Kort om Certificate Services herunder backup og restore
Windows Server 2003 Certificate Services (CA) (public-key infrastructure (PKI) gir oss muligheten til å utstede, tilbakekalle og administrere digitale sertifikater. Microsoft Certificate Services er en valgfri komponent i Windows Server 2003 som kan installeres, også på en SBS Server.
Dersom du ønsker å lese om MS Certificate Services er det viktig å forstå at denne tjenesten eksisterer i to utgaver. Den begrensede utgaven som er på SBS Server og W2K3 Standard og enterprise utgaven. Standard utgaven er en begrenset versjon med følgende Certificate Templates; sertifikater for Administrator, Basic EFS, Computer, Domain Controller, EFS Recovery Agent, Subordinate Certificate Authority, User og Web Server sertifikater. Det er også gjort andre begrensninger herunder begrensninger på automatisk fornyelse.
MS CA kan installeres i ulike moduser. I denne hvordan artikkelen installeres MS Certificate Services som Enterprise CA. Dvs at den er Active Directory integrert og at den ikke har noe overordnet CA. I det følgende skal vi kort ta en titt på noen av komponentene i en CA som jeg i denne artikkelen ganske enkelt ikke kan la vær å behandle kort.
Figur 5 – Denne figuren har jeg tatt med for å illustrere at det er mange forbold forbundet med en CA som ikke behandles i dette avsnittet (kilde Microsoft).
Tips
Dersom du planlegger å benytte MS Certificate Services i et større omfang bør du treffe tiltak for å beskytte din CA. Dette omfatter så vel backup som beskyttelse av ”private keys”. Microsoft har Beste Praksis veiledninger for dette. Jeg kommer ikke videre inn på denne saken. Årsaken til disse tiltakene ligger i det at dersom din CA skulle skades, så må alle sertifikater utstedes på nytt. Dermed blir omfanget avgjørende for de tiltak du må treffe for å sikre deg mot dette.
Certification Authority Snap-In
Når du har installert Certificate Services kan du operere denne ved bruk av Certification Authority Snap-In. I dette management consol-et kan du bla. tilbakekalle sertifikater, utstede sertifikater og godkjenne eller avvise sertifikat forespørsler. For øvrig kan du også administrere Certificate Services herunder stille rettigheter for brukere.
Figur 6 – Når du har installert MS Certificate Services kan du utføre management av denne med Certification Authority Snap-In. Klikk Start, Administrative tools og Certificate Authority.
Backup av CA
For å ta backup av Certificate Services kan du benytte NTBackup og/eller Certification Authority Backup Wizard. Den sistnevnte kopierer “the current state” for CAen til en katalog som du spesifiserer. Fra denne kan du så utføre en gjenoppretting.
Figur 7 – Du må starte Certificate Authority management panelet og høyreklikke sertifikat tjenesten. Deretter kan du velge Backup eller Restore.
Figur 8 – Her ser vi Items to Back Up wizard. Pass på og klikk i begge sjekk boksene dersom du skal ha en fullstendig backup.
Tips
Katalogen opprettes dersom den ikke finnes. Du må selvfølgelig skrive ned passordet som du blir bedt om å skrive inn i neste skjermbilde.
Restore av CA
Certificate Services kan gjenopprettes fra en Backup. Dette gjør du ved å velge Restore CA i figur 7. Når gjenoppretting blir foretatt stoppes tjenesten Certificate Services. For øvrig gjenopprettes det du har tatt backup av. Sjekk at tjenesten kjører etter en gjenopprettingen.
Tips
Dersom du gjenoppretter din CA, må du passe på å ta en ny backup. Gamle backups kan da ikke lenger benyttes. Kun de nye!
Web Enrollment Support Pages
Når du installerer MS Certificate Services får du også et nytt websted på serveren; Web Enrollment Support Pages. Dette Webstedet har følgende URL: http://ServerNavn/certsrv. Der servernavnet er navnet på SBS Serveren. Av URLen ser vi at denne ligger under Default Web Site. Vi vil i denne hvordan artikkelen benytte dette webstedet for å utstede sertifikater.
Tips
Sikkerheten på de nye webstedene under Default Web Site kan økes. Dersom du publiserer websteder på SBS Serveren til internett er det greit å vite at de nye webstedene bruker Integrated Windows Authentication pr default. Du kan også begrense tilgangen til disse webstedene ved å sette IP begrensninger for eks til kun å gjelde for interne IP adresser. Hvis du tar en titt på denne artikkelen her: Installasjon av SBS Server 2003 – Del 2 – ICW figur 14 og 15 forstår du hva jeg mener. Du kan også konfigurere webstedene til å kreve SSL. Hvis du kjører ICW bør du sjekke opp disse webstedene etterpå og påse at disse har korrekte konfigurasjoner. Webstedene er CertControl, CertEnroll og CertSrv. Jeg vil her kort vise noen raske skjermbilder på hvor dette gjøres.
Figur 9 – Her har jeg høyreklikket webstedet certsrv, valgt fanen Directory Security og klikket på Edit i under Authentication and access control. Vi ser her at dette webstedet krever Integrated Windows authentication for pålogging.
Figur 10 – Her har jeg høyreklikket Edit under IP address and domain name restriction. Her kan du legge inn IP begrensninger for å stoppe tilgang til dette webstedet fra internett. Hvis du har en default konfigurert SBS Server skal du legge inn ”Granted 192.168.16.2 (255.255.255.0) og Granted 127.0.0.1.
Figur 11 – Her har kan du konfigurere krav om bruk av SSL.