För att hantera pki-certifikat behövs en certifikatserver. I Windows Server 2008 är den funktionen inbyggd, men du behöver öva dig i ett testsystem för att inte skapa oreda i ditt produktionssystem. Här visar vi hur du kommer igång.

Det är mycket enkelt att sätta upp en pki, public key infrastructure, med en eller ett par certifikatservrar i en Windowsmiljö. Men det är tyvärr också enkelt att göra fel vid en nyinstallation eller då man vill göra en förändring i en befintlig installation.

Jämfört med andra Windowskomponenter är det svårare att ta bort en ca-server (certificate authority) eftersom Windowsdomänen vill kunna spåra all certifikathantering som ägt rum.

Av den här orsaken bör alla tester göras i en separat miljö. Även när man vill göra en större förändring i en befintlig miljö bör man göra samma åtgärder i sin testmiljö. Exempel på åtgärder som bör testas är att införa en separat ca-server för att ge ut smarta kort, att byta ut en ca-server, förändringar av revokeringsstruktur, förändringar av certifikatmallar eller rutiner för automatisk utgivning av certifikat.

I den här artikel visar vi i sju steg hur du sätter upp en pki-lösning i en testmiljö och bjuder på några tips om vad du bör tänka på om säkerhet med pki.

infograf

Därför behöver du pki

  • Med certifikat kan användare och datorer identifieras på ett enkelt sätt.
  • Vertifikat kan användas med smarta kort för inloggning – det tar bort risken att dåliga lösenord används.
  • Datorcertifikat kan till exempel användas för autenticering mot trådlösa nätverk, vilket tar bort risken att alla användare delar på ett gemensamt lösenord.
  • Vad certifikat än används till så är det viktigt att ha en utformning och kontroll av vilka användare som ska få de certifikat som kan delas ut.

1 Planera testmiljön

tabell_pki

Innan du börjar laborera med certifikat i en produktionsmiljö är det bäst att börja lite försiktigt i en testmiljö. Eftersom lösningen för en pki kan vara mer eller mindre omfattande krävs det först en skiss på vilka komponenter som behövs. I den här guiden använder vi endast ett minimalt antal servrar och tjänster, det som behövs för att få grundläggande funktionalitet.

Det behövs minst en domänkontrollant och en ca-server för en rimlig testmiljö, men ofta krävs fyra eller fem servrar, beroende på hur stor pki-lösning som ska testas. Skapa en tabell över servrarna som ska ingå och deras nyckelegenskaper. Gör vid behov även en nätkarta.

Det är normalt inga problem att ha en testdomän i ett befintligt kontorsnät och på så sätt pröva pki-servrarna.

Allra enklast sätter man upp fjärrskrivbord (remote desktop, rdp) i de nya servrarna och administrerar dem på det sättet. Gör en länk till namnservern i den nya domänen från den befintliga namnserver.

2 Installera servrarna

Installera servrarna

Enklast är att skapa servrarna i en virtuell värdserver, till exempel Hyper-V. Det räcker med två stycken 512 megabyte stora servrar med Windows Server 2008 R2 Standard Edition. För testerna behövs inga licensnycklar, men avstå från Enterprise Edition om inte en sådan ska användas i produktion. Med en Standard Edition-server kan alla vanliga certifikat utfärdas, men det går inte att utfärda certifikat med förändrade certifikatmallar.

Ge servrarna namnen dc01.test.local och ca01.test.local. Välj engelska som installationsspråk och sätt servernamn och ip-adress i Initial Configuration Tasks-menyn samt öppna rdp genom att följa länken Enable Remote Desktop.

Lägg till kontrollanten
Installera därefter domänkontrollanten, antingen genom att köra kommandot dcpromo eller genom Add Roles från Server Manager-menyn. De valda domäninställningarna kommer att se ut som på bilden.

Anslut därefter ca01-servern till domänen genom att välja Computer Name/Domain Changes i Initial Configuration Tasks-menyn, och öppna Remote Desktop även i den servern.