Konfigurieren von Windows Server als Zertifizierungsstelle (CA, Certificate Authority) mit AWS CloudHSM - AWS CloudHSM
VoraussetzungenErstellen einer Windows Server-CASignieren Sie ein CSR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Windows Server als Zertifizierungsstelle (CA, Certificate Authority) mit AWS CloudHSM

In einer Public-Key-Infrastruktur (PKI) ist eine Zertifizierungsstelle (CA) eine vertrauenswürdige Entität, die digitale Zertifikate ausstellt. Diese digitalen Zertifikate binden einen öffentlichen Schlüssel unter Verwendung von Kryptografie öffentlicher Schlüssel und von digitalen Signaturen an eine Identität (eine Person oder Organisation). Um eine CA zu betreiben, müssen Sie das Vertrauen aufrechterhalten, indem Sie den privaten Schlüssel schützen, der die von Ihrer CA ausgestellten Zertifikate signiert. Sie können den privaten Schlüssel HSM in Ihrem AWS CloudHSM Cluster speichern und ihn verwenden, HSM um die kryptografischen Signaturvorgänge durchzuführen.

In diesem Tutorial verwenden Sie Windows Server und konfigurieren AWS CloudHSM eine Zertifizierungsstelle. Nach der Installation der AWS CloudHSM -Client-Software für Windows auf Ihrem Windows Server fügen Sie Ihrem Windows Server die Active Directory-Zertifikatsdienste (AD CS)-Rolle hinzu. Wenn Sie diese Rolle konfigurieren, verwenden Sie einen AWS CloudHSM Schlüsselspeicheranbieter (KSP), um den privaten Schlüssel der CA in Ihrem AWS CloudHSM Cluster zu erstellen und zu speichern. Das KSP ist die Brücke, die Ihren Windows-Server mit Ihrem AWS CloudHSM Cluster verbindet. Im letzten Schritt signieren Sie eine Zertifikatsignieranforderung (CSR) mit Ihrer Windows Server-Zertifizierungsstelle.

Weitere Informationen finden Sie unter den folgenden Themen:

Schritt 1: Einrichten der Voraussetzungen

Um Windows Server als Zertifizierungsstelle (CA) mit einzurichten AWS CloudHSM, benötigen Sie Folgendes:

  • Ein aktiver AWS CloudHSM Cluster mit mindestens einemHSM.

  • Eine EC2 Amazon-Instance, auf der ein Windows Server-Betriebssystem mit installierter AWS CloudHSM Client-Software für Windows ausgeführt wird. In diesem Tutorial wird Microsoft Windows Server 2016 verwendet.

  • Ein kryptografischer Benutzer (CU), der den privaten Schlüssel der CA besitzt und verwaltet. HSM

Um die Voraussetzungen für eine Windows Server-CA einzurichten mit AWS CloudHSM

  1. Führen Sie die Schritte unter Erste Schritte aus. Wenn Sie den EC2 Amazon-Client starten, wählen Sie einen Windows Server ausAMI. In diesem Tutorial wird Microsoft Windows Server 2016 verwendet. Wenn Sie diese Schritte ausführen, haben Sie einen aktiven Cluster mit mindestens einemHSM. Sie haben auch eine EC2 Amazon-Client-Instance, auf der Windows Server ausgeführt wird und auf der die AWS CloudHSM Client-Software für Windows installiert ist.

  2. (Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter Zu einem HSM AWS CloudHSM Cluster hinzufügen.

  3. Stellen Sie eine Verbindung mit Ihrer Client-Instance her. Weitere Informationen finden Sie unter Connect to Your Instance im EC2Amazon-Benutzerhandbuch.

  4. Erstellen Sie einen Krypto-Benutzer (CU) mithilfe von Managing HSM users with Cloud HSM CLI oder Managing HSM users with Cloud HSM Management Utility (CMU). Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen diese im nächsten Schritt.

  5. Legen Sie die Anmeldeinformationen für fest und verwenden Sie dabei den CU-Benutzernamen und das Passwort, die Sie im vorherigen Schritt erstellt haben. HSM

  6. Wenn Sie in Schritt 5 den Windows Credentials Manager zum Festlegen der HSM Anmeldeinformationen verwendet haben, laden Sie psexec.exeden folgenden Befehl als NT Authority\ herunter, SysInternals um ihn auszuführenSYSTEM:

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Ersetzen <USERNAME> and <PASSWORD> mit den HSM Anmeldeinformationen.

Um eine Windows Server-Zertifizierungsstelle mit zu erstellen AWS CloudHSM, gehen Sie zuErstellen einer Windows Server-CA.

Schritt 2: Erstellen Sie eine Windows Server-Zertifizierungsstelle mit AWS CloudHSM

Um eine Windows Server-CA zu erstellen, fügen Sie Ihrem Windows Server die Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS)-Rolle hinzu. Wenn Sie diese Rolle hinzufügen, verwenden Sie einen AWS CloudHSM Schlüsselspeicheranbieter (KSP), um den privaten Schlüssel der Zertifizierungsstelle zu erstellen und auf Ihrem AWS CloudHSM Cluster zu speichern.

Anmerkung

Wenn Sie Ihre Windows Server-CA erstellen, können Sie sich für das Erstellen einer Stamm-Zertifizierungsstelle oder einer untergeordneten Zertifizierungsstelle entscheiden. Sie treffen diese Entscheidung in der Regel basierend auf dem Entwurf Ihrer Public Key-Infrastruktur und der Sicherheitsrichtlinien Ihrer Organisation. In diesem Tutorial wird der Einfachheit halber erklärt, wie eine Stamm-CA erstellt wird.

So fügen Sie Ihrem Windows Server die AD-CS-Rolle hinzu und erstellen den privaten Schlüssel der CA

  1. Stellen Sie eine Verbindung mit Ihrem Windows-Server her, sofern noch nicht geschehen. Weitere Informationen finden Sie unter Connect to Your Instance im EC2Amazon-Benutzerhandbuch.

  2. Starten Sie auf Ihrem Windows-Server Server Manager.

  3. Wählen Sie im Dashboard Server-Manager die Option Rollen und Features hinzufügen.

  4. Lesen Sie die Informationen unter Before you begin (Zur Vorbereitung) und klicken Sie dann auf Weiter.

  5. Wählen Sie unter Installationsart die Rollenbasierte oder funktionsbasierte Installation. Wählen Sie anschließend Weiter.

  6. Wählen Sie unter Serverauswahl die Option Einen Server aus dem Serverpool auswählen. Wählen Sie anschließend Weiter.

  7. Gehen Sie für Serverrollen wie folgt vor:

    1. Wählen Sie Active Directory-Zertifikatdienste.

    2. Wählen Sie für Sollen für Active Directory-Zertifikatsdienste erforderliche Features hinzugefügt werden? die Option Features hinzufügen.

    3. Klicken Sie auf Weiter, um das Auswählen von Serverrollen abzuschließen.

  8. Übernehmen Sie für Features die Standardwerte und klicken Sie dann auf Weiter.

  9. Verfahren Sie für AD CS wie folgt:

    1. Wählen Sie Weiter.

    2. Wählen Sie Zertifizierungsstelle und klicken Sie dann auf Weiter.

  10. Lesen Sie unter Bestätigung die Informationen zur Bestätigung und klicken Sie dann auf Installieren. Schließen Sie das Fenster nicht.

  11. Wählen Sie den hervorgehobenen Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

  12. Prüfen oder ändern Sie die Anmeldeinformationen unter Anmeldeinformationen. Wählen Sie anschließend Weiter.

  13. Wählen Sie für Rollendienste die Option Zertifizierungsstelle. Wählen Sie anschließend Weiter.

  14. Wählen Sie für Installationsart die Option Eigenständige Zertifizierungsstelle. Wählen Sie anschließend Weiter.

  15. Wählen Sie für Zertifizierungsstellentyp die Option Stammzertifizierungsstelle. Wählen Sie anschließend Weiter.

    Anmerkung

    Sie können basierend auf dem Entwurf Ihrer Public Key-Infrastruktur und der Sicherheitsrichtlinien Ihrer Organisation entscheiden, ob eine Stammzertifizierungsstelle oder eine untergeordnete Zertifizierungsstelle erstellt werden soll. In diesem Tutorial wird der Einfachheit halber erklärt, wie eine Stamm-CA erstellt wird.

  16. Wählen Sie für Privater Schlüssel die Option Neuen privaten Schlüssel erstellen. Wählen Sie anschließend Weiter.

  17. Führen Sie für Kryptografie einen der folgenden Schritte aus:

    1. Wählen Sie für Wählen Sie einen Kryptografie-Provider aus eine der Optionen für Cavium-Schlüsselspeicher-Provider im Menü aus. Dies sind die AWS CloudHSM -Schlüsselspeicher-Provider. Sie können beispielsweise RSA#Cavium Key Storage Provider wählen.

    2. Wählen Sie für Schlüssellänge eine der verfügbaren Schlüssellängen aus.

    3. Wählen Sie für Select the hash algorithm für signing certificates issued by this CA (Wählen Sie den Hashalgorithmus zum Signieren von Zertifikaten aus, die von dieser Zertifizierungsstelle ausgestellt wurden) einen der verfügbaren Hashalgorithmen aus.

    Wählen Sie Weiter.

  18. Führen Sie für Zertifizierungsstelle einen der folgenden Schritte aus:

    1. (Optional) Bearbeiten Sie den allgemeinen Namen.

    2. (Optional) Geben Sie ein spezifisches Namenssuffix ein.

    Wählen Sie Weiter.

  19. Geben Sie für Gültigkeitsdauer einen Zeitraum in Jahren, Monaten, Wochen oder Tagen ein. Wählen Sie anschließend Weiter.

  20. Für Zertifikatdatenbankkönnen Sie die Standardwerte übernehmen. Sie können optional den Speicherort für die Datenbank und das Datenbankprotokoll ändern. Wählen Sie anschließend Weiter.

  21. Überprüfen Sie die Informationen zur Zertifizierungsstelle unter Bestätigung. Klicken Sie dann auf Konfigurieren.

  22. Klicken Sie auf Schließen und dann erneut auf Schließen.

Sie haben jetzt eine Windows Server-Zertifizierungsstelle mit AWS CloudHSM. Informationen zum Signieren einer Zertifikatsignieranforderung (CSR) mit Ihrer Zertifizierungsstelle finden Sie unterSignieren Sie ein CSR.

Schritt 3: Signieren Sie eine Zertifikatsignieranforderung (CSR) mit Ihrer Windows Server-Zertifizierungsstelle mit AWS CloudHSM

Sie können Ihre Windows Server-Zertifizierungsstelle mit verwenden AWS CloudHSM , um eine Zertifikatsignieranforderung zu signieren (CSR). Um diese Schritte ausführen zu können, benötigen Sie eine gültigeCSR. Sie können eine CSR auf verschiedene Arten erstellen, unter anderem wie folgt:

  • Verwenden von „Öffnen“ SSL

  • Verwenden des Windows Server-Managers für Internetinformationsdienste (IIS)

  • Verwenden des Zertifikate-Snap-In in der Microsoft Management Console

  • Verwenden des Befehlszeilendienstprogramms certreq unter Windows

Die Schritte zum Erstellen eines CSR liegen außerhalb des Rahmens dieses Tutorials. Wenn Sie eine habenCSR, können Sie sie mit Ihrer Windows Server-Zertifizierungsstelle signieren.

Um eine CSR mit Ihrer Windows Server-Zertifizierungsstelle zu signieren

  1. Stellen Sie eine Verbindung mit Ihrem Windows-Server her, sofern noch nicht geschehen. Weitere Informationen finden Sie unter Connect to Your Instance im EC2Amazon-Benutzerhandbuch.

  2. Starten Sie auf Ihrem Windows-Server Server Manager.

  3. Klicken Sie rechts oben im Dashboard Server-Manager auf Extras, Zertifizierungsstelle.

  4. Wählen Sie im Fenster Zertifizierungsstelle den Namen Ihres Computers aus.

  5. Wählen Sie im Menü Aktion die Option Alle Aufgaben, Neue Anforderung einreichen.

  6. Wählen Sie Ihre CSR Datei aus und wählen Sie dann Öffnen.

  7. Doppelklicken Sie im Fenster Zertifizierungsstelle auf Ausstehende Anforderungen.

  8. Wählen Sie die ausstehende Anforderung aus. Wählen Sie dann im Menü Aktion die Option Alle Aufgaben, Ausstellen.

  9. Doppelklicken Sie im Fenster Zertifizierungsstelle auf Ausgestellte Anforderungen, um das signierte Zertifikat anzuzeigen.

  10. (Optional) Um das signierte Zertifikat in eine Datei zu exportieren, führen Sie die folgenden Schritte aus:

    1. Doppelklicken Sie im Fenster Zertifizierungsstelle auf das Zertifikat.

    2. Wählen Sie die Registerkarte Details und anschließend In Datei kopieren.

    3. Befolgen Sie die Anweisungen im Zertifikatexport-Assistent.

Sie haben jetzt eine Windows Server-Zertifizierungsstelle mit und ein gültiges Zertifikat AWS CloudHSM, das von der Windows Server-Zertifizierungsstelle signiert wurde.