Oracle Cloud Infrastructure - Dokumentation

Konfigurieren der Windows Server Certificate Authority

Erfahren Sie, wie Sie ADCS auf dem Window-Server konfigurieren.

Sie müssen die Certificate Authority (CA) so konfigurieren, dass der Private Key im HSM-Cluster gespeichert wird. Für diese Konfiguration müssen Sie dem Windows-Server zunächst die ADCS-Rolle (Active Directory Certificate Services) hinzufügen. Nachdem Sie die ADCS-Rolle hinzugefügt haben, können Sie mit dem Key Storage Provider (KSP) den Private Key der CA im HSM-Cluster erstellen und verwalten. KSP ist eine Schnittstelle, die den Windows Server mit dem HSM-Cluster verbindet.

Voraussetzungen

Um Windows Server als Certificate Authority (CA) mit dem HSM-Cluster einzurichten, müssen Sie die folgenden Voraussetzungen erfüllen:
  • Ein aktives HSM-Cluster.
  • OCI Dedicated KMS-Clientservice, der im Windows Server-BS ausgeführt wird.
  • Ein Cryptographic User-(CU-)Account zur Verwaltung des privaten Schlüssels der Certificate Authority im Cluster.

Hinzufügen der Active Directory Certificate Services-Rolle

Um die Windows Server-CA zu erstellen, müssen Sie dem Windows-Server zunächst die Active Directory Certificate Services-(ADCS-)Rolle hinzufügen. Mit der ADCS-Rolle können Sie den KSP-Provider verwenden, um den Private Key der CA im Cluster zu erstellen und zu speichern.

  1. Gehen Sie im Windows-Menü Start zu Windows Server, und starten Sie dann den Servermanager.
  2. Klicken Sie oben rechts auf Verwalten, und wählen Sie Rollen und Features hinzufügen aus.
  3. Lesen Sie auf der Seite "Vor Beginn" die Informationen, und klicken Sie auf Weiter.
  4. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation aus, und klicken Sie auf Weiter.
  5. Wählen Sie auf der Seite Zielserver auswählen die Option Server aus dem Serverpool auswählen aus, und klicken Sie auf Weiter.
  6. Wählen Sie auf der Seite Serverrollen auswählen Folgendes aus, und klicken Sie auf Weiter.
    • Active Directory-Zertifikatsdienste
    • Features hinzufügen.
  7. Klicken Sie auf der Seite Active Directory-Zertifikatservices auf Weiter. Wählen Sie auf der Seite Rollenservices Folgendes aus:
    • Wählen Sie Certificate Authority aus.
  8. Prüfen Sie auf der Seite Installationsauswahl bestätigen die Details, und klicken Sie auf Installieren.
  9. Klicken Sie nach Abschluss der Installation auf den Link Active Directory Certificate Services auf dem Zielserver konfigurieren.
  10. Prüfen oder ändern Sie die Zugangsdaten auf der Seite Zugangsdaten, und klicken Sie auf Weiter.
  11. Wählen Sie auf der Seite Rollenservices die Option Zertifizierungsautorität aus, und klicken Sie auf Weiter.
  12. Wählen Sie auf der Seite "Setuptyp" die Option Standalone-CA aus, und klicken Sie auf Weiter.
  13. Wählen Sie auf der Seite "CA-Typ" die Option Root-CA aus, und klicken Sie auf Weiter.
  14. Wählen Sie auf der Seite Private Key die Option Neuen Private Key erstellen aus, und klicken Sie auf Weiter.
  15. Geben Sie auf der Seite "Kryptografie" die folgenden Optionen an, und klicken Sie auf Weiter:
    • Kryptografischen Provider auswählen: Wählen Sie Cavium Key Storage Provider aus.
    • Schlüssellänge: Wählen Sie eine der Optionen für die Schlüssellänge.
    • Wählen Sie den Hash-Algorithmus für das Signieren von Zertifikaten aus, die von dieser CA ausgestellt wurden: Wählen Sie einen Hash-Algorithmus aus.
  16. Geben Sie auf der Seite CA-Name die folgenden Details an, und klicken Sie auf Weiter.
    • Allgemeiner Name.
    • Suffix für eindeutigen Namen.
    • Vorschau des Distinguished Namens.
  17. Geben Sie auf der Seite Gültigkeitszeitraum den Gültigkeitszeitraum in Jahren, Monaten, Wochen oder Tagen ein, und klicken Sie auf Weiter.
  18. Geben Sie auf der Seite Zertifikatsdatenbank den Speicherort für das Zertifikat und die Logs an, und klicken Sie auf Weiter.
  19. Klicken Sie auf der Seite Konfiguration auf Konfiguration.
  20. Klicken Sie auf der Seite Ergebnisse auf Schließen.
    Hinweis

    Sie können prüfen, ob die CA korrekt installiert wurde, indem Sie sc query certsvc über die Befehlszeile ausführen.

CSR mit einer Windows Server-CA signieren

Erfahren Sie, wie Sie eine CSR mit Windows Server CA signieren.

Verwenden Sie Ihre Windows-Server-Certificate Authority (CA) mit dem HSM-Cluster, um einen Certificate Signing Request (CSR) zu signieren.

Sie benötigen eine gültige Zertifikatssignieranforderung (Certificate Signing Request, CSR), um diese Aufgabe abzuschließen. Erstellen Sie einen CSR mit einer der folgenden Methoden:

  • SSL öffnen
  • Windows Server Internet Information Services (IIS) Manager
  • Windows-CLI (mit dem Dienstprogramm certreq)

Gehen Sie folgendermaßen vor, um eine CSR mit einer Windows-Server-CA abzuzeichnen.

  1. Stellen Sie eine Verbindung zu Ihrem Windows-Server her, und starten Sie den Windows Server Manager.
  2. Klicken Sie im Server Manager-Dashboard auf Extras.
  3. Klicken Sie auf Certification Authority.
  4. Gehen Sie auf der Seite Zertifizierungsautorität wie folgt vor:
    1. Öffnen Sie das Menü Aktionen, und wählen Sie Alle Aufgaben, Neue Anforderung weiterleiten aus.
    2. Wählen Sie die CSR-Datei aus, und klicken Sie auf Öffnen.
    3. Wählen Sie im Fenster Zertifizierungsberechtigung die Option Ausstehende Anforderungen, und wählen Sie die ausstehende Anforderung aus.
    4. Wählen Sie im Menü Aktion die Option Alle Aufgaben und dann Problemfall.
    5. Wählen Sie im Fenster Certification Authority die Option Ausgestellte Anforderungen, um das signierte Zertifikat anzuzeigen.
  5. Optional. Um das signierte Zertifikat zu exportieren, führen Sie die folgenden Schritte aus:
    1. Wählen Sie im Fenster Certification Authority das Zertifikat aus.
    2. Wählen Sie die Registerkarte Details und dann In Datei kopieren aus.
    3. Befolgen Sie die Anweisungen im Zertifikatsexportassistenten.
  6. Klicken Sie auf Schließen.