LPS:AD/Generovani certifikatu pro AD

Z HelpDesk

Postup geretování certifikátu pro AD server autoritou třetí strany

Tento návod popisuje postup vygenerování certifikátu pro ověření LDAP OVER SSL. Ke slovu přijde vždy, když vyprší platnost certifikátů vydaných našim AD serverům certifikační aoutoritou. To se pozná např. tak, že se přestanou synchronizovat uřivatelské účty z LDAPu do AD.

Co budeme potřebovat?

  • Přístup ke stroji, pro který se má certifikát generovat
  • Někoho, kdo obslouží certifikační autoritu – tj. vytvoří nám certifikát na základě naší žádosti, nebo nám alespoň poskytne autorizační kódy, na jejichž základě nám CA vydá certifikát sama.
  • Sadu nástrojů certutil/certreq. Na stávajících serverech by být měla, jinak se dá stáhnout z Microsoftího webu.

Jak na to?

  • Nejdřív je třeba vygenerovat žádost o certifikát - Certificate Request. To se dělá binárkou certreq.exe. Aby program věděl, co chceme v certifikátu mít, zadáme mu parametry jako INF soubor. Takto vypadá INF soubor pro pdc.w2k.zcu.cz:
;------ request.inf ------------------------------------
[Version]
Signature="$Windows NT$
[NewRequest]
Subject = "CN=pdc.w2k.zcu.cz"
; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Can be 1024, 2048, 4096, 8192, or 16384.
; Larger key sizes are more secure, but have
; a greater impact on performance.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
; this is for Server Authentication
;------ request.inf ------------------------------------
  • Jediné, co je v tomto requestu potřeba změnit, je CN – tam musí být vždy FQDN příslušného stroje (pdc.w2k.zcu.cz se tedy zamění za název stroje, pro který chcete certifikát vygenerovat)
  • Pak se dá vygenerovat příslušná žádost:
certreq -new request.inf request.req
  • Tím vznikne soubor request.req, který obsahuje žádost o certifikát kódovanou v base64.
  • Na základě této žádosti se dá vytvořit certifikát.
  • používáte-li k vydání certifikátu Entrust, vyžádejte si od jeho správce "Reference number" a "Authorization code". S nimi jděte na adresu http://crl.zcu.cz a tam klikněte na "Web Enrollment Server" a pak na "Create Web Server Certificate from PKCS#10 Request." Do příslušných políček napište autorizační kódy a do pole žádosti okopírujte (třeba z notepadu) obsah souboru request.req. Po odeslání žádosti se vám okamžitě objeví na obrazovce nově vygenerovaný certifikát kódovaný v base64, který můžete zkopírovat do notepadu a uložit, nebo ho můžete tlačítkem stáhnout přímo jako soubor. Stažený soubor bude mít příponu BIN, které Windowsy moc nerozumějí, ale klidně se dá předělat třeba na CER, na kterou už zareagují.
  • vydaný certifikát se dá akceptovat příkazem "certreq -accept servercert.cer", ale nemělo by vadit ani to, když jej přímo naimportujete (pravé tlačítko a kliknout na "Nainstalovat certifikát")

UPDATE: Pokud automaticky import selze (certifikat hlasi ze nema privatni klic) pak by melo zafungovat vyse uvedene certreq -accept

  • Nově vydaný certifikát se začne používat až po restartu a taky může být třeba smazat staré certifikáty se stejným CN, protože Windows mají tendenci používat i neplatné certifikáty, pokud jsou na ně zvyklé ;-)

Další informace

  • Do Googlu patří hesla jako "LDAP over SSL with a third-party certification authority" apod.

--Sustr4 15:29, 28. 4. 2006 (CEST)