Teil 27c: DirectAccess-Zertifikate und Web Server konfigurieren

Die Schritte für die Konfiguration von Zertifikaten und Web Server habe ich in den Teilen Teile 6ff, Teile 26ff detailliert beschrieben. Die Vorlagen für die Computer- und Web Server-Zertifikate können wie beschrieben verwendet werden, es sind keine Änderungen notwendig. Das Hinzufügen von Host (A)- und Alias (CNAME)-Einträgen am DNS Server habe ich ebenfalls schon öfter beschrieben (siehe z.B. Teil 12b: SSL mit WSUS verwenden). Deshalb habe ich in diesem Teil das Konfigurieren der DirectAccess-Zertifikate und Web Server etwas zusammengefasst.

DirectAccess-Zertifikate und Web Server konfigurieren – Schritte:

  • CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren
  • Am externen DNS Host (A oder AAAA)-Einträge für pki und da hinzufügen
  • Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen
  • Computer-Zertifikat auf den DirectAccess-Clients
  • Webseite für den NLS (Network Location Server) konfigurieren

CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren

Weil DA1 aus dem Internet erreichbar ist – Netzwerk-Adapter Extern1 mit 131.107.0.10 – muss ich die CRL hier verfügbar machen. Diese Schritte können bei einem Drittanbieter-Zertifikat übersprungen werden, weil die vorhandene Infrastruktur des Drittanbieters (z.B. StartSSL) verwendet wird.

  1. Als Administrator an DA1 anmelden
  2. Den Ordner C:\CertEnroll erstellen und freigeben
  3. Die Gruppe Cert Publishers und das Computerobjekt der SubCA1 (APP1) berechtigen (Ändern)
    DA_CERT-0001
  4. Die CA-Zertifikate nach C:\CertEnroll kopieren
    DA_CERT-0002
  5. Im IIS Manager ein virtuelles Verzeichnis CertEnroll anlegen
    DA_CERT-0003
  6. Directory Browsing und Double Escaping aktivieren (siehe Teil 6)
  7. In den Eigenschaften der SubCA1 die CDPs und AIAs hinzufügen
  8. Der CDP für http://pki.einfaches-netzwerk.at/CertEnroll und file:///da1.intern.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0004
  9. Der AIA-Eintrag für http://pki.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0005
  10. Den Dienst certsvc neu starten
  11. Die CRL neu veröffentlichen, diese wird sowohl auf APP1 > C:\CertEnroll als auch auf DA1 > C:\CertEnroll kopiert (für die interne Hochverfügbarkeit der CRL kann man diese zwei Server mittels Network Load Balancing zusammenführen, dazu mehr in einem späteren Teil)DA_CERT-0006
  12. Die interne Erreichbarkeit der CRL testen
    DA_CERT-0007

Am externen DNS Host (A)-Einträge für pki und da hinzufügen

  1. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für pki.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-010
  2. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für da.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-009
  3. Die externe Erreichbarkeit der CRL testen
    DA_CERT-011

Passt soweit! 🙂

Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen

Wie in Teil 27 beschrieben braucht DA1 für die IPsec-Verbindung das Computer-, für die IP-HTTPS-Verbindung das Web Server-Zertifikat.

  1. Eine MMC mit dem Snap-in Certificates für den Computer account starten
  2. Das Computer- und folgendes Web Server-Zertifikat ausstellen
    DA_CERT-004

    1. Subject name
      1. Type: Common name
      2. Value: da.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: da.einfaches-netzwerk.at
        DA_CERT-002
    3. Friendly name: IP-HTTPS Web Server Certificate
      DA_CERT-003
    4. MMC mit den ZertifikatenDA_CERT-006
  3. Alle Fenster schließen
  4. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-007
    DA_CERT-008
  5. Alle Fenster schließen

Computer-Zertifikat auf den DirectAccess-Clients

Weil ich die Computer-Zertifikate mittels Gruppenrichtlinen automatisch ausrolle (siehe Teil 6i), ist auf den Clients alles erledigt. 🙂
DA_CERT-012

Webseite für den NLS (Network Location Server) konfigurieren

Für die Webseite des NLS gilt als Best Practice nicht die IIS Standard Webseite zu verwenden. Aus diesem Grund erstelle ich eine einfache html-Datei.

  1. Als Administrator an APP1 anmelden
  2. Die Datei index.html mit folgendem Inhalt in C:\inetpub\wwwroot erstellen
    <html>
        <body>
            <a href="http://app1.intern.einfaches-netzwerk.at">www.einfaches-netzwerk.at</a>
        </body>
    </html>
  3. Am DNS Server einen neuen Host (A)-Eintrag für nls.intern.einfaches-netzwerk.at anlegen
    DA_SERVER-024
  4. Folgendes Web Server-Zertifikat ausstellen
    1. Subject name
      1. Type: Common name
      2. Value: nls.intern.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: nls.intern.einfaches-netzwerk.at
        DA_CERT-016
    3. Friendly name: NLS Web Server Certificate
      DA_CERT-017
  5. Fenster schließen
  6. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-018
  7. Der Aufruf mittels https://nls.intern.einfaches-netzwerk.at/DA_CERT-019

In diesem Teil ist viel geschehen: Ich habe die CRL für die DirectAccess-Clients aus dem Internet erreichbar gemacht. Außerdem habe ich für IP-HTTPS, IPsec und den NLS alle notwendigen Zertifikate installiert und die Web Server konfiguriert. Schon ist es soweit: Im nächsten Teil werde ich auf DA1 die Server-Rolle für DirectAccess installieren und konfigurieren.

CC BY-NC-SA 4.0 Teil 27c: DirectAccess-Zertifikate und Web Server konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

3 Gedanken zu „Teil 27c: DirectAccess-Zertifikate und Web Server konfigurieren

  1. Hallo, schon wieder ich…

    Beim Hinzufügen eines CDP steht file://///da1.intern.einfaches-netzwerk.at/CertEnroll
    Werden bei file wirklich fünf Backslashes verwendet (und bei ldap drei)?

    Gruß, Leipold

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.