MIGRACIJA NA WINDOWS 2008 SERVER INFRASTRUKTURU SA JAVNIM KLJUCEVIMA MIGRATIONE TO WINDOWS 2008 SERVER PUBLIC KEY INFRASTRUCTURE

Nenad Petrović Nacionalna Služba za zapošljavanje Sadržaj – Windows platforma uključuje jaku podršku za infrastrukturu sa javnim ključevima još od verzije Windows 2000. U sledećoj generaciji tj. Windows server 2003, mogućnosti infrastructure sa javnim ključevima su proširene mogućnostima enrollment opcija realizovanih template sertifikatima verzije 2, kao I podrškom za autoEnrollment korisničkih sertifikata.U poslednjoj verziji tj windows server 2008 platformi , koji je I predstavljen u ovom radu, napravljen je veliki iskorak sa podrškom za napredne algoritme, validacijom sertifikata u realnom vremenu kao I efikasnom upravljivošću sistema. PKI infrastruktura na Windows 2008 platformi je fokusirana u cetiri osnovna pravca: kriptografija, Enrollment, upravljanje I opoziv sertifikata.Pored navedenih poboljšanja, Windows2008 PKI donosi unapredjenja uvodjenjem Roles Managera čime se kreiranje I primena novih CA-ova u postojećoj infrastrukturi u velikoj meri pojednostavljuje. Abstract - Windows has included strong platform support for public key infrastructure (PKI) since the release of Windows 2000. In next generation Windows Server 2003,expanded to provide more flexible enrollment options with version 2 certificate templates and support for auto-enrollment of user certificates. In next generation Windows Server® 2008, that had presented in this paper, made a great step forward with support for advanced algorithms, real-time validity checking, and better manageability. PKI infrastructure on Windows 2008 platform is focused in four main directions: cryptography, Enrollment, management and revocation of certificates. In addition to these improvements, Windows2008 PKI shall promote the introduction of Roles Manager which design and implementation of new CA's in the existing infrastructure greatly simplifies. 1.UVOD U ovom radu analizirani su i predstavljeni mogući scenariji migracije postojeće infrastrukture sa javnim ključevima ( PKI) Win 2003 na infrastrukturu Win 2008 PKI. Pored mogućih scenarija definisane su i metode u verifikaciji migriranog sistema, a koje omogućavaju da se otklone sve greške i nedostaci pre same implementacije istog. U prethodnim verzijama Windows PKI sistema, samo CA i Web Enrollment su bile sastavni deo operativnog sistema. Migracijom na Windows 2008 PKI ostvarujemo pogodnosti kroz još dva servisa i to Online Responder i Network Device Enrollmnt (NDES), koji su sa prethodna dva, sastavni deo operativnog sistema Windows 2008 server. U cilju povećanja bezbednosti PKI sistema, pojednostavljenja u upravljanju i pojednostavljenja u implementaciji, migracija na Windows 2008 PKI je nezaobilazni process IT sistema. Sam proces migracije sastoji se iz nekoliko faza : priprema AD, nadogradnja šeme AD, template sertifikata i verifikacije migriranog sistema. 2. PRIPREMA AKTIVNOG DIREKTORIJUMA ZA MIGRACIJU NA WINDOWS 2008 PKI Nadogradnja postojeće infrastrukture sistema sa javnim ključevima Windows 2003 servera na Windows 2008 PKI povlači za sobom tri osnovna pitanja: a) Da li je potrebno u postojećoj šumi migrirati domen kontrolere na Windows server 2008 ? Odgovor na ovo pitanje je da nije potrebno. Naime moguće je implementirati Win 2008 PKI u direktorijumskom okruženju sa Win 2000 i Win 2003 domen kontrolerima. b) Da li je potrebno podići nivo domena ili nivo šume na nivo Win 2008 ? Odgovor na ovo pitanje je ne. Infrastruktura sa javnim ključevima Win 2008 PKI nema zahteva u pogledu funkcionalnog nivoa domena ili šume. c) Koji je osnovni zahtev u pogledu implementacije Win 2008 PKI sistema? Osnovni zahtev se odnosi na pripremu aktivnog direktorijuma direktorijumskog servisa ( AD DS).

Priprema okruženja aktivnog direktorijuma se izvodi u nekoliko koraka: A.ANALIZA OKRUŽENJA AD-a U procesu analize treba preduzeti nekoliko koraka, neposredno pre same instalacije enterprise okruženja infrastrukture sa javnim ključevima i to:  Utvrđivanje broja šuma Broj šuma u direktorijumskom okruženju direktno utiče na broj enterprise Sertifikacionih tela ( CA). Ovaj broj je uslovljen činjenicom da Enterprise CA moze da izdaje sertifikate samo korisnicima i računarima koji pripadaju istoj šumi.Naime ako u organizaciji postoji više šuma, neophodno je da u svakoj od šuma instaliramo najmanje jedan CA.

Korišćenjem Online Certificate Status Protocol-a ( OSCP) „responder“ servisa tj uvodjenjem entiteta validation authority ( VA).Naime sigurnosti za digitalno kvalifikovan elektronski sertifikat poseduje mogućnost integrisanja biometrijske informacije vlasnika sertifikata. moramo implementirati poslednju verziju AD DS šeme. Windows 2003 i Windows 2008 domen kontrolere. preko konzole. svi članovi CAovih lokanih Administratorskih grupa će imati mogućnost exporta istih. stalno dostupni servis odgovora validnosti sertifikata.Ukoliko je operacija uspešna dobiće se poruka Adprep successsfully. započeti proces logovanja.  Utvrdjivanje članstva lokalnih administratorskih grupa servera člana Ukoliko u sistemu koristimo kriptografski sistem za zaštitu CA-ovih privatnih ključeva.Ovom podrškom omogućeno je izdavanje sertifikata sa visokim stepenom potpisivanje. B.Kada se završi proces replikacije prelazimo na sledeći korak u kome vršimo pripremu svih domena u šumi na osnovu sledece procedure: .  Utvrdjivanje verzije šeme aktivnog direktorijuma Da bi ostvarili sve prednosti i funkcionalnosti koje nudi Windows server 2008 PKI.  Neophodno je da se izmena izreplicira na sve domen kontrolere.dll Startovati MMC konzolu i dodati modul Active Directory Schema Desnim klikom izabrati opciju Change Master U polju Current Schema Master je definisano FQDN ime servera koji ima trenutnu ulogu Schema Master domen kontrolera.1 Prikaz Domen kontrolera sa ulogom Schema Operations Master Postupak utvrdjivanja domen kontrolera sa ulogom schema operations master sastoji se iz nekoliko koraka: Startovati Command Prompt Ukucati komandu regsrv32 schmmgmt.  Sistem za validaciju sertifikata „Responder“ Windows 2008 server uvodi tzv. Ulogovati se kaorisćenjem naloga koji je član Schema Admins ili Enterprise Admins grupe na root domen kontroleru u šumi ili član domenske Administratorske grupe domena čiji je član i sam Schema Master domen kontroler.Naime SCEP podržava izdavanje sertifikata mrežnim uredjajima bez zahteva za kreiranjem kompjuterskog naloga za uredjaje u sistemu aktivnog direktorijuma. Nadogradnja šeme Aktivnog direktorijuma je proces koji se odvija u nekoliko koraka:  Prvi korak je identifikovanje servera sa ulogom schema operations master kao što je prikazano na slici 1 Sl.I ovaj proces se izvodi u nekoliko koraka: Pozicionirati se na drive u kome se nalazi instalacioni disk Win 2008 na folder sources/adprep Izvršiti pripremu šume komandom adprep /forestprep . bitno je utvrditi u koji od postojećih domena treba podići sertifikaciono telo ( CA) Izbor domena u kome će biti instaliran CA zavisice od toga da li organizacija koristi centralizovan ili decentralizovan način upravljanja. Iz tog razloga potrebno je identifikovati domene ili organizacione jedinice sa najmanjim brojem lokalnih aministratorskih grupa. Utvrdjivanje broja domena u šumi Ukoliko u direktorijumskom okruženju imamo više od jednog domena. Drugi korak podrazumeva proces nadogradnje šeme Nakon identifikovanja Schema Master domen kontrolera.  Podrška za template sertifikate verzije 3 Prelaskom na Windows 2008 šemu omogućena je primena template sertifikata V3 i time stvorene mogućnosti za primenu CNG tj kriptografskih algoritama sledeće generacije. omogućena je jednostavna validacija opoziva sertifikata korisnika u odnosu na postojeći sistem CRL lista.NADOGRADNJA ŠEME AD-a Navedeni proces je jedan od osnovnih uslova koji omogućava da se iskoriste brojne prednosti i funkcionalnosti u sistemu Windows 2008 PKI od kojih možemo izdvojiti:  „Enrollment“ servis za mrežne uredjaje Windows 2008 PKI podržava automatsko izdavanje sertifikata CISCO mrežnim uredjajima korišćenjem Simple Certificate Enrollment Protocol-a (SCEPa). Implementacija šeme Windows 2008 server je moguća u šumi koja sadrži Windows 2000 SP4.  Podrška za kvalifikovan profil sertifikata Pojam kvalifikovanog profila sertifikata opisan je RFC 3739 dokumentom. Naime u centralizovanom CA će biti instalirani u jednom domenu a u decentralizovanom CA-ovi su distribuirani.

i para klučeva na sistem sa arhitekturom x64 Win 2008 U ovoj strategiji prvo pristupamo nadogradnji postojeće baze CA. sertifikata i para ključeva a nakon ove nadogradnje pristupamo migraciji i to: . sertifikata. U procesu migracije prvi korak je utvrdjivanje koja verzija Windows Certificate Services će biti nadogradjena. i ukoliko postoji zahtev za objavlivanje sertifikata.U sledećoj tabeli na slici 2 dat je prikaz mogućih „in-place“ nadogradnji u zavisnosti od verzije operativnog sistema Sl3. proces ce biti prekinut ukoliko CA nije član grupe Cert Publishers. Drugi korak je utvrdjivanje da li se nadogradnja radi na operativnom sistemu Windows sa 32bitnom ili 64-bitnom arhitekturom procesora.  Treci korak je modifikacija grupe Cert Publisher Navedenoj grupi je dodeljena dozvola za čitanje i upisivanje informacija o atributima korisničkog sertifikata.Pri tome je bitno naglasiti činjenicu da ukoliko CA izda sertifikat korisniku. nije moguće izvršiti nadogradnju na Windows 2008.Naime na navedenom sistemu servis b) Nadogradnja postojećih CA-ova na Windows 2008 a zatim migracija CA baze.Implementacija nove infrastrukture u procesu migracije U prikazanom scenariju možemo izdvojiti nekoliko koraka Instalacija dva nova issuing CA servera sa novim NETBIOS imenima Svi postojeći template sertifikati se povlače na CA-ovima sa x32 arhitekturom čime se onemogućava proces iznajmljivanja sertifikata sa navedenih servera Postojeći CA serveri nastavljaju da funkcionišu ali samo u domenu objavljivanja liste iznajmljenih sertifikata ili CRL liste Ukoliko je uključena i opcija arhiviranja para ključeva na x32 platformi tada je neophodno uraditi migraciju na 64-bitnu platformu Sl2. Jedan od bitnih podataka je da ukoliko imam Windows Certificate Services instaliran na Windows 2003 platformi sa Itanium sistemom. U daljem tekstu predstavljen je jedan od modela migracije na Windows 2008 PKI.Pored iznetog podatka bitno je znati da u procesu nadogradnje na Windows server 2008 PKI nije podržana direktna nadogradnja izmedju različitih arhitektura procesora.U ovom slučaju može se postupiti jednom od tri navedena metoda: a) Implementacija nove infrastrukture CA Ovo je prvi od tri navedena metoda za migraciju na x64 platformu a prikazana je na slici 3 na kojoj je primenjena migracija nad dva issuing CA servera.Jedan od metoda koji se preporučuje je tzv. 3.- Ulogovati se na domen kontroler koji ima ulogu infrastructure master Pozicionirati se na drive sa instalacionim diskom win 2008 i to na folder source/adprep Izvrsiti komandu adprep /domainprep /gpprep aktivnog direktorijuma nije podržan. Navedenu proceduru treba sprovesti na svaki domen u šumi aktivnog direktorijuma. MIGRACIJA POSTOJEĆE PKI INFRASTRUKTURE Kada govorimo o migraciji postojeće infrastrukture sa javnim ključevima treba istaći da se razlikuje od procesa uvodjenja nove infrastrukture. Podržane nadogradnje Na osnovu tabele vidimo da je jedina verzija nad kojom je moguća direktna nadogradnja je Windows 2003 SP1 ili novijim ili windows 2003 R2. „in-place“ nadogradnja koju ne podržavaju sve verzije Windows Certificate Services-a.

nakon čega će se pojaviti poruka da li želimo da instaliramo novi template U konzoli Certificate Templates proveriti prisutnost novih template sertifikata d) Aktivacija dodatnih mogućnosti tj opcija koje dolaze sa Windows 2008 serverom Nakon prethodne operacije u kojoj smo odradili nadogradnju na Windows 2008 server na postojećem CA. sertifikate. Bitno je naglasiti da nadogradnja šeme ne zahteva i nadogradnju domen kontrolera. MD4.Bekapovati bazu CA.inf fajla b) „In-place“ proces nadogradnje Realizacija navedene nadogradnje sprovodi se primenom sledeće procedure: U slučaju da je CA koji nadogradjujemo „issuing“ CA. potrebno je podesiti da Enterprise Adminstratorska grupa bude član lokalne Administratorske grupe Nakon toga ulogovati se na CA korišćenjem naloga koji je član Enterprise Admins Group Uraditi bekap svih fajlova koji se odnose na servis Certificates Upotrebiti instalacioni disk Windows server 2008 sa istom verzijom operativnog sistema koja odgovara trenutno korišćenoj Pre samog procesa instalacije prihvatiti opciju online update Izabrati opciju Full Instalation i zatim opciju Upgrade Nakon uspešno obavljenog Upgrade ulogovati se na isti sa nalogom koji je član Enterprise Admins Group Otvoriti Certification Authority i proveriti statuse svih servisa - Nakon ovih postupaka servere sa 32-bitnim operativnim sistemom obavezno skidamo sa mreže. Promena hash algoritma obavlja se po sledećoj proceduri: U prvom koraku utvrdjujemo koju vrstu CSP koristi CA komandom certutil –getreq ca\csp\provider U zavisnosti od rezultata izvršenja prethodne komande potrebno je utvrditi koji algoritam . par ključeva.Prilikom podizanja nove infrastrukture voditi računa o sledećim savetima: 64-bitni CA se instalira na istoj ediciji Win 2008 servera kao i prethodni 32-bitni CA-ovi . CA baze.Ovaj korak zavisi prvenstveno od primenjenog kriptografskog sistema za zaštitu privatnog ključa ili CSP-a. registry ključa i CAPolicy.inf fajla.msc.64-bitni CA-ovi mora imati isto NETBIOS ime kao i 32-bitni CA-ovi .- - Bekapjujemo nadogradjenu bazu CA korišćenjem komande certutil –backupdb Zatim pristupamo exportu CA –ovih privatnih ključeva i CA sertifikata. PROCES NADOGRADNJE NA WIN 2008 PKI Proces nadogradnje se izvodi u nekoliko faza i to: a) Priprema AD DS Pre procesa nadogradnje CA-ova na Windows 2008 strukturu moramo sprovesti nadogradnju šeme Aktivnog direktorijuma na Windows 2008 verziju.sertifikata i para ključeva x32 Win 2003 na X64 Win 2003 CA a nakon toga nadogradnja na CA na x64 Win 2008 platformi Poslednja strategija je slična prethodnoj i izvršava po sledećoj proceduri: .Kod promene hash algoritma treba razlikovati dva slučaja i to: a) CSP sa CryptoApi verzijom 1 U ovom slučaju promenu hash algoritma moguće je izvršiti na jedan od dostupnih algoritama:SHA1. neophodno je pristupiti promeni hash algoritma. CA registry ključa i CAPolicy. MD5.inf fajla na postojećem 32-bitnom CA sistemu . Sledeći korak je bekap ključa u registry bazi i to HKLM/SYSTEM/CurrentControlSet/Services/C ertSvc Bekap konfiguracionog fajla tj CAPolicy. Migracija postojeće baze CA.Nadogradnju sprovodimo u nekoliko koraka: Identifikovanje domen kontrolera sa ulogom schema master. MD2.Instalirati 64-bitne CA-ove sa istim NETBIOS imenima i u istom domenu ili grupi . sobzirom da se na njemu i vrši nadogradnja šeme Proces replikacije izmena na sve domen kontrolere u šumi Opciono primeniti nadogradnju domena korišćenjem naredbe adpre /domainprep /gpprep - c) Nadogradnja template sertifikata Prelaskom na Windows server 2008 PKI pored postojećih template sertifikata pojavljuju se još dva i to:   OSCP Response Signing Kerberos Authentication U cilju dodavanja novih template-a primeniti sledeću proceduru: Učlaniti Windows server 2008 u domen Podesiti da Enterprise Adminstratorska grupa bude član lokalne Administratorske grupe U start menu ukucati komandu certtmpl.Skinuti sa mreže 32-bitne CA-ove .Restore bekapa CA elemenata c) 3.64-bitni CA-ovi se moraju nalaziti u istom domenu ili grupi kojoj su i pripadali 32-bitni CA-ovi Nakon obavljenih priprema treba pristupiti restore proceduri za CA par ključeva. nakon čega podižemo servere sa 64-bitnom arhitekturom.

PKI Health Tool konzola Na konzoli se jasno uočava status svakog od CA u infrastrukturi PKI sistema a takodje i vrednosti polja AIA i CDP za svaki od CA-ova. 4.Nakon izvšenih komandi obavezno restartovati CA Jedna od bitnih činjenica koje nikako ne smeno zaobići. VERIFIKACIJA PROCESA MIGRACIJE PKI INFRASTRUKTURE Ovaj korak je jedan od najvažnijih. SHA384.Nakon ove operacije pojaviće se ekran kao na slici 7.Za promenu treutno korišćenog algoritma neophodno je primeniti sledeću komandu certutil –setreq ca\csp\CNGHashAlgorithm sha384. Bilo kakva nekorektnost mora biti utvrdjena i otklonjena pre samog procesa puštanja u produkciju. gde na kraj komande definišemo vrstu hash algoritma . SHA256. MD4. je ta da nije moguća promena provajdera. Sl5. Kao rezultat prethodne komande dobićemo sledeći rezultat prikazan na slici 4 a u kome se može videti vrsta algoritama vrednosti definisane u polju CRL Distribution Point (CDP).MSC je alat koji kroz grafički interfejs daje prikaz CA hijararhije sa AIA i CDP ekstenzijama za svaki od CA-ova.Naime ovaj alat se automatski instalira sa uključivanjem Active Directory Certificate Services role.PKI Health Tool je sastavni deo Win 2003 Resource Kit-a ali je u Windows 2008 integrisan. Ukoliko nakon nadogradnje URL-ovi nisu dobro konfigurisani download sertifikata ili liste će biti onemogućen. Rezultat izvršavanja komande certutil Za promena algoritma u slučaju CSP CryptoAPI V1 koristiti naredbu certutil –setreq ca\csp\HashAlgorithm 0x8004.txt. konzola se startuje kocanjem komande pkiview. Prvi korak u verifikaciji je proces u kome treba utvrditi da li test klijent ima mogućnost dovlačenja sertifikata i liste opozvanih sertifikata. U procesu verifikacije AIA i CDP ekstenzija moguće je koristiti dva osnovna alata i to: a) PKI Health Toll Ovaj alat koji se startuje kroz konzlu PRIEVIEW.Instalacija ovog alata se izvodi kroz panel Features Summary tj čekiranjem opcije Certification Authority Tool kao na slici 6. .U ovom koraku treba voditi računa da se sertifikat dovlači sa lokacije koja je navedena u URL polju u okviru AIA ekstenzije.Jedan od bitnih koraka je i podešavanje globalnih opcija navedenog alata. MD2. U ovoj fazi definišu se preporuke kao i alati koje treba koristiti u procesu verifikacije. tipa provajdera kao i CNGPublickeyAlgorithm-a. Sl4. MD5.koristi CA i to u slučaju CSP CryptoAPI V1 korišćenjem komande certutil –v csplist > csplist. SHA512. b) CSP sa CNG ( Cryptography Next Generation) Cryptography Next Generation poseduje mogućnost promene hash algoritma na jednu od mogućih verzija: SHA1. AES-MAC . Instalacija Certification Administration Tool-a Kada se jednom instalira. a CRL lista sa Sl6. Nakon sprovedenih komandi obavezno restartovati CA. a na osnovu koga možemo utvrditi da li su svi CA-ovi infrastrukture sa javnim ključevima pravilno konfigurisani.Da bi smo podesili globalne opcije neophodno je u mmc konzoli desnim klikom miša na Enterprise PKI izabrati opciju Options.Ovo je vrlo bitno jer nije moguće za izdati sertifikat uraditi povratak na prethodni korak u kome bi se vršila izmena AIA i CDP ekstenzija.msc.U suprotnom dolazi do pada Certificate servisa.U slučaju CNGCSP korišćenjem naredbe certutil –getreq ca\csp\CNGHashAlgorithm utvrdjujemo trenutno korišćenu verziju algoritma .Kada startujemo navedeni alat pojaviće se maska kao na slici 5.

Pored validacije statusa ovaj alat daje informacije o Active Directory Certificates i CRL storovima.Maska pomoću koje radimo menadzment storova prikazana je na slici 8 Migracija postojeće infrastrukture Windows 2003 server PKI na Windows 2008 server PKI je neizbežan proces .com/learning/en/us/course. Detailed Enrollment Agent delegation. ova vrednost se podešava na 4 sata.jednostavno upravljanje pravima za izdavanje sertifikata I Detailed Certificate Manager-a. stime da ukoliko se Delta CRL lista objavljuje dnevno. Online Certificate Status Protocol (OCSP). Network Device Enrollment Services (NDES). Global options PKI Health Tool Posmatrajući sliku vidimo da je moguće podesiti tri paramatra A)The expiring certificate indikator definiše koliko dana pre isteka sertifikata će PKI Health Tool dati informaciju o isteku B)The Base CRL experision indikator ukazuje na upozorenje o isteku CRL liste.Prelaskom na novu infrastrukturu ostvarićemo brojne prednosti od koji možemo izdvojiti : Cryptography Next Generation (CNG)-povećanje bezbednosti.jednostavno i efikasno dobijanje statusa izdatih i povučenih sertifikata u realnom vremenu. 5. ZAKLJUČAK Sl7.aspx?ID =2821A&locale=en-us) [3] Microsoft Official Course 6416B: “Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008” Sl8.podrška za mrežne uredjaje.Ako CRL listu objavljujemo dnevno ova vrednost se postavlja na 8 sati C)The delta CRL experation indikator je sličan prethodnoj. Ovo su samo neke od prednosti koje utiču na donošenje odluke o migraciji na Window 2008 PKI infrastrukturu. odnosno –viewstore kojim utvrdjujemo sadržaj stor-ova. Kinder. . Active Directory Certificate Server Enhancements in Windows Server “Longhorn” . Menadzment konzola storova U okviru managament store ekrana moguće je sprovesti analizu sledećih storova: -Certification Authorities Container koji sadrzi sertifikate svih root CA-ova u organizaciji -Enrollment Services Container sadrži sve Enterprise CA sertifikate u organizaciji -KRA Container sadrži sve Key Recovery Agent sertifikate publikovane u AD DS -CDP Container sadrži osnovnu i delta CRL listu za svaki CA a koji izdaju revocation liste u AD DS -AIA Container sadrži CA sertifikate svih CA-ova u infrastrukturi PKI -NTAuthCertificates sadrže zapise svih CA-ova koji su izdali sertifikata za smart card logon i Remote authentication [4] Carsten B.microsoft. LITERATURA [1] Brian Komar. Windows server 2008 PKI and Certificate Security [2] Microsoft Official Course 2821: “Deploying and Managing a Public Key Infrastructure” (http://www.exe je alat koji radi u komandnom režimu i koji korišćenjem switch-eva – verify i – urlfetch omogućava validaciju AIA i CDP ekstenzija. Version 3 Certificate Templates.b) Certutil Certutil.

Sign up to vote on this title
UsefulNot useful