Embed Size (px)
Citation preview
Knowlegde Guide Wien, Februar 2004
Einrichtung einer Testumgebung
zur Demonstration zertifikatsbasierter
Anwendungen
2
ww
w.c
rypt
osho
p.co
m
INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt man in seiner
Testumgebung lediglich (und am besten) einen Server 2003 als Domänencontroller mit installierten
Zertifikatsdiensten. Weitere Dienste, wie der IIS für Webenrollment, sind im Grunde optional, aber sinnvoll. Für den
Test von VPN sind 2 Netzwerkarten notwendig und eine Installation von RRAS und IAS-Server wichtig. INHALT............................................................................................................................ 2 Einrichten einer Testdomäne ......................................................................................... 3 Installation des IIS .......................................................................................................... 5 Installation der Zertifikatsdienste................................................................................... 5 Konfiguration Certification Authority .............................................................................. 7 Ausstellen eines Smartcard Zertifikates ...................................................................... 10 Installation RRAS Server .............................................................................................. 12 Installation IAS (Internet Authentication Service)......................................................... 14 Radius Client für WLAN einrichten. .............................................................................. 15 Konfigurieren der Remote Access Policy für VPN ........................................................ 16 Konfigurieren der Remote Access Policy für WLAN ..................................................... 20
3
ww
w.c
rypt
osho
p.co
m
Einrichten einer Testdomäne
Nach dem Aufsetzen des 2003 Servers (Standard Version) muss der Server als Domain Controller einer neuen
Domäne ernannt werden.
4
ww
w.c
rypt
osho
p.co
m
Nach der Vergabe des vollen DNS-Namens und des NETBIOS Names für die Domäne, sowie der Pfade für das Active Directory und System Volume, sollte die Berechtigungsstruktur auf nur mit Windows 2000/Server 2003 kompatible Berechtigungen1 gesetzt werden.
1 Betrifft die Sondergruppe „Jeder“ die bei NT4 z.T. auch anonyme Benutzer ohne Anmeldung umfasste.
5
ww
w.c
rypt
osho
p.co
m
Installation des IIS Um die einfachste Möglichkeit für das Ausrollen von Benutzerzertifikaten, das Webenrollment, nutzen zu können, ist die Installation des IIS notwendig, was man am besten noch vor der Installation der Zertifikatsdienste erledigt.
Installation der Zertifikatsdienste Danach kann mit der Installation der Zertifikatsdienste (Software/Windowskomponenten) die Windows CA aufgesetzt werden.
Nachdem eine CA aufgesetzt ist, ist eine Änderung von Rechnernamen und Domänenzugehörigkeit nicht mehr möglich – dies würde alle ausgestellten Zertifikate invalidieren.
6
ww
w.c
rypt
osho
p.co
m
Stellen Sie sicher, dass auch das der Web Enrollment Support installiert wird, was standardmäßig der Fall sein
sollte und erstellen Sie eine Enterprise Root CA (Organisationszertifizierungsstelle)
7
ww
w.c
rypt
osho
p.co
m
Vergeben Sie danach den Namen (Common Name) der CA, wie z.B. unsere CA namens erdberg in unserer Testdomäne vienna.local. Damit wird das Root Certificate erstellt.
Danach wird für die installation des Web Enrollments der IIS kurz gestoppt und die Active Server Pages im IIS
aktiviert.
Konfiguration Certification Authority Unter den Administrative Tools (Verwaltung) finden Sie die „Certification Authority“ (Zertifikatsdienste)
8
ww
w.c
rypt
osho
p.co
m
Noch kann die CA keine SmartCard Zertifikate ausstellen. Dazu muss ein neues Template (Vorlage) hinzugefügt
werden. Unter Certificate Templates / New / Certificate Template to Issue kommt man zur entsprechenden
Auswahl.
Markieren Sie Smartcard User und drücken Sie auf OK.
9
ww
w.c
rypt
osho
p.co
m
Unter Certificate Templates / Manage kommt man zur Verwaltung der Templates, die Eigenschaften des Smartcard
User Templates müssen noch angepasst werden.
Damit (mit passwort) authentifizierte User sich ein Smartcard Zertifikat über Webenrollment ausstellen können muss Ihnen das Recht „Enroll“ gewährt werden.
10
ww
w.c
rypt
osho
p.co
m
Ausstellen eines Smartcard Zertifikates Damit ein Smart Card Zertifikat ausgestellt werden kann installieren sie zuerst den CSP für diese Smartcard. Für
GemSAFE Karten z.b. die GemSAFE Libraries, für STARCOS Karten z.b. AET. Safesign.
User der Domäne können sich über Webenrollment (http://servername/certsrv/) ein SmartCard Zertifikat ausstellen
lassen was über ein ActiveX Control funktioniert. (für die Installation sind Administratorenrechte notwendig)
Mit „Request a certificate“ , „Advanced certificate request“ und “Create and Submit a Request to the CA” kommt
man zum “Advanced certificate request” Dialog, wo man als erstes das Template (Zertifikatsvorlage) auswählt, auf
dessen Basis das Zertiifkat ausgestellt werden soll, in unserem Fall Smartcard User, und welcher CSP verwendet
werden soll. Wählen Sie hier ihren installierten CSP, z.B. „GemSAFE Card CSP“ im Falle einer GemSAFE GPK –
Karte.
11
ww
w.c
rypt
osho
p.co
m
Bei „Submit“ wird ein Zertifikat durch die CA erstellt, und auf der Folgeseite zum installieren angeboten – was mit
einem Klick auf das Symbol geschieht. Jetzt ist das Zertiifkat auf der Karte und kann sofort verwendet werden, und
z.B. das Windows Logon genutzt werden.
12
ww
w.c
rypt
osho
p.co
m
Installation RRAS Server Für einen VPN Zugang oder WLAN Absicherung mit Smartcard ist der RRAS Server notwendig. Über „Managing
Server“ „Add a role“ kann der Routing und Remote Access Server installiert werden, und wählen Sie im ersten
Dialog „Remote Access“ aus., was für eine Testumgebung ausreichen sollte, und anschließend VPN.
13
ww
w.c
rypt
osho
p.co
m
Wählen Sie anschließend die Netzwerkkarte, auf welcher die VPN-Clients ankommen. „Enable Security“ bedeuted, dass nur noch VPN-Verkehr angenommen wird.
Spezifizieren Sie anschließend, wie die IP-Adressen für die Clients vergeben werden sollen und definieren Sie,
dass dieser Server die Radius Verbindungsanfragen authentifizieren soll.
14
ww
w.c
rypt
osho
p.co
m
Installation IAS (Internet Authentication Service)
Über “Add/Remove Software”, “Windows Components” ist unter den “Networking Services” das Internet
Authentication Service zu installieren.
15
ww
w.c
rypt
osho
p.co
m
Radius Client für WLAN einrichten. Unter dern „Administration Tools“ ist nun das „Internet Authentication Service“ zu finden. Richten Sie hier einen
neuen Radius Client ein.
Vergeben Sie für den Radius Client einen sprechenden Namen und geben Sie die IP-Adresse an. Bei WLANs ist der
WLAN-Router der Radius Client.
16
ww
w.c
rypt
osho
p.co
m
Konfigurieren der Remote Access Policy für VPN Unter dern „Administration Tools“ ist nun das „Routing and Remote Access“ zu finden. Richten Sie hier eine neue
Remote Access Policy ein.
17
ww
w.c
rypt
osho
p.co
m
Vergeben Sie einen entsprechenden Namen und wählen Sie VPN als Verbindungstyp aus.
18
ww
w.c
rypt
osho
p.co
m
Wählen Sie die Benutzergruppe für VPN aus.
Und wählen Sie „Smartcard or other certificate“ aus. Unter „Configure“ ist noch auszuwählen, mit welchem
Zertifikat sich der Server gegenüber den Clients authentifiziert.
19
ww
w.c
rypt
osho
p.co
m
Stellen Sie auf Verschlüsselung auf die höchste Stufe. (MPPE = Microsoft Point to Point Encryption = RC4)
20
ww
w.c
rypt
osho
p.co
m
Konfigurieren der Remote Access Policy für WLAN
Erstellen Sie eine zweite Remote Access Policy für WLAN-User, analog zur VPN Policy
Als EAP Typ wieder „Smartcard or other certificate“ auswählen.
21
ww
w.c
rypt
osho
p.co
m
In den „Eigenschaften“ der WLAN-Policy, „Edit Profile“ sollte noch weiter die Verschlüsselung auf starke
Verschlüsselung eingeschränkt werden und zu Testzwecken mit PEAP auch Passwörter zulassen.
22
ww
w.c
rypt
osho
p.co
m
CRYPTAS it-Security & Media Gmbh
Modecenterstrasse 22/B2
A-1030 Wien, Austria
T +43 (1) 798 96 96 – 0
F +43 (1) 798 96 96 – 99
www.cryptoshop.com
www.cryptas.com
www.cryptasmedia.com
