12

e. Klik OK. 7. Pada halaman Select Signing Certificate, gunakan pilihan default, Automatically select signing certificate, dan kemudian klik Next. 8. Pada halaman Revocation Provider, klik Provider. 9. Pada halaman Revocation Provider Properties, klik Add, masukkan URL dari poin distribusi CRL, dan kemudian klik OK. 10. Klik Finish. 11. Gunakan Online Responder snap-in, pilih konfigurasi pengembalian, dan kemudian periksa status informasi untuk memastikan bekerja dengan baik. Dana juga sebaiknya bisa untuk memeriksa properties dari sertifikat bertdana untuk memastikan Online Responder dikonfigur dengan benar.

Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar

Dana bisa memeriksa tahap-tahap setup yang dijeaskan sebelumnya. Setelah installasi selesai, dana harus memeriksa setup dasar test dana berfungsi secara benar dengan mencoba autoenroll sertifikat-sertifikat dana, mengembalikan sertifikat, dan membuat data pengembalian dari Onlline responder yang akurat. Untuk memastikan setup test AD CS berfungsi dengan baik 1. Pada CA, konfigurasi beberapa template sertifikat untuk autoenroll sertifikat untuk LH_CLI1 dan user-user pada komputer ini. 2. Ketika informasi mengenai sertifikat-sertifikat baru telah dikeluarkan untuk AD DS, buka sebuah commdan prompt pada computer client dan masukkan perintah berikut untuk autoenrollment:
certutil -pulse

3. Pada LH_CLI1, gunakan Certificates snap-in untuk memeriksa apakah sertifikat telah dikeluarkan untuk user dan computer telah sesuai. 4. Pada CA, gunakan Certification Authority snap-in untuk melihat dan mengembalikan satu atau ebih sertifikat yang dikeluarkan dengan meng-klik Certification Authority (Computer)/CA name/Issued Certificates dan memilih sertifikat yang mau dana kembalikan. Pada menu Action, pilih All Tasks, dan klik Revoke Certificate. Pilih alasan pengembalian sertifikat,dan klik Yes. 5. Dalam Authority snap-in, publish sebuah CRL baru dengan klik pada Certification Authority (Computer)/CA name/Revoked Certificates dalam konsol. Kemudian, pada menu Action, pilih All Tasks, dan klik Publish. 6. Hapus semua poin ekstensi distribusi CRL dari penerbit CA dengan membuka Certification Authority snap-in dan kemudian memilih CA. Pada menu Action, klik
13

Properties. 7. Pada tab Extensions, pastikan Select extension diset ke CRL Distribution Point (CDP). 8. Klik poin distribusi CRL manapun yang terdaftar, klik Remove, dan kemudian klik OK. 9. Stop dan restart AD CS. 10. Ulangi langkah-langkah 1 dan 2 diatas, dan kemudian periksa bahwa clients masih bisa menerima data pengembalian. Untuk melakukan ini, gunakan Certificates snap-in untuk mengeksport sertifikat ke sebuah file (*.cer). Pada sebuah commdan prompt, ketik:
certutil -url <exportedcert.cer>

11. Dalam kotak dialog Verify dan Retrieve, klik From CDP dan From OCSP dan bdaningkan hasilnya.

Skenario Lanjutan Lab AD CS

Bagian-bagian berikut menjelaskan bagaimana dana bisa set up sebuah lab untuk mengevaluasi fitur-fitur lain dari AD CS selain dari setup dasar lab.

Tahap-tahap untuk Setting Up Advanced Lab

Untuk mengetest tambahan fitur-fitur daru AD CS dalam sebuah lingkungan lab, dana akan membutuhkan lima computer yang menjalankan Windows Server 2008 dan satu computer client yang menjalankan Windows Vista. Komputer-komputer untuk pdanuan ini akan dinamai sebagai berikut: LH_DC1: Komputer ini akan menjadi domain controller untuk lingkungan test dana. LH_CA_ROOT1: Komputer ini akan menghosting sebuah stdan-alone root CA untuk lingkungan test. LH_CA_ISSUE1: Enterprise CA ini akan menjadi subordinate dari LH_CA_ROOT1 dan akan mengeluarkan sertifikat client untuk Online Responder dan komputer client. Note Enterprise CAs dan Online Responders hanya bisa diinstall pada server yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. LH_ORS1. Server ini akan menghosting Online Responder. LH_NDES. Server ini akan menghosting Network Device Enrollment Service yang menjadikan ia mungkin untuk mengeluarkan dan memanage sertifikat-sertifikat untuk routerrouter dan device-device network lainnya. LH_CLI1: Komputer client yang menjalankan Windows Vista ini akan autoenroll untuk sertifikat-sertifikat dari LH_CA_ISSUE1 dan memeriksa status sertifikat dari LH_ORS1.
14

Untuk menkonfigurasi setup lab lanjutan untuk AD CS, dana harus melengkapi beberapa langkah-langkah prerequisite berikut: 1. Set up sebuah domain controller pada LH_DC1 untuk contoso.com, termasuk beberapa OUs untuk memuat satu atau banyak user untuk LH_CLI1, computer-komputer client dalam domain, dan untuk server-server yang menghosting CAs dan Online Responders. 2. Menginstall Windows Server 2008 pada server-server lain dalam konfigurasi test dan mengikut sertakannya pada domain. 3. Menginstall Windows Vista pada LH_CLI1, dan mengikut sertakan LH_CLI1 ke contoso.com. Setelah dana menyelesaikan tahapan diatas, dana bisa memulai langkah-langkah beriut ini: Tahap 1: Setting Up Stand-Alone Root CA Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA Tahap 3: Menginstall dan Mengkonfigurasi Online Responder Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate Tahap 8: Membuat Sebuah Revocation Configuration Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service Tahap10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar

Tahap 1: Setting Up Stand-Alone Root CA

Sebuah stdan-alone root CA ialah dari trust untuk setup dasar lab. Ia akan digunakan untuk mengeluarkan sertifikat ke subordinate yang mengeluarkan CA. Karena hal ini penting untuk kemanan dari public key infrastructure (PKI), CA ini akan online dalam banyak PKI hanya jika dibutuhkan untuk mengeluarkan sertifikat untuk subordinate CA. Untuk set up sebuah stand-alone root CA 1. Log on pada LH_CA_ROOT1 sebagai administrator. 2. Start Add RolesWizard. Pada halaman Select Server Roles, pilih kotak cek Active Directory Certificate Services, dan kemudian klik Next dua kali. 3. PAda halaman Select Role Services, centang kotak Certification Authority, dan kemudian klik Next. 4. Pada halaman Specify Setup Type, klik Stdanalone, dan kemudian klik Next. 5. Pada halaman Specify CA Type, klik Root CA, dan kemudian klik Next.
15

6. Pada halaman Set Up Private Key dan Configure Cryptography for CA, dana bisa mengatur opsi tambahan, termasuk cryptographic service providers. Namun bagaimanpun, untuk tujuan dasar testing, pilihlah nilai default dengan klik Next dua kali. 7. Dalam kotak Common name for this CA, ketik nama untuk CA, RootCA1, dan kemudian klik Next. 8. Pada halaman Set the Certificate Validity Period, gunakan validitas durasi default untuk CA, dan kemudian klik Next. 9. Pada halaman Configure Certificate Database, gunakan nilai default atau tentukan lokasi penyimpanan untuk database sertifikat dan log file-nya, dan kemudian klik Next. 10. Setelah memastikan informasi pada halaman Confirm Installation Options, klik Install.

Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA

Kebanyakan organisasi menggunakan setidaknya satu subordinate CA untuk mengamankan root CA dari celah-celah yang tidak penting. Sebuah enterprise CA membolehkan dana untuk menggunakan template-temlplate sertifikat dan untuk menggunakan AD DS untuk enrollment dan publishing certificates. Untuk set up sebuah enterprise subordinate yang mengeluarkan CA 1. Log on pada LH_CA_ISSUE1 sebagai administrator domain. 2. Start Add RolesWizard. Pada halaman Select Server Roles, centang kotak Active Directory Certificate Services, dan kemudian klik Next dua kali. 3. Pada halaman Select Role Services, centang kotak Certification Authority, dan kemudian klik Next. 4. Pada Specify Setup Type, klik Enterprise, dan kemudian klik Next. 5. Pada halaman Specify CA Type, klik Subordinate CA, dan kemudian klik Next. 6. Pada halaman Set Up Private Key dan Configure Cryptography for CA, anda bisa mengkonfigurasi settingan tambahan, termasuk cryptographic service providers. Namun bagaimanapun, untuk tujuan dasar testing, gunakan nilai-nila default dengan klik pada Next dua kali. 7. Pada halaman Request Certificate, browse untuk menemukan LH_CA_ROOT1, atau jika, root CA tidak terhubungkan pada network, simpan permintaan sertifikat pada sebuah file sehingga bisa diproses nanti. Klik Next. Setup subordinate CA tidak akan berguna jika sertifikat-sertifikat telah dikeluarkan oleh root CA dan sertifikat ini telah digunakan untuk menyelesaikan installasi dari subordinate CA. 8. Pada kotak Common name for this CA, ketik nama dari CA, LH_CA_ISSUE1.
16

9. Pada halaman Set the Certificate Validity Period, gunakan durasi validasi default untuk CA, dan kemudian klik Next. 10. Pada halaman Configure Certificate Database, gunakan nilai default atau tentukan lokasi penyimpanan database sertifikat dan log file-nya yang lain, dan kemudian klik Next. 11. Setelah memeriksa informasi pada halaman Confirm Installation Options page, klik Install.

Tahap 3: Menginstall dan Mengkonfigurasi Online Responder

Sebuah Online Responder bisa diinstall pada komputer yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. Data pengembalian sertifikat bisa dating dari sebuah CA pada sebuah computer yang menjalankan Windows Server 2008, Sebuah CA pada sebuah komputer yang menjalankan Windows Server 2003, atau dari sebuah non-Microsoft CA. Sebuah Online Responder tidak akan terinstall pada komputer yang sama dengan CA. Note IIS juga harus diinstall pada computer ini sebelum menginstall Online Responder. Sebagai bagian dari proses setup sebuah virtual directory yang bernama OCSP akan dibuat dalam IIS dan Web proxy diregistrasi sebagai sebuah ekstensi Internet Server Application Programming Interface (ISAPI). Untuk meninstall Online Responder service 1. Log on pada LH_ORS1 sebagai administrator. 2. Start Add Roles Wizard. Pada halaman Select Server Roles, centang kotak Active Directory Certificate Services, dan kemudian klik Next dua kali. 3. Pada halaman Select Role Services, kosongkan kotak Certification Authority, centang kotak Online Responder, dan kemudian klik Next. Anda akan diminta untuk menginstall IIS dan Windows Activation Service. 4. Klik Add Required Role Services, dan kemudian klik Next tiga kali. 5. Pada halaman Confirm Installation Options, klik Install. 6. Ketika installasi selesai, lihat kembali halaman status untuk memastikan proses installasi berhasil.

Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates
Seperti template sertifikat lainnya, template Response Signing OCSP harus dikonfigurasi dengan enrollment permissions untuk Read, Enroll, Autoenroll, dan Write sebelum sertifikat bisa dikeluarkan berdasarkan pada template.
17

Untuk mengkonfigurasi template sertifikat untuk lingkungan test anda 1. Log on pada LH_CA_ISSUE1 sebagai administrator CA. 2. Buka Certificate Templates snap-in. 3. Klik kanan pada template OCSP Response Signing, dan kemudian klik Duplicate Template. 4. Ketik Type sebuah nama baru untuk duplikasi template, seperti OCSP Response Signing_2. 5. Klik kanan pada template sertifikat OCSP Response Signing_2, dan kemudian klik Properties. 6. Klik tab Security. Dibawah Group atau user name, klik Add dan ketik nama atau browse untuk memilih hosting komputer Online Responder service. 7. Klik nama komputer, LH_ORS1, dan dalam kotak dialog Permissions, centang kotak Read dan Autoenroll. 8. Ketika anda mempunyai Certificate Templates snap-in yang terbuka, anda bisa mengkonfigursi template sertifikat certificate untuk user-user dan computer-komputer dengan mengganti template pada tahap 3, dan mengulangi langkah-langkah 4 sampai 7 untuk mengkonfigurasi permission untuk LH_CLI1 dan account user test anda.

Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder
Anda butuh untuk mengkonfigurasi CA untuk memasukkan URL untuk Online Responder sebagai bagian dari ekstensi akses informasi yang berwenang dari sertifikat yang dikeluarkan. URL ini digunakan oleh client Online Responder untuk memvalidasi status sertifikat. Untuk mengkonfigurasi ekstensi akses informasi berwenang untuk mendukung Online Responder 1. Log on pada LH_CA_ISSUE1 sebagai administrator CA. 2. Buka Certification Authority snap-in. 3. Dalam konsol, klik nama dari CA. 4. Pada menu Action, klik Properties. 5. Pada tab Extensions, klik Select extension, dan kemudian klik Authority Information Access (AIA). 6. Centang kotak Include in the AIA extension of issue certificates dan Include in the online certificate status protocol (OCSP) extension. 7. Tentukan lokasi dari mana user-user bisa mendapatkan data pengembalian sertifikat; untuk setup ini, lokasinya ialah http://LH_ORS1/ocsp. 8. Dalam konsol Certification Authority snap-in, klik kanan Certificate Templates, dan
18

kemudian klik New Certificate Templates to Issue. 9. Dalam Enable Certificate Templates, pilih template OCSP Response Signing dan template-template yang anda telah konfigurasi sebelumnya, dan kemudian klik OK. 10. Buka Certificate Templates, dan pastikan bahwa sertifikat-sertifikat tersebut muncul dalam daftar.

Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA

Setelah template-template dikonfigurasi dengan benar, CA butuh untuk dikonfigurasi untuk mengeluarkan template tersebut. Untuk mengkonfigurasi CA agar bisa mengeluarkan sertifikat berdasarkan pada template OCSP Response yang baru dibuat 1. Buka Certification Authority snap-in. 2. Klik kanan Certificate Templates, dan kemudian klik Certificate Template to Issue. 3. Pilih template OCSP Response Signing_2 dari daftar template yang tersedia, dan kemudian klik OK.

Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate

Enrollment mungkin tidak akan berjalan langsung. Oleh karena itu, sebelum anda melanjutkanke tahap selanjnya, pastikan bahwa enrollment sertifikat telah berjalan sehingga sertifikat bertandan telah ada pada komputer, dan periksa permission pada sertifikat bertanda membolehkan Online Responder menggunakannya. Untuk memastikan sertifikat bertanda yang diapakai dikonfigurasi dengan benar 1. Start atau restart LH_ORS1 untuk enroll sertifikat-sertifikat. 2. Log on sebagai administrator CA. 3. Buka Certificates snap-in untuk computer tersebut. Buka Personal certificate store untuk komputer, dan kemudian periksa apakah membawa sebuah sertifikat bernama OCSP Response Signing_2. 4. Klik kanan pada sertifikat ini, dan kemudian klik Manage Private Keys. 5. Klik tab Security. Dalam kotak dialog User Group atau user name, klik Add untuk mengetik dan menambah Network Service ke daftar Group or user name, dan kemudian klik OK. 6. Klik Network Service, dan di dalam kotak dialog Permissions, centang kotak Full Control. Klik OK dua kali.
19

Tahap 8: Membuat Sebuah Revocation Configuration

Membuat sebuah konfigurasi pengembalian melibatkan tahap-tahap sebagai berikut: Identifikasi sertifikat CA untuk CA yang mendukung Online Responder. Identifikasi poin distribusi CRL untuk CA tersebut. Pilih sebuah sertifikat bertanda yang akan digunakan untuk menandai status respon pengembalian. Pilih sebuah penyedia pengembalian, komponen yang bertanggung jawab untuk mendapatkan kembali dan menyimpan informasi pengembalian yang digunakan oleh Online Responder. Untuk membuat konfigurasi pengembalian 1. Log on pada LH_ORS1 sebagai administrator domain. 2. Buka Responder snap-in. 3. Dalam panel Actions, klik Add Revocation Configuration untuk memulai Add Revocation Configuration wizard, dan kemudian klik Next. 4. Pada halaman Name the Revocation Configuration, ketik nama untuk konfigurasi pengembalian, seperti LH_RC1, dan kemudian klik Next. 5. Pada halaman Select CA Certificate Location, klik Select a certificate for an existing enterprise CA, dan kemudian klik Next. 6. Pada halaman berikut, nama dari CA, LH_CA_ISSUE1, harus muncul dalam kotak Browse CA certificates published in Active Directory box. Jika muncul, klik nama dari CA yang anda mau untuk asosiasikan dengan konfigurasi pengembalian anda, dan kemudian klik Next. Jika tdak muncul, klik Browse for CA Computer dan ketik nama dari computer yang menghosting LH_CA_ISSUE1 atau klik Browse untuk menemukan computer ini. Ketika anda telah menemukan komputernya, klik Next. Note Anda mungkin juga bisa menghubungkan sertifikat CA dari store sertifikat lokal, atau dengan menimportnya dari removable media pada langkah 5. 7. Lihat sertifikat tersebut dan copy poin distribusi CRL untuk parent root CA, RootCA1. Untuk melakukan ini: a. Buka Certificate Services snap-in, dan kemudian pilih sebuah sertifikat yang dikeluarkan. b. Double-klik sertifikat tersebut, dan kemudian klik tab Details. c. Scroll ke bawah dan pilih isian CRL Distribution Points. d. Pilih dan copy URL-nya untuk poin distribusi CRL yang anda mau gunakan.
20

e. Klik OK. 8. Pada halaman Select Signing Certificate, gunakan settingan default, Automatically select signing certificate, dan kemudian klik Next. 9. Pada halaman Revocation Provider, klik Provider. 10. Pada halaman Revocation Provider Properties, klik Add, masukkan URL dari poin distribusi CRL, dan kemudian klik OK. 11. Klik Finish. 12. Gunakan Online Responder snap-in, pilih konfigurasi pengembalian, dan kemudian periksa informasi status untuk memastikan berfungsi dengan baik. Anda seharusnya bisa juga untuk memeriksa properties dari sertifikat bertanda untuk memastikan Online Responder terkonfigurasi secara benar.

Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service

Network Device Enrollment Service membolehkan software pada router-router dan device-device network lainnya berjalan tanpa kepercayaan domain untuk mendapatkan sertifikat. Network Device Enrollment Service beroperasi sebagai sebuah filter ISAPI pada IIS yang melakukan fungsi-fungsi berikut: Mengenerate dan menyediakan password one-time enrollment untuk administrator Process permintaan-permintaan SCEP enrollment Mendapatkan kembali permintaan yang ditahan dari CA

SCEP dikembangkan sebagai sebuah ekstensi untuk HTTP, PKCS #10, PKCS #7, RFC 2459, yang telah ada dan standar lain untuk mengaktifkan device network dan sertifikat applikasi enrollment dengan CA. SCEP diidentifikasi dan didokumentasi pada Internet Engineering Task Force Web site (http://go.microsoft.com/fwlink/?LinkId=71055). Sebelum anda memulai prosedur ini, buat sebuah user ndes_user1 dan tambahkan user ini ke dalam user group IIS. Kemudian, gunakan Certificate Templates snap-in untuk mengkonfigurasi permission Read dan Enroll untuk user ini pada template sertifikat IPSEC (Offline Request). Untuk set up dan konfigurasi Network Device Enrollment Service 1. Log on pada LH_NDES sebagai administrator enterprise. 2. Start Add RolesWizard. Pada halaman Select Server Roles, centang kotak Active Directory Certificate Services, dan kemudian klik Next dua kali. 3. Pada halaman Select Role Services, kosongkan kotak Certification Authority, dan kemudian pilih Network Device Enrollment Service. Anda akan diminta untuk menginstall IIS dan Windows Activation Service.

21

4. Klik Add Required Role Services, dan kemudian klik Next tiga kali. 5. Pada halaman Confirm Installation Options, klik Install. 6. Ketika installasi selesai, lihat kembali halaman status untuk memastikan installasi berhasil. 7. Karena ini merupakan installasi yang baru dan tidak ada permintaan SCEP yang tertahan, klik Replace existing Registration Authority (RA) certificates, dan kemudian klik Next. Ketika Network Device Enrollment Service terinstall pada sebuah computer dimana registrasi kewenangan telah ada, registrasi yang ada sebelumnya dan permintaan yang tertahan akan dihapus. 8. Pada halaman Specify User Account, klik Select User, dan ketik nama user ndes_user1 dan password untuk account ini, yang akan digunakan untuk memberikan kuasa untuk meminta sertifikat oleh Network Device Enrollment Service. Klik OK, dan kemudian klik Next. 9. Pada halaman Specify CA, centang kotak CA name atau Computer name, klik Browse untuk menemukan CA yang akan mengeluarkan sertifikat Network Device Enrollment Service, LH_CA_ISSUE1, dan kemudian klik Next. 10. Pada halaman Specify Registry Authority Information, ketik ndes_1 dalam kotak RA name. Dibawah Country/region, centang kotak untuk country/region diman anda berada, dan kemudian klik Next. 11. Pada halaman Configure Cryptography, gunakan nilai-nilai default untuk signature dan encryption keys, dan kemudian klik Next. 12. Lihat kembali rangkuman dari konfigurasi, dan kemudian klik Install.

Tahap 10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar

Anda bisa memastikan langkah-langkah yang dijelaskan sebelumnya pada saat anda melakuknnya. Setelah installasi selesai, anda harus memastikan bahwa setup test lanjutan anda berfungsi dengn baik. Untuk memastikan setup test AD CS lanjutan berfungsi dengan benar 1. Pada halaman CA, konfigurasi beberapa template sertifikat untuk autoenroll sertifikat dari LH_CLI1 dan user-user pada komputer ini. 2. Ketika informasi mengenai sertifikat-sertifikat yang baru dikeluarkan ke AD DS, buka sebuah command prompt pada computer client dan masukkan perintah berikut untuk memulai autoenrollment:
22

certutil -pulse

3. Pada Komputer client, gunakan Certificates snap-in untuk memastikan bahwa sertifikat yang telah dikeluarkan pada user dan computer telah sesuai. 4. Pada CA, gunakan Certification Authority snap-in untuk melihat dan mengembalikkan satu atau lebih dari sertifikat yang dikeluarkan dengan meng-klik pada Certification Authority (Computer)/CA name/Issued Certificates dan pilih sertifikat yang anda mau kembalikan. Pada menu Action, pilih All Tasks, dan kemudian klik Revoke Certificate. Pilih alas an untuk mengembalikan sertifikat, dan klik Yes. 5. Dalam Certification Authority snap-in, publish sebuah CRL baru dengan meng-klik Certification Authority (Computer)/CA name/Revoked Certificates dalam konsol. Kemudian, Pada menu Action, pilih All Tasks, dan klik Publish. 6. Hapus semua ekstensi poin distribusi CRL dari mengeluarkan CA dengan membuka Certification Authority snap-in dan kemudian pilih CA. Pada menu Action, klik Properties. 7. Pada tab Extensions, konfirmasikan bahwa Select extension diset pada CRL Distribution Point (CDP). 8. Klik poin distribusi CRL manapun yang terdaftar, klik Remove, dan klik OK. 9. Stop dan restart AD CS. 10. Ulangi tahap-tahap 1 dan 2 diatas, dan kemudian tentukan bawha client masih bisa menerima data pengembalian. Untuk melakukan ini, gunakan Certificates snap-in untuk mengeksport sertifikat ke sebuah file (*.cer). Pada command prompt, ketik:
certutil -url <exportedcert.cer>

11. Dalam kotak dialog Verify dan Retrieve yang muncul, klik From CDP dan From OCSP dan bandingkan hasilnya.

23