Professional Documents
Culture Documents
Abstract
Panduan step-by-step ini menjelaskan langkah-langkah yang diperlukan untuk set-up sebuah konfigurasi dasar dari Active Directory Certificate Services (AD CS) dalam sebuah lingkungan lab. AD CS dalam Windows Server 2008 menyediakan service-service yang dapat di-customize untuk menciptakan dan mengatur public key certificates yang digunakan dalam software sistem keamanan yang menggunakan teknologi public key.
Contents
Panduan Step-by-Step Windows Server Active Directory Certificate Services .............................. 5 Review Teknologi AD CS ............................................................................................................. 5 Kebutuhan untuk Menggunakan AD CS ...................................................................................... 6 Skenario Dasar Lab AD CS ......................................................................................................... 7 Langkah-langkah untuk Setting up Lab Dasar ............................................................................. 7 Tahap 1: Setting Up Sebuah Enterprise Root CA .................................................................... 8 Tahap 2: Menginstall Online Responder .................................................................................. 9 Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates.. 10 Tahap 4: Membuat Sebuah Konfigurasi Pengembalian ......................................................... 11 Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar .......................................... 13 Skenario Lanjutan Lab AD CS ................................................................................................... 14 Tahap-tahap untuk Setting Up Advanced Lab ........................................................................... 14 Tahap 1: Setting Up Stand-Alone Root CA ............................................................................ 15 Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA ................................... 16 Tahap 3: Menginstall dan Mengkonfigurasi Online Responder .............................................. 17 Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates.............................................................................................................. 17 Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder ........................................................................................................................... 18 Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA ........................ 19 Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate ........................... 19 Tahap 8: Membuat Sebuah Revocation Configuration........................................................... 20 Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service ............................ 21 Tahap 10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar ................... 22
Review Teknologi AD CS
Menggunakan pilihan Active Directory Certificate Services dari Add Roles Wizard, dana bisa me-set-up komponen dari AD CS sebagai berikut: Certification authorities (CAs). Root dan subordinate CAs digunakan untuk mengeluarkan sertifikat user-user, computer-komputer, dan service-service, dan untuk mengatur validasinya. CA Web enrollment. Web enrollment membolehkan user-user untuk berhubungan ke sebuah CA dalam artian sebuah Web browser yang akan: Meminta sertifikat-sertifikat dan memeriksa sertifikat yang diminta tersebut. Mendapatkan kembali certificate revocation lists (CRLs). Melakukan pendaftaran sertifikat smart card.
Online Responder service. Online Responder service menerapkan Online Certificate Status Protocol (OCSP) dengan mendecode status penarikan kembali permintaan untuk sertifikatsertifikat tertentu, mengevaluasi status dari sertifikat-sertifikat ini, dan mengirimkan kembali sebuah sinyal respon yang berisi informasi status dari sertifikat yang diminta.
Penting Responder-responder online bisa digunakan sebagai sebuah alternative untuk atau sebuah ekstensi dari CRLs untuk menyediakan sertifikat pengembalian data ke klienklien. Responder-responder online Microsoft didasari dan mengikuti RFC 2560 untuk OCSP. Untuk informasi lebih lanjut mengenai RFC 2560, lihat Web site Internet untuk Engineering Task Force (http://go.microsoft.com/fwlink/?LinkID=67082). Network Device Enrollment Service. The Network Device Enrollment Service membolehkan router-router dan device-device network yang lainnya untuk mendapatkan sertifikat berdasarkan pada Simple Certificate Enrollment Protocol (SCEP) dari Cisco Systems Inc. Note SCEP telah dikembangkan untuk mendukung keamanan, skalabilitas keluaran dari sertifikat untuk device-device network dengan menggunakan CAs yang telah ada. Protocol tersebut mendukung CA dan pendaftaran registrasi distribusi public key, sertifikat, pengembalian sertifikat, antrian sertifikat, dan antrian pengembalian sertifikat.
Tidak Tidak
Ya Tidak
Ya Ya
Ya Ya
Components
Web
Standard
Enterprise
Datacenter
Tidak
Tidak
Ya
Ya
Fitur-fitur berikut tersedia pada server Windows Server 2008 yang telah dikonfigurasi sebagai CAs.
AD CS features Web Standard Enterprise Datacenter
Version 2 dan version 3 certificate templates Key archival Role separation Certificate Manager restrictions Delegated enrollment agent restrictions
Tidak
Tidak
Ya
Ya
Ya Ya Ya
Ya Ya Ya
Tidak
Tidak
Ya
Ya
Note Enterprise CAs dan Online Responders hanya bisa diinstall pada servers yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. LH_CLI1: Komputer client ini menggunakan Windows Vista akan autoenroll untuk sertifikat dari LH_PKI1 dan memverifikasi statusnya dari LH_ PKI1.
Untuk mengkonfigurasi setup dasar lab untuk AD CS, dana butuh untuk melakukan langkahlangkah prerequisite berikut: Set up sebuah domain controller pada LH_DC1 untuk contoso.com, termasuk beberapa unit organisasi (OUs) untuk memuat satu atau lebih user untuk komputer client, komputer client dalam domain, dan untuk server yang menghosting CAs dan Online Responders. Menginstall Windows Server 2008 pada LH_PKI1, dan mengikutkan LH_PKI1 ke domain tersebut. Menginstall Windows Vista pada LH_CLI1, dan mengikutkan LH_CLI1 ke contoso.com.
Setelah dana menyelesaikan prosedur-prosedur tersebut, dana bisa memulai langkah-langkah berikut: Tahap 1: Setting Up Sebuah Enterprise Root CA Tahap 2: Menginstall Online Responder Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates Tahap 4: Membuat Sebuah Konfigurasi Pengembalian Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar
kemudian klik Next. 6. Pada halaman Specify Setup Type, klik Enterprise,dan kemudian klik Next. 7. Pada halaman Specify CA Type, klik Root CA, dan kemudian klik Next. 8. Pada halamn Set Up Private Key dan Configure Cryptography for CA, dana bisa mengkonfigurasi settingan opsional, termasuk penyelenggara layanan cryptographic. Bagaimanapun, untuk tujuan testing dasar, gunakan settingan default lalu klik Next dua kali. 9. Pada kotak Common name for this CA, ketikan nama dari CA, RootCA1, dan kemudian klik Next. 10. Pada halaman Set the Certificate Validity Period, gunakan validasi durasi default untuk root CA, dan kemudian klik Next. 11. Pada halaman Configure Certificate Database, gunakan nilai default atau tentukan lokasi penyimpanan database log sertifikat yang lain, dan kemudian klik Next. 12. Setelah memeriksa informasi pada halaman Confirm Installation Options, klik Install. 13. Lihat kembali informasi pada layar confirmation untuk melihat apakah proses installasi berhasil.
7. Ketika proses installasi selesai, lihat kembali halaman status untuk memastikan installasi berhasil.
10
Untuk mengkonfigurasi sebuah CA untuk mendukung Online Responder service 1. Buka snap-in Certification Authority. 2. Dalam konsol, klik nama dari CA. 3. Pada menu Action, klik Properties. 4. Klik tab Extensions. Dalam daftar Select extension, klik Authority Information Access (AIA). 5. Pilih Include in the AIA extension of issue certificates centang kotak Include in the online certificate status protocol (OCSP) extension. 6. Tentukan lokasi dari mana user bisa mendapatkan data pengembalian sertifikat; untuk setup ini, lokasinya ialah http://LH_PKI1/ocsp. 7. Dalam konsol dari Certification Authority snap-in, klik kanan Certificate Templates, dan kemudian klik New Certificate Templates to Issue. 8. Dalam Enable Certificate Templates, pilih template OCSP Response Signing dan template-template lainnya yang telah dana konfigur sebelunya dan kemudian klik OK. 9. Buka Certificate Templates, dan periksa apakah sertifikat yang dimodifikasi muncul dalam daftar.
Network Service ke daftar Group atau user name, dan klik OK. 6. Klik Network Service, dan dalam kotak dialog Permissions, centang kotak Full Control. 7. Klik OK dua kali. Membuat sebuah konfigurasi pengembalian melibatkan tugas-tugas berikut: Identifikasi sertifikat CA untuk CA yang mendukung Online Responder. Identifikasi poin distribusi CRL untuk CA. Pilih sebuah sertifikat bertdana yang akan digunakan untuk mendanai status respon pengembalian. Pilih sebuah penyedia pengembalian, komponen yang bertanggungjawab untuk mendapatkan kembali informasi pengembalian yang digunakan oleh Online Responder. Untuk membuat sebuah konfigurasi pengembalian 1. Buka Online Responder snap-in. 2. Dalam panel Actions, klik Add Revocation Configuration untuk memulai Add Revocation Configuration-wizard, dan kemudian klik Next. 3. Pada halaman Name the Revocation Configuration, ketik sebuah nama untuk konfigurasi pengembalian, seperti LH_RC1, dan kemudian klik Next. 4. Pada halaman Select CA certificate Location, klik Select a certificate from an existing enterprise CA, dan kemudian klik Next. 5. Pada halaman berikut, nama dari CA, LH_PKI1, harus muncul di dalam kotak Browse CA certificates published in Active Directory. Jika ini muncul, klik nama dari CA yang dana mau hubungkan dengan konfigurasi pengembalian dana, dan kemudian klik Next. Jika tidak muncul, klik Browse for CA Computer dan ketik nama dari computer yang menghosting LH_PKI1 atau klik Browse untuk mencari computer ini. Ketika dana telah menemukan komputernya, klik Next. Note Dana mungkin juga bisa menghubungkan sertifikat CA dari store sertifikat local, atau dengan mengimportnya dari media removable dalam tahap 4. 6. Lihat sertifikatnya dan copy poin distribusi CRL untuk root parent CA, RootCA1. Untuk melakukannya seperti berikut: a. Buka Certificate Services snap-in. pilih sebuah sertifikat yng dikeluarkan. b. Double-klik pada sertifikatnya, dan kemudian klik tab Details. c. Scroll ke bawah dan pilih box CRL Distribution Points. d. Pilih dan copy URL-nya untuk poin distribusi CRL yang dana mau gunakan.
12
e. Klik OK. 7. Pada halaman Select Signing Certificate, gunakan pilihan default, Automatically select signing certificate, dan kemudian klik Next. 8. Pada halaman Revocation Provider, klik Provider. 9. Pada halaman Revocation Provider Properties, klik Add, masukkan URL dari poin distribusi CRL, dan kemudian klik OK. 10. Klik Finish. 11. Gunakan Online Responder snap-in, pilih konfigurasi pengembalian, dan kemudian periksa status informasi untuk memastikan bekerja dengan baik. Dana juga sebaiknya bisa untuk memeriksa properties dari sertifikat bertdana untuk memastikan Online Responder dikonfigur dengan benar.
3. Pada LH_CLI1, gunakan Certificates snap-in untuk memeriksa apakah sertifikat telah dikeluarkan untuk user dan computer telah sesuai. 4. Pada CA, gunakan Certification Authority snap-in untuk melihat dan mengembalikan satu atau ebih sertifikat yang dikeluarkan dengan meng-klik Certification Authority (Computer)/CA name/Issued Certificates dan memilih sertifikat yang mau dana kembalikan. Pada menu Action, pilih All Tasks, dan klik Revoke Certificate. Pilih alasan pengembalian sertifikat,dan klik Yes. 5. Dalam Authority snap-in, publish sebuah CRL baru dengan klik pada Certification Authority (Computer)/CA name/Revoked Certificates dalam konsol. Kemudian, pada menu Action, pilih All Tasks, dan klik Publish. 6. Hapus semua poin ekstensi distribusi CRL dari penerbit CA dengan membuka Certification Authority snap-in dan kemudian memilih CA. Pada menu Action, klik
13
Properties. 7. Pada tab Extensions, pastikan Select extension diset ke CRL Distribution Point (CDP). 8. Klik poin distribusi CRL manapun yang terdaftar, klik Remove, dan kemudian klik OK. 9. Stop dan restart AD CS. 10. Ulangi langkah-langkah 1 dan 2 diatas, dan kemudian periksa bahwa clients masih bisa menerima data pengembalian. Untuk melakukan ini, gunakan Certificates snap-in untuk mengeksport sertifikat ke sebuah file (*.cer). Pada sebuah commdan prompt, ketik:
certutil -url <exportedcert.cer>
11. Dalam kotak dialog Verify dan Retrieve, klik From CDP dan From OCSP dan bdaningkan hasilnya.
Untuk menkonfigurasi setup lab lanjutan untuk AD CS, dana harus melengkapi beberapa langkah-langkah prerequisite berikut: 1. Set up sebuah domain controller pada LH_DC1 untuk contoso.com, termasuk beberapa OUs untuk memuat satu atau banyak user untuk LH_CLI1, computer-komputer client dalam domain, dan untuk server-server yang menghosting CAs dan Online Responders. 2. Menginstall Windows Server 2008 pada server-server lain dalam konfigurasi test dan mengikut sertakannya pada domain. 3. Menginstall Windows Vista pada LH_CLI1, dan mengikut sertakan LH_CLI1 ke contoso.com. Setelah dana menyelesaikan tahapan diatas, dana bisa memulai langkah-langkah beriut ini: Tahap 1: Setting Up Stand-Alone Root CA Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA Tahap 3: Menginstall dan Mengkonfigurasi Online Responder Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate Tahap 8: Membuat Sebuah Revocation Configuration Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service Tahap10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar
6. Pada halaman Set Up Private Key dan Configure Cryptography for CA, dana bisa mengatur opsi tambahan, termasuk cryptographic service providers. Namun bagaimanpun, untuk tujuan dasar testing, pilihlah nilai default dengan klik Next dua kali. 7. Dalam kotak Common name for this CA, ketik nama untuk CA, RootCA1, dan kemudian klik Next. 8. Pada halaman Set the Certificate Validity Period, gunakan validitas durasi default untuk CA, dan kemudian klik Next. 9. Pada halaman Configure Certificate Database, gunakan nilai default atau tentukan lokasi penyimpanan untuk database sertifikat dan log file-nya, dan kemudian klik Next. 10. Setelah memastikan informasi pada halaman Confirm Installation Options, klik Install.
9. Pada halaman Set the Certificate Validity Period, gunakan durasi validasi default untuk CA, dan kemudian klik Next. 10. Pada halaman Configure Certificate Database, gunakan nilai default atau tentukan lokasi penyimpanan database sertifikat dan log file-nya yang lain, dan kemudian klik Next. 11. Setelah memeriksa informasi pada halaman Confirm Installation Options page, klik Install.
Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates
Seperti template sertifikat lainnya, template Response Signing OCSP harus dikonfigurasi dengan enrollment permissions untuk Read, Enroll, Autoenroll, dan Write sebelum sertifikat bisa dikeluarkan berdasarkan pada template.
17
Untuk mengkonfigurasi template sertifikat untuk lingkungan test anda 1. Log on pada LH_CA_ISSUE1 sebagai administrator CA. 2. Buka Certificate Templates snap-in. 3. Klik kanan pada template OCSP Response Signing, dan kemudian klik Duplicate Template. 4. Ketik Type sebuah nama baru untuk duplikasi template, seperti OCSP Response Signing_2. 5. Klik kanan pada template sertifikat OCSP Response Signing_2, dan kemudian klik Properties. 6. Klik tab Security. Dibawah Group atau user name, klik Add dan ketik nama atau browse untuk memilih hosting komputer Online Responder service. 7. Klik nama komputer, LH_ORS1, dan dalam kotak dialog Permissions, centang kotak Read dan Autoenroll. 8. Ketika anda mempunyai Certificate Templates snap-in yang terbuka, anda bisa mengkonfigursi template sertifikat certificate untuk user-user dan computer-komputer dengan mengganti template pada tahap 3, dan mengulangi langkah-langkah 4 sampai 7 untuk mengkonfigurasi permission untuk LH_CLI1 dan account user test anda.
Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder
Anda butuh untuk mengkonfigurasi CA untuk memasukkan URL untuk Online Responder sebagai bagian dari ekstensi akses informasi yang berwenang dari sertifikat yang dikeluarkan. URL ini digunakan oleh client Online Responder untuk memvalidasi status sertifikat. Untuk mengkonfigurasi ekstensi akses informasi berwenang untuk mendukung Online Responder 1. Log on pada LH_CA_ISSUE1 sebagai administrator CA. 2. Buka Certification Authority snap-in. 3. Dalam konsol, klik nama dari CA. 4. Pada menu Action, klik Properties. 5. Pada tab Extensions, klik Select extension, dan kemudian klik Authority Information Access (AIA). 6. Centang kotak Include in the AIA extension of issue certificates dan Include in the online certificate status protocol (OCSP) extension. 7. Tentukan lokasi dari mana user-user bisa mendapatkan data pengembalian sertifikat; untuk setup ini, lokasinya ialah http://LH_ORS1/ocsp. 8. Dalam konsol Certification Authority snap-in, klik kanan Certificate Templates, dan
18
kemudian klik New Certificate Templates to Issue. 9. Dalam Enable Certificate Templates, pilih template OCSP Response Signing dan template-template yang anda telah konfigurasi sebelumnya, dan kemudian klik OK. 10. Buka Certificate Templates, dan pastikan bahwa sertifikat-sertifikat tersebut muncul dalam daftar.
e. Klik OK. 8. Pada halaman Select Signing Certificate, gunakan settingan default, Automatically select signing certificate, dan kemudian klik Next. 9. Pada halaman Revocation Provider, klik Provider. 10. Pada halaman Revocation Provider Properties, klik Add, masukkan URL dari poin distribusi CRL, dan kemudian klik OK. 11. Klik Finish. 12. Gunakan Online Responder snap-in, pilih konfigurasi pengembalian, dan kemudian periksa informasi status untuk memastikan berfungsi dengan baik. Anda seharusnya bisa juga untuk memeriksa properties dari sertifikat bertanda untuk memastikan Online Responder terkonfigurasi secara benar.
SCEP dikembangkan sebagai sebuah ekstensi untuk HTTP, PKCS #10, PKCS #7, RFC 2459, yang telah ada dan standar lain untuk mengaktifkan device network dan sertifikat applikasi enrollment dengan CA. SCEP diidentifikasi dan didokumentasi pada Internet Engineering Task Force Web site (http://go.microsoft.com/fwlink/?LinkId=71055). Sebelum anda memulai prosedur ini, buat sebuah user ndes_user1 dan tambahkan user ini ke dalam user group IIS. Kemudian, gunakan Certificate Templates snap-in untuk mengkonfigurasi permission Read dan Enroll untuk user ini pada template sertifikat IPSEC (Offline Request). Untuk set up dan konfigurasi Network Device Enrollment Service 1. Log on pada LH_NDES sebagai administrator enterprise. 2. Start Add RolesWizard. Pada halaman Select Server Roles, centang kotak Active Directory Certificate Services, dan kemudian klik Next dua kali. 3. Pada halaman Select Role Services, kosongkan kotak Certification Authority, dan kemudian pilih Network Device Enrollment Service. Anda akan diminta untuk menginstall IIS dan Windows Activation Service.
21
4. Klik Add Required Role Services, dan kemudian klik Next tiga kali. 5. Pada halaman Confirm Installation Options, klik Install. 6. Ketika installasi selesai, lihat kembali halaman status untuk memastikan installasi berhasil. 7. Karena ini merupakan installasi yang baru dan tidak ada permintaan SCEP yang tertahan, klik Replace existing Registration Authority (RA) certificates, dan kemudian klik Next. Ketika Network Device Enrollment Service terinstall pada sebuah computer dimana registrasi kewenangan telah ada, registrasi yang ada sebelumnya dan permintaan yang tertahan akan dihapus. 8. Pada halaman Specify User Account, klik Select User, dan ketik nama user ndes_user1 dan password untuk account ini, yang akan digunakan untuk memberikan kuasa untuk meminta sertifikat oleh Network Device Enrollment Service. Klik OK, dan kemudian klik Next. 9. Pada halaman Specify CA, centang kotak CA name atau Computer name, klik Browse untuk menemukan CA yang akan mengeluarkan sertifikat Network Device Enrollment Service, LH_CA_ISSUE1, dan kemudian klik Next. 10. Pada halaman Specify Registry Authority Information, ketik ndes_1 dalam kotak RA name. Dibawah Country/region, centang kotak untuk country/region diman anda berada, dan kemudian klik Next. 11. Pada halaman Configure Cryptography, gunakan nilai-nilai default untuk signature dan encryption keys, dan kemudian klik Next. 12. Lihat kembali rangkuman dari konfigurasi, dan kemudian klik Install.
certutil -pulse
3. Pada Komputer client, gunakan Certificates snap-in untuk memastikan bahwa sertifikat yang telah dikeluarkan pada user dan computer telah sesuai. 4. Pada CA, gunakan Certification Authority snap-in untuk melihat dan mengembalikkan satu atau lebih dari sertifikat yang dikeluarkan dengan meng-klik pada Certification Authority (Computer)/CA name/Issued Certificates dan pilih sertifikat yang anda mau kembalikan. Pada menu Action, pilih All Tasks, dan kemudian klik Revoke Certificate. Pilih alas an untuk mengembalikan sertifikat, dan klik Yes. 5. Dalam Certification Authority snap-in, publish sebuah CRL baru dengan meng-klik Certification Authority (Computer)/CA name/Revoked Certificates dalam konsol. Kemudian, Pada menu Action, pilih All Tasks, dan klik Publish. 6. Hapus semua ekstensi poin distribusi CRL dari mengeluarkan CA dengan membuka Certification Authority snap-in dan kemudian pilih CA. Pada menu Action, klik Properties. 7. Pada tab Extensions, konfirmasikan bahwa Select extension diset pada CRL Distribution Point (CDP). 8. Klik poin distribusi CRL manapun yang terdaftar, klik Remove, dan klik OK. 9. Stop dan restart AD CS. 10. Ulangi tahap-tahap 1 dan 2 diatas, dan kemudian tentukan bawha client masih bisa menerima data pengembalian. Untuk melakukan ini, gunakan Certificates snap-in untuk mengeksport sertifikat ke sebuah file (*.cer). Pada command prompt, ketik:
certutil -url <exportedcert.cer>
11. Dalam kotak dialog Verify dan Retrieve yang muncul, klik From CDP dan From OCSP dan bandingkan hasilnya.
23