Panduan Step-By-Step Windows Server 2008 Active Directory Certificate Services

Abstract
Panduan step-by-step ini menjelaskan langkah-langkah yang diperlukan untuk set-up sebuah konfigurasi dasar dari Active Directory® Certificate Services (AD CS) dalam sebuah lingkungan lab. AD CS dalam Windows Server® 2008 menyediakan service-service yang dapat di-customize untuk menciptakan dan mengatur public key certificates yang digunakan dalam software sistem keamanan yang menggunakan teknologi public key.

1

............................................................................................... 8 Tahap 2: Menginstall Online Responder ........................................................................................................................................................................................ 21 Tahap 10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar ................ 14 Tahap 1: Setting Up Stand-Alone Root CA ................................................................................................ 11 Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar .............. 22 3 ..... 7 Langkah-langkah untuk Setting up Lab Dasar ................................. 5 Kebutuhan untuk Menggunakan AD CS ........................................... 9 Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates............................................................................... 6 Skenario Dasar Lab AD CS ............ 14 Tahap-tahap untuk Setting Up Advanced Lab ........................................................................................................................................................... 19 Tahap 8: Membuat Sebuah Revocation Configuration.... 18 Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA .......................................................................... 7 Tahap 1: Setting Up Sebuah Enterprise Root CA ........................... 17 Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder ........................... 5 Review Teknologi AD CS ................... 13 Skenario Lanjutan Lab AD CS .............................................................. 19 Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate .......... 15 Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA .............. 20 Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service ............... 16 Tahap 3: Menginstall dan Mengkonfigurasi Online Responder ...................................................................Contents Panduan Step-by-Step Windows Server Active Directory Certificate Services ...................................................................................................................... 17 Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates.......................................................................... 10 Tahap 4: Membuat Sebuah Konfigurasi Pengembalian .........................................................................................................................................

.

dana bisa me-set-up komponen dari AD CS sebagai berikut:  Certification authorities (CAs). Melakukan pendaftaran sertifikat smart card. computer-komputer. Web enrollment membolehkan user-user untuk berhubungan ke sebuah CA dalam artian sebuah Web browser yang akan:     Meminta sertifikat-sertifikat dan memeriksa sertifikat yang diminta tersebut. AD CS dalam Windows Server® 2008 menyediakan service-service yang dapat di-customize untuk menciptakan dan mengatur public key certificates yang digunakan dalam software sistem keamanan yang menggunakan teknologi public key. Root dan subordinate CAs digunakan untuk mengeluarkan sertifikat user-user.Panduan Step-by-Step Windows Server Active Directory Certificate Services Panduan step-by-step ini menjelaskan langkah-langkah yang diperlukan untuk set-up sebuah konfigurasi dasar dari Active Directory® Certificate Services (AD CS) dalam sebuah lingkungan lab. dan mengirimkan kembali sebuah sinyal respon yang berisi informasi status dari sertifikat yang diminta. Dokumen ini meliputi:     Sebuah tinjuan dari fitur-fitur AD CS Kebutuhab untuk menggunakan AD CS Prosedur-prosedur untuk sebuah setup dasar lab untuk mencoba AD CS pada sebuah jumlah minimum komputer Prosedure-prosedur untuk sebuah setup advance lab untuk mencoba AD CS pada sebuah jumlah besar komputer agar simulasi konfigurasi nyata yang lebih realistik Review Teknologi AD CS Menggunakan pilihan Active Directory Certificate Services dari Add Roles Wizard. CA Web enrollment. Online Responder service menerapkan Online Certificate Status Protocol (OCSP) dengan mendecode status penarikan kembali permintaan untuk sertifikatsertifikat tertentu.  Online Responder service. mengevaluasi status dari sertifikat-sertifikat ini. dan untuk mengatur validasinya. 5 . dan service-service. Mendapatkan kembali certificate revocation lists (CRLs).

Components Web Standard Enterprise Datacenter CA Network Device Enrollment Service Tidak Tidak Ya Tidak Ya Ya Ya Ya 6 . termasuk Windows® 2000 Server. Responder-responder online Microsoft didasari dan mengikuti RFC 2560 untuk OCSP. Protocol tersebut mendukung CA dan pendaftaran registrasi distribusi public key. skalabilitas keluaran dari sertifikat untuk device-device network dengan menggunakan CAs yang telah ada. Untuk informasi lebih lanjut mengenai RFC 2560. The Network Device Enrollment Service membolehkan router-router dan device-device network yang lainnya untuk mendapatkan sertifikat berdasarkan pada Simple Certificate Enrollment Protocol (SCEP) dari Cisco Systems Inc. Kebutuhan untuk Menggunakan AD CS CAs bisa di-set-up pada server-server yang menjalankan beberapa jenis sistem operasi. lihat Web site Internet untuk Engineering Task Force (http://go. Meskipun dana bisa mendeploy AD CS dengan menggunakan sedikit hardware sebagai sebuah single server untuk sebuah single CA. policy.Penting Responder-responder online bisa digunakan sebagai sebuah alternative untuk atau sebuah ekstensi dari CRLs untuk menyediakan sertifikat pengembalian data ke klienklien. Note Sebuah set terbatas dari server roles tersedia untuk sebuah Server Core installation dari Windows Server 2008 dan untuk Windows Server 2008 untuk Itanium-based Systems. pengembalian sertifikat. Bagaimanapun. antrian sertifikat.com/fwlink/?LinkID=67082). dan antrian pengembalian sertifikat. Table berikut merupakan daftar komponen-komponen AD CS yang bisa dikonfigurasi pada beberapa edisi Windows Server 2008. tidak semua sistem operasi mendukung semua fitur atau kebutuhan desain. dan yang mengeluarkan CAs.  Network Device Enrollment Service. dan membuat sebuah desain yang optimal membutuhkan perencanaan yang matang dan testing sebelum mendeploy AD CS dalam lingkungan produksi.microsoft. Note SCEP telah dikembangkan untuk mendukung keamanan. dan server-server lainnya yang dikonfigur sebagai Online Responder. Windows Server® 2003. dan Windows Server 2008. banyak deployment melibatkan banyak server yang dikonfigur sebagai root. sertifikat.

7 .Components Web Standard Enterprise Datacenter Online Responder service Tidak Tidak Ya Ya Fitur-fitur berikut tersedia pada server Windows Server 2008 yang telah dikonfigurasi sebagai CAs. Pentunuk langkah-langkah ini tidak perlu semuanya digunakan untuk mendeploy fitur-fitur Windows Server tanpa sebuah dokumentasi dan harusnya digunakan dengan bijak sebgaia stdan-alone document. AD CS features Web Standard Enterprise Datacenter Version 2 dan version 3 certificate templates Key archival Role separation Certificate Manager restrictions Delegated enrollment agent restrictions Tidak Tidak Ya Ya Tidak Tidak Tidak Tidak Tidak Tidak Ya Ya Ya Ya Ya Ya Tidak Tidak Ya Ya Skenario Dasar Lab AD CS Bagian berikut menjelaskan bagainab dana bisa set-up sebuah lab untuk mengevaluasi AD CS. CA ini akan mengeluarkan sertifikat untuk Online Responder dan komputer client. Komputer-komputer untuk petunuk ini dinamanakan sebagai berikut:   LH_DC1: Komputer ini akan menjadi domain controller untuk lingkungan test dana. LH_PKI1: Komputer ini akan meng-host sebuah enterprise root CA untuk lingkungan test tersebut. Kami menganjurkan dana pertama-tama menggunakan langkah-langkah yang disediakan dalam petunjuk ini. Langkah-langkah untuk Setting up Lab Dasar Dana bisa memulai testing fitur-fitur dari AD CS dalam sebuah lingkungan lab dengan menggunakan setidaknya dua Windows Server 2008 dan satu computer client yang menggunakan Windows Vista®.

com. pilih Administrative Tools. dana butuh untuk melakukan langkahlangkah prerequisite berikut:  Set up sebuah domain controller pada LH_DC1 untuk contoso. Pada halaman Select Server Roles. 5. Pada bagian Roles Summary. centang pilihan Active Directory Certificate Services.   Setelah dana menyelesaikan prosedur-prosedur tersebut. dana bisa memulai langkah-langkah berikut: Tahap 1: Setting Up Sebuah Enterprise Root CA Tahap 2: Menginstall Online Responder Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates Tahap 4: Membuat Sebuah Konfigurasi Pengembalian Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar Tahap 1: Setting Up Sebuah Enterprise Root CA Sebuah enterprise root CA ialah akar dari kepercayaan untuk setup dasar lab. Menginstall Windows Vista pada LH_CLI1.com. dan untuk menerbitkan informasi sertifikat ke Active Directory Domain Services (AD DS). Klik Start. 3. Note Enterprise CAs dan Online Responders hanya bisa diinstall pada server Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. 2. Dia akan digunakan untuk mengeluarkan sertifikat untuk Online Responder dan komputer client. Log on pada LH_PKI1 sebagai administrator domain. Untuk set up sebuah enterprise root CA 1. termasuk beberapa unit organisasi (OUs) untuk memuat satu atau lebih user untuk komputer client.dan 8 . Menginstall Windows Server 2008 pada LH_PKI1. Untuk mengkonfigurasi setup dasar lab untuk AD CS. centang pilihan Certification Authority.Note Enterprise CAs dan Online Responders hanya bisa diinstall pada servers yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. Pada halaman Select Role Services. dan mengikutkan LH_PKI1 ke domain tersebut. Klik Next dua kali. klik Add roles. dan mengikutkan LH_CLI1 ke contoso.  LH_CLI1: Komputer client ini menggunakan Windows Vista akan autoenroll untuk sertifikat dari LH_PKI1 dan memverifikasi statusnya dari LH_ PKI1. 4. dan untuk server yang menghosting CAs dan Online Responders. komputer client dalam domain.dan kemudian klik Server Manager.

pilih Administrative Tools. 6. 2. Pada halaman Specify CA Type. dan kemudian klik Next. gunakan validasi durasi default untuk root CA. 7. atau dari sebuah non-Microsoft CA. klik Install. Pada halaman Select Role Services. Pada halaman Set the Certificate Validity Period. Lihat kembali informasi pada layar confirmation untuk melihat apakah proses installasi berhasil. 11. Klik Add Required Role Services.dan kemudian klik Next. dan kemudian klik Next. klik Install. 9. 6. Pada halaman Specify Setup Type. untuk tujuan testing dasar. 10. 5. 4. Pada halaman Configure Certificate Database. klik Enterprise. 9 . Klik Manage Roles.kemudian klik Next. Log on pada LH_PKI1 sebagai administrator domain. Dana akan diminta untuk menginstall IIS dan Windows Activation Service. sebuah CA pada sebuah komputer yang menjalankan Windows Server 2003. centang kotak Online Responder. termasuk penyelenggara layanan cryptographic. 12. Klik Start.dan kemudian klik Server Manager. Dalam bagian Active Directory Certificate Services. klik Root CA. Pada kotak Common name for this CA. 8. dan kemudian klik Next tiga kali. Setelah memeriksa informasi pada halaman Confirm Installation Options. dan kemudian klik Next. gunakan settingan default lalu klik Next dua kali. ketikan nama dari CA. Pada halaman Confirm Installation Options. Bagaimanapun. 13. RootCA1. Pada halamn Set Up Private Key dan Configure Cryptography for CA. dana bisa mengkonfigurasi settingan opsional. Note IIS harus diinstall terlebih dahulu pada komputer ini sebelum menginstall Online Responder. Untuk menginstall Online Responder 1. Data pengembalian sertifikat bisa dating dari sebuah CA pada komputer yang menjalankan Windows Server 2008. gunakan nilai default atau tentukan lokasi penyimpanan database log sertifikat yang lain. Tahap 2: Menginstall Online Responder Sebuah Online Responder hanya bisa diinstall pada komputer yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. klik Add role services. dan kemudian klik Next. 3.

dana butuh untuk menggunakan snap-in Certification Authority untuk menyelesaikan dua tahap kunci berikut:   Tambah lokasi dari Online Responder untuk informasi wewenang akses ekstensi dari sertifikat yang dikeluarkan. Note Template-template sertifikat dan langkah-langkah autoenrollment ini bisa juga digunakan untuk mengkonfigurasi sertifikat yang dana ingin keluarkan untuk sebuah komputer client atau komputer user. centang kotak Read dan Autoenroll. klik kanan pada template OCSP Response Signing. dan kemudian klik Properties. Aktifkan template sertifikat yang dana telah konfigurasi pada tahap sebelumnya untuk CA. 5. LH_PKI1. seperti sebuah OCSP Response Signing_2. 3. 6. Dibawah Group atau user name. Buka snap-in Certificate Templates. 10 .7. Untuk mengkonfigurasi template-template sertifikat untuk lingkungan test anda 1. Ketika proses installasi selesai. klik kanan pada template sertifikat OCSP Response Signing_2. 4. dan kemudian klik Duplicate Template. Tahap 3: Mengkonfigurasi CA untuk mengeluarkan OCSP Response Signing Certificates Mengkonfigurasi sebuah CA untuk mendukung layanan Online Responder meliputi konfigurasi template-template sertifikat dan properties keluaran untuk sertifikat OCSP Response Signing dan kemudian lengkapi langkah-langkah tambahan pada CA untuk mendukung Online Responder dan keluaran sertifikat.dan didalam kotak Permissions. Klik nama komputer. dan ulangi tahap 4 sampai 7 untuk mengkonfigur permission untuk LH_CLI1 dan account user test dana. klik Add. 7. Ketik nama baru untuk menduplikat temlate. 2. dan kemudian ketik nama atau browse untuk memilih komputer yang hosting layanan Online Responder. Untuk mengkonfigur CA agar mendukung Online Responders. Ketika snap-in Certificate Templates terbuka. Log on pada LH_PKI1 sebagai administrator CA. Klik tab Security. 8. lihat kembali halaman status untuk memastikan installasi berhasil. dana bisa mengkonfigur template sertifikat untuk user dan computer dengan menukar template-template yang diinginkan pada tahap 3.

dan periksa apakah mengdanung sebuah sertifikat bernama OCSP Response Signing. masuk 11 . klik Add. Klik tab Security. klik kanan Certificate Templates. Buka Certificate Templates. Buka Certificates snap-in untuk account komputer. lokasinya ialah http://LH_PKI1/ocsp. 7. 5. dan kemudian klik Manage Private Keys. Start atau restart LH_PKI1 untuk mendaftar untuk sertifikat. Dalam kotak dialog User Group atau user name. Klik tab Extensions. dan kemudian klik New Certificate Templates to Issue. untuk setup ini. 6. 3. 8. Log on sebagai administrator CA. Tahap 4: Membuat Sebuah Konfigurasi Pengembalian Sebuah konfigurasi pengembalian meliputi semua settingan yang dibutuhkan untuk respon ke status permintaan sertifikat yang telah dikeluarkan menggunakan key CA yang spesifik. Pada menu Action.Untuk mengkonfigurasi sebuah CA untuk mendukung Online Responder service 1. 4. pastikan bahwa pendaftaran sertifikat telah mengambil tempat sehingga sebuah sertifikat bertdana telah ada pada computer dan sesuaikan permission pada sertifikat tersebut sehingga membolehkan Online Responder untuk menggunakannya. 3. Buka snap-in Certification Authority. 2. pilih template OCSP Response Signing dan template-template lainnya yang telah dana konfigur sebelunya dan kemudian klik OK. Dalam konsol dari Certification Authority snap-in. sertifikat bertdana untuk Online Responder. Pilih Include in the AIA extension of issue certificates centang kotak Include in the online certificate status protocol (OCSP) extension. Buka sertifikat store personal untuk computer tersebut. 2. 5. klik nama dari CA. klik Properties. 9. Klik kanan pada sertifikat ini. dan periksa apakah sertifikat yang dimodifikasi muncul dalam daftar. Dalam konsol. Tentukan lokasi dari mana user bisa mendapatkan data pengembalian sertifikat. Dalam daftar Select extension. Dalam Enable Certificate Templates. Untuk memeriksa sertifikat bertanda terkonfigurasi dengan benar 1. Penting Sebelum dana membuat sebuah konfigurasi pengembalian. Konfigurasi berikut meliputi sertifikat CA. klik Authority Information Access (AIA). dan lokasi dimana client ditunjukan untuk mengirim status permintaan mereka. 4.

Membuat sebuah konfigurasi pengembalian melibatkan tugas-tugas berikut:     Identifikasi sertifikat CA untuk CA yang mendukung Online Responder. Note Dana mungkin juga bisa menghubungkan sertifikat CA dari store sertifikat local. dan kemudian klik tab Details. Identifikasi poin distribusi CRL untuk CA. 4. dan klik OK. dan kemudian klik Next. Buka Online Responder snap-in. klik Next. nama dari CA. Ketika dana telah menemukan komputernya. Pilih dan copy URL-nya untuk poin distribusi CRL yang dana mau gunakan. Untuk melakukannya seperti berikut: a. 3. klik Add Revocation Configuration untuk memulai Add Revocation Configuration-wizard. RootCA1. Buka Certificate Services snap-in. 5. harus muncul di dalam kotak Browse CA certificates published in Active Directory. Jika tidak muncul. dan kemudian klik Next. 6. Pada halaman Name the Revocation Configuration. komponen yang bertanggungjawab untuk mendapatkan kembali informasi pengembalian yang digunakan oleh Online Responder. atau dengan mengimportnya dari media removable dalam tahap 4. klik Browse for CA Computer dan ketik nama dari computer yang menghosting LH_PKI1 atau klik Browse untuk mencari computer ini. ketik sebuah nama untuk konfigurasi pengembalian. Pilih sebuah penyedia pengembalian. b. pilih sebuah sertifikat yng dikeluarkan. 12 . Pada halaman Select CA certificate Location. Double-klik pada sertifikatnya. d. 6. dan kemudian klik Next. dan kemudian klik Next. seperti LH_RC1. centang kotak Full Control. Klik OK dua kali. Scroll ke bawah dan pilih box CRL Distribution Points.   Jika ini muncul. klik nama dari CA yang dana mau hubungkan dengan konfigurasi pengembalian dana. Untuk membuat sebuah konfigurasi pengembalian 1.Network Service ke daftar Group atau user name. c. Pilih sebuah sertifikat bertdana yang akan digunakan untuk mendanai status respon pengembalian. 2. Pada halaman berikut. klik Select a certificate from an existing enterprise CA. 7. Klik Network Service. LH_PKI1. dan dalam kotak dialog Permissions. Dalam panel Actions. Lihat sertifikatnya dan copy poin distribusi CRL untuk root parent CA.

Ketika informasi mengenai sertifikat-sertifikat baru telah dikeluarkan untuk AD DS. masukkan URL dari poin distribusi CRL. Pada menu Action.dan klik Yes. Pada LH_CLI1. klik Provider. Pada CA. pilih All Tasks. mengembalikan sertifikat. Tahap 5: Memastikan Setup Lab AD CS Berfungsi dengn Benar Dana bisa memeriksa tahap-tahap setup yang dijeaskan sebelumnya. 8. Gunakan Online Responder snap-in. 4. Automatically select signing certificate.e. dan klik Publish. pilih All Tasks. Pilih alasan pengembalian sertifikat. dan membuat data pengembalian dari Onlline responder yang akurat. Setelah installasi selesai. 9. dan kemudian klik OK. Pada halaman Select Signing Certificate. publish sebuah CRL baru dengan klik pada Certification Authority (Computer)/CA name/Revoked Certificates dalam konsol. Klik Finish. dana harus memeriksa setup dasar test dana berfungsi secara benar dengan mencoba autoenroll sertifikat-sertifikat dana. 11. pilih konfigurasi pengembalian. konfigurasi beberapa template sertifikat untuk autoenroll sertifikat untuk LH_CLI1 dan user-user pada komputer ini. pada menu Action. klik Add. Untuk memastikan setup test AD CS berfungsi dengan baik 1. 10. dan kemudian klik Next. gunakan pilihan default. buka sebuah commdan prompt pada computer client dan masukkan perintah berikut untuk autoenrollment: certutil -pulse 3. 6. Pada CA. 5. Pada halaman Revocation Provider Properties. Klik OK. Hapus semua poin ekstensi distribusi CRL dari penerbit CA dengan membuka Certification Authority snap-in dan kemudian memilih CA. 7. Kemudian. 2. dan klik Revoke Certificate. Pada halaman Revocation Provider. gunakan Certificates snap-in untuk memeriksa apakah sertifikat telah dikeluarkan untuk user dan computer telah sesuai. gunakan Certification Authority snap-in untuk melihat dan mengembalikan satu atau ebih sertifikat yang dikeluarkan dengan meng-klik Certification Authority (Computer)/CA name/Issued Certificates dan memilih sertifikat yang mau dana kembalikan. Pada menu Action. klik 13 . Dalam Authority snap-in. Dana juga sebaiknya bisa untuk memeriksa properties dari sertifikat bertdana untuk memastikan Online Responder dikonfigur dengan benar. dan kemudian periksa status informasi untuk memastikan bekerja dengan baik.

Komputer-komputer untuk pdanuan ini akan dinamai sebagai berikut:    LH_DC1: Komputer ini akan menjadi domain controller untuk lingkungan test dana. dana akan membutuhkan lima computer yang menjalankan Windows Server 2008 dan satu computer client yang menjalankan Windows Vista. gunakan Certificates snap-in untuk mengeksport sertifikat ke sebuah file (*. 9. Note Enterprise CAs dan Online Responders hanya bisa diinstall pada server yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. klik Remove. LH_CA_ROOT1: Komputer ini akan menghosting sebuah stdan-alone root CA untuk lingkungan test. 14  . 8.   LH_ORS1. LH_CLI1: Komputer client yang menjalankan Windows Vista ini akan autoenroll untuk sertifikat-sertifikat dari LH_CA_ISSUE1 dan memeriksa status sertifikat dari LH_ORS1. Server ini akan menghosting Network Device Enrollment Service yang menjadikan ia mungkin untuk mengeluarkan dan memanage sertifikat-sertifikat untuk routerrouter dan device-device network lainnya. Ulangi langkah-langkah 1 dan 2 diatas. Tahap-tahap untuk Setting Up Advanced Lab Untuk mengetest tambahan fitur-fitur daru AD CS dalam sebuah lingkungan lab. Pada sebuah commdan prompt. Skenario Lanjutan Lab AD CS Bagian-bagian berikut menjelaskan bagaimana dana bisa set up sebuah lab untuk mengevaluasi fitur-fitur lain dari AD CS selain dari setup dasar lab.cer> 11. Untuk melakukan ini. 7. Stop dan restart AD CS. Klik poin distribusi CRL manapun yang terdaftar. 10. Server ini akan menghosting Online Responder. dan kemudian periksa bahwa clients masih bisa menerima data pengembalian. LH_CA_ISSUE1: Enterprise CA ini akan menjadi subordinate dari LH_CA_ROOT1 dan akan mengeluarkan sertifikat client untuk Online Responder dan komputer client. klik From CDP dan From OCSP dan bdaningkan hasilnya.cer). ketik: certutil -url <exportedcert. dan kemudian klik OK.Properties. Pada tab Extensions. LH_NDES. pastikan Select extension diset ke CRL Distribution Point (CDP). Dalam kotak dialog Verify dan Retrieve.

2. 2.com. dan kemudian klik Next. Menginstall Windows Vista pada LH_CLI1. centang kotak Certification Authority. Pada halaman Specify CA Type. dana bisa memulai langkah-langkah beriut ini: Tahap 1: Setting Up Stand-Alone Root CA Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA Tahap 3: Menginstall dan Mengkonfigurasi Online Responder Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate Tahap 8: Membuat Sebuah Revocation Configuration Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service Tahap10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar Tahap 1: Setting Up Stand-Alone Root CA Sebuah stdan-alone root CA ialah dari trust untuk setup dasar lab. computer-komputer client dalam domain. dan kemudian klik Next. klik Stdanalone. Set up sebuah domain controller pada LH_DC1 untuk contoso. 5. Pada halaman Specify Setup Type. dan mengikut sertakan LH_CLI1 ke contoso. dan kemudian klik Next dua kali. termasuk beberapa OUs untuk memuat satu atau banyak user untuk LH_CLI1. Setelah dana menyelesaikan tahapan diatas. Ia akan digunakan untuk mengeluarkan sertifikat ke subordinate yang mengeluarkan CA.com. pilih kotak cek Active Directory Certificate Services. Untuk set up sebuah stand-alone root CA 1. 15 . Karena hal ini penting untuk kemanan dari public key infrastructure (PKI). CA ini akan online dalam banyak PKI hanya jika dibutuhkan untuk mengeluarkan sertifikat untuk subordinate CA. PAda halaman Select Role Services. Log on pada LH_CA_ROOT1 sebagai administrator. dan kemudian klik Next. dan untuk server-server yang menghosting CAs dan Online Responders. dana harus melengkapi beberapa langkah-langkah prerequisite berikut: 1. Menginstall Windows Server 2008 pada server-server lain dalam konfigurasi test dan mengikut sertakannya pada domain. 3. Pada halaman Select Server Roles. klik Root CA.Untuk menkonfigurasi setup lab lanjutan untuk AD CS. Start Add RolesWizard. 3. 4.

Pada halaman Set Up Private Key dan Configure Cryptography for CA. untuk tujuan dasar testing. termasuk cryptographic service providers. termasuk cryptographic service providers. dan kemudian klik Next. Setelah memastikan informasi pada halaman Confirm Installation Options. 7. dan kemudian klik Next. klik Enterprise. 9. Sebuah enterprise CA membolehkan dana untuk menggunakan template-temlplate sertifikat dan untuk menggunakan AD DS untuk enrollment dan publishing certificates. ketik nama untuk CA. 8. 3. 8. Start Add RolesWizard. 16 . root CA tidak terhubungkan pada network. Pada halaman Specify CA Type. Setup subordinate CA tidak akan berguna jika sertifikat-sertifikat telah dikeluarkan oleh root CA dan sertifikat ini telah digunakan untuk menyelesaikan installasi dari subordinate CA. Pada kotak Common name for this CA. Tahap 2: Setting Up Enterprise Subordinate yang Mengeluarkan CA Kebanyakan organisasi menggunakan setidaknya satu subordinate CA untuk mengamankan root CA dari celah-celah yang tidak penting. pilihlah nilai default dengan klik Next dua kali. gunakan nilai default atau tentukan lokasi penyimpanan untuk database sertifikat dan log file-nya. 4. Namun bagaimanapun. untuk tujuan dasar testing. 5. dan kemudian klik Next. RootCA1. Namun bagaimanpun. atau jika. ketik nama dari CA. Pada halaman Select Role Services. klik Subordinate CA. 2. Untuk set up sebuah enterprise subordinate yang mengeluarkan CA 1. Pada halaman Set Up Private Key dan Configure Cryptography for CA. anda bisa mengkonfigurasi settingan tambahan. Log on pada LH_CA_ISSUE1 sebagai administrator domain. klik Install. dan kemudian klik Next. Pada halaman Request Certificate. Dalam kotak Common name for this CA. dan kemudian klik Next dua kali. gunakan nilai-nila default dengan klik pada Next dua kali. Pada halaman Select Server Roles. gunakan validitas durasi default untuk CA. Pada halaman Configure Certificate Database. dan kemudian klik Next. Pada halaman Set the Certificate Validity Period. simpan permintaan sertifikat pada sebuah file sehingga bisa diproses nanti. dan kemudian klik Next. LH_CA_ISSUE1. dana bisa mengatur opsi tambahan. 7. 10.6. Klik Next. browse untuk menemukan LH_CA_ROOT1. 6. centang kotak Certification Authority. centang kotak Active Directory Certificate Services. Pada Specify Setup Type.

centang kotak Active Directory Certificate Services. centang kotak Online Responder. Data pengembalian sertifikat bisa dating dari sebuah CA pada sebuah computer yang menjalankan Windows Server 2008. klik Install. Setelah memeriksa informasi pada halaman Confirm Installation Options page.9. 17 . 5. dan kemudian klik Next. Pada halaman Confirm Installation Options. lihat kembali halaman status untuk memastikan proses installasi berhasil. klik Install. Untuk meninstall Online Responder service 1. Anda akan diminta untuk menginstall IIS dan Windows Activation Service. Pada halaman Select Role Services. 11. Enroll. template Response Signing OCSP harus dikonfigurasi dengan enrollment permissions untuk Read. dan Write sebelum sertifikat bisa dikeluarkan berdasarkan pada template. Ketika installasi selesai. 4. 10. Autoenroll. Pada halaman Select Server Roles. Pada halaman Set the Certificate Validity Period. 6. dan kemudian klik Next dua kali. Sebuah CA pada sebuah komputer yang menjalankan Windows Server 2003. Log on pada LH_ORS1 sebagai administrator. 2. kosongkan kotak Certification Authority. dan kemudian klik Next tiga kali. Note IIS juga harus diinstall pada computer ini sebelum menginstall Online Responder. atau dari sebuah non-Microsoft CA. Sebuah Online Responder tidak akan terinstall pada komputer yang sama dengan CA. 3. Tahap 3: Menginstall dan Mengkonfigurasi Online Responder Sebuah Online Responder bisa diinstall pada komputer yang menjalankan Windows Server 2008 Enterprise atau Windows Server 2008 Datacenter. Pada halaman Configure Certificate Database. dan kemudian klik Next. dan kemudian klik Next. gunakan nilai default atau tentukan lokasi penyimpanan database sertifikat dan log file-nya yang lain. gunakan durasi validasi default untuk CA. Tahap 4: Mengkonfigurasi yang Mengeluarkan CA untuk to Mengeluarkan OCSP Response Signing Certificates Seperti template sertifikat lainnya. Start Add Roles Wizard. Sebagai bagian dari proses setup sebuah virtual directory yang bernama OCSP akan dibuat dalam IIS dan Web proxy diregistrasi sebagai sebuah ekstensi Internet Server Application Programming Interface (ISAPI). Klik Add Required Role Services.

klik Properties. LH_ORS1. dan kemudian klik Authority Information Access (AIA). dan mengulangi langkah-langkah 4 sampai 7 untuk mengkonfigurasi permission untuk LH_CLI1 dan account user test anda. klik kanan Certificate Templates. seperti OCSP Response Signing_2. Buka Certificate Templates snap-in. Centang kotak Include in the AIA extension of issue certificates dan Include in the online certificate status protocol (OCSP) extension. 4. 8. 3. Dalam konsol Certification Authority snap-in. Klik nama komputer. klik nama dari CA. 2. 7. Klik kanan pada template sertifikat OCSP Response Signing_2. Untuk mengkonfigurasi ekstensi akses informasi berwenang untuk mendukung Online Responder 1.Untuk mengkonfigurasi template sertifikat untuk lingkungan test anda 1. 6. dan kemudian klik Duplicate Template. lokasinya ialah http://LH_ORS1/ocsp. 7. Buka Certification Authority snap-in. 4. Ketika anda mempunyai Certificate Templates snap-in yang terbuka. Dalam konsol. dan kemudian klik Properties. klik Select extension. Pada tab Extensions. Tahap 5: Mengkonfigurasi Ekstensi Informasi Akses Berwenang untuk Mendukung Online Responder Anda butuh untuk mengkonfigurasi CA untuk memasukkan URL untuk Online Responder sebagai bagian dari ekstensi akses informasi yang berwenang dari sertifikat yang dikeluarkan. Klik tab Security. Pada menu Action. centang kotak Read dan Autoenroll. anda bisa mengkonfigursi template sertifikat certificate untuk user-user dan computer-komputer dengan mengganti template pada tahap 3. klik Add dan ketik nama atau browse untuk memilih hosting komputer Online Responder service. Log on pada LH_CA_ISSUE1 sebagai administrator CA. Dibawah Group atau user name. dan 18 . 5. Tentukan lokasi dari mana user-user bisa mendapatkan data pengembalian sertifikat. Klik kanan pada template OCSP Response Signing. 8. untuk setup ini. URL ini digunakan oleh client Online Responder untuk memvalidasi status sertifikat. 2. 3. Log on pada LH_CA_ISSUE1 sebagai administrator CA. dan dalam kotak dialog Permissions. 5. 6. Ketik Type sebuah nama baru untuk duplikasi template.

sebelum anda melanjutkanke tahap selanjnya. 10. Buka Personal certificate store untuk komputer. Buka Certification Authority snap-in. dan kemudian klik Certificate Template to Issue. 4. dan kemudian klik OK. Buka Certificates snap-in untuk computer tersebut. dan kemudian klik OK.kemudian klik New Certificate Templates to Issue. Buka Certificate Templates. dan di dalam kotak dialog Permissions. Klik tab Security. dan kemudian klik Manage Private Keys. Tahap 6: Menempatkan OCSP Response Signing Template ke Sebuah CA Setelah template-template dikonfigurasi dengan benar. klik Add untuk mengetik dan menambah Network Service ke daftar Group or user name. pastikan bahwa enrollment sertifikat telah berjalan sehingga sertifikat bertandan telah ada pada komputer. dan kemudian periksa apakah membawa sebuah sertifikat bernama OCSP Response Signing_2. 19 . Klik Network Service. 9. 3. centang kotak Full Control. Tahap 7: Pendaftaran untuk Sebuah OCSP Response Signing Certificate Enrollment mungkin tidak akan berjalan langsung. Untuk mengkonfigurasi CA agar bisa mengeluarkan sertifikat berdasarkan pada template OCSP Response yang baru dibuat 1. Klik kanan Certificate Templates. 2. Log on sebagai administrator CA. dan pastikan bahwa sertifikat-sertifikat tersebut muncul dalam daftar. dan kemudian klik OK. CA butuh untuk dikonfigurasi untuk mengeluarkan template tersebut. pilih template OCSP Response Signing dan template-template yang anda telah konfigurasi sebelumnya. Pilih template OCSP Response Signing_2 dari daftar template yang tersedia. 5. Dalam Enable Certificate Templates. dan periksa permission pada sertifikat bertanda membolehkan Online Responder menggunakannya. Untuk memastikan sertifikat bertanda yang diapakai dikonfigurasi dengan benar 1. Klik OK dua kali. Dalam kotak dialog User Group atau user name. Klik kanan pada sertifikat ini. 2. 6. Oleh karena itu. 3. Start atau restart LH_ORS1 untuk enroll sertifikat-sertifikat.

Pada halaman Select CA Certificate Location. Pilih dan copy URL-nya untuk poin distribusi CRL yang anda mau gunakan. 2. Identifikasi poin distribusi CRL untuk CA tersebut. 20 . Log on pada LH_ORS1 sebagai administrator domain. harus muncul dalam kotak Browse CA certificates published in Active Directory box. Note Anda mungkin juga bisa menghubungkan sertifikat CA dari store sertifikat lokal. dan kemudian pilih sebuah sertifikat yang dikeluarkan. dan kemudian klik Next. Dalam panel Actions. 6. klik Add Revocation Configuration untuk memulai Add Revocation Configuration wizard. Pada halaman berikut. Untuk melakukan ini: a. Untuk membuat konfigurasi pengembalian 1. Jika tdak muncul. b. 3. Pilih sebuah penyedia pengembalian. ketik nama untuk konfigurasi pengembalian. Ketika anda telah menemukan komputernya. 7. Buka Certificate Services snap-in. dan kemudian klik tab Details. Buka Responder snap-in. nama dari CA. 4. komponen yang bertanggung jawab untuk mendapatkan kembali dan menyimpan informasi pengembalian yang digunakan oleh Online Responder. seperti LH_RC1. dan kemudian klik Next. dan kemudian klik Next. klik nama dari CA yang anda mau untuk asosiasikan dengan konfigurasi pengembalian anda. atau dengan menimportnya dari removable media pada langkah 5. 5. RootCA1.   Jika muncul. Lihat sertifikat tersebut dan copy poin distribusi CRL untuk parent root CA. LH_CA_ISSUE1. d. klik Browse for CA Computer dan ketik nama dari computer yang menghosting LH_CA_ISSUE1 atau klik Browse untuk menemukan computer ini. klik Select a certificate for an existing enterprise CA. Pilih sebuah sertifikat bertanda yang akan digunakan untuk menandai status respon pengembalian. dan kemudian klik Next. Scroll ke bawah dan pilih isian CRL Distribution Points. Double-klik sertifikat tersebut. c. Pada halaman Name the Revocation Configuration. klik Next.Tahap 8: Membuat Sebuah Revocation Configuration Membuat sebuah konfigurasi pengembalian melibatkan tahap-tahap sebagai berikut:     Identifikasi sertifikat CA untuk CA yang mendukung Online Responder.

dan kemudian klik Next dua kali. dan kemudian pilih Network Device Enrollment Service. 11. Start Add RolesWizard. klik Add. 9. 21 . Sebelum anda memulai prosedur ini. klik Provider. Klik Finish. PKCS #10.e. PKCS #7. Anda akan diminta untuk menginstall IIS dan Windows Activation Service. RFC 2459.microsoft. dan kemudian periksa informasi status untuk memastikan berfungsi dengan baik. 3. Pada halaman Select Server Roles. Gunakan Online Responder snap-in. gunakan Certificate Templates snap-in untuk mengkonfigurasi permission Read dan Enroll untuk user ini pada template sertifikat IPSEC (Offline Request). buat sebuah user ndes_user1 dan tambahkan user ini ke dalam user group IIS. 2. pilih konfigurasi pengembalian. Log on pada LH_NDES sebagai administrator enterprise. kosongkan kotak Certification Authority. Pada halaman Select Signing Certificate. Anda seharusnya bisa juga untuk memeriksa properties dari sertifikat bertanda untuk memastikan Online Responder terkonfigurasi secara benar. dan kemudian klik Next. SCEP diidentifikasi dan didokumentasi pada Internet Engineering Task Force Web site (http://go. masukkan URL dari poin distribusi CRL. 12. dan kemudian klik OK. Pada halaman Revocation Provider Properties. centang kotak Active Directory Certificate Services. yang telah ada dan standar lain untuk mengaktifkan device network dan sertifikat applikasi enrollment dengan CA. Pada halaman Revocation Provider. 10. Tahap 9: Setting Up dan Konfigurasi Network Device Enrollment Service Network Device Enrollment Service membolehkan software pada router-router dan device-device network lainnya berjalan tanpa kepercayaan domain untuk mendapatkan sertifikat. Kemudian. gunakan settingan default. Automatically select signing certificate.com/fwlink/?LinkId=71055). Klik OK. Untuk set up dan konfigurasi Network Device Enrollment Service 1. Pada halaman Select Role Services. 8. Network Device Enrollment Service beroperasi sebagai sebuah filter ISAPI pada IIS yang melakukan fungsi-fungsi berikut:    Mengenerate dan menyediakan password one-time enrollment untuk administrator Process permintaan-permintaan SCEP enrollment Mendapatkan kembali permintaan yang ditahan dari CA SCEP dikembangkan sebagai sebuah ekstensi untuk HTTP.

Tahap 10: Memastikan Advanced AD CS Test Setup Berfungsi Secara Benar Anda bisa memastikan langkah-langkah yang dijelaskan sebelumnya pada saat anda melakuknnya.4. Ketika Network Device Enrollment Service terinstall pada sebuah computer dimana registrasi kewenangan telah ada. konfigurasi beberapa template sertifikat untuk autoenroll sertifikat dari LH_CLI1 dan user-user pada komputer ini. anda harus memastikan bahwa setup test lanjutan anda berfungsi dengn baik. ketik ndes_1 dalam kotak RA name. centang kotak CA name atau Computer name. Pada halaman CA. Ketika informasi mengenai sertifikat-sertifikat yang baru dikeluarkan ke AD DS. Dibawah Country/region. 6. 7. klik Replace existing Registration Authority (RA) certificates. Pada halaman Configure Cryptography. Pada halaman Specify User Account. 8. Karena ini merupakan installasi yang baru dan tidak ada permintaan SCEP yang tertahan. klik Browse untuk menemukan CA yang akan mengeluarkan sertifikat Network Device Enrollment Service. gunakan nilai-nilai default untuk signature dan encryption keys. centang kotak untuk country/region diman anda berada. 10. Klik OK. 12. Ketika installasi selesai. dan kemudian klik Next. dan kemudian klik Next. dan kemudian klik Next tiga kali. dan ketik nama user ndes_user1 dan password untuk account ini. Pada halaman Specify CA. Pada halaman Specify Registry Authority Information. registrasi yang ada sebelumnya dan permintaan yang tertahan akan dihapus. yang akan digunakan untuk memberikan kuasa untuk meminta sertifikat oleh Network Device Enrollment Service. dan kemudian klik Next. 5. dan kemudian klik Next. Untuk memastikan setup test AD CS lanjutan berfungsi dengan benar 1. Setelah installasi selesai. Pada halaman Confirm Installation Options. 2. dan kemudian klik Next. klik Install. 9. LH_CA_ISSUE1. lihat kembali halaman status untuk memastikan installasi berhasil. Lihat kembali rangkuman dari konfigurasi. dan kemudian klik Install. klik Select User. Klik Add Required Role Services. 11. buka sebuah command prompt pada computer client dan masukkan perintah berikut untuk memulai autoenrollment: 22 .

6. Pada Komputer client. Dalam Certification Authority snap-in.cer> 11. Pada menu Action. dan klik OK. gunakan Certificates snap-in untuk mengeksport sertifikat ke sebuah file (*. 10. 4.certutil -pulse 3. 5. Kemudian. dan klik Yes.cer). Pilih alas an untuk mengembalikan sertifikat. Pada tab Extensions. pilih All Tasks. dan kemudian tentukan bawha client masih bisa menerima data pengembalian. gunakan Certificates snap-in untuk memastikan bahwa sertifikat yang telah dikeluarkan pada user dan computer telah sesuai. publish sebuah CRL baru dengan meng-klik Certification Authority (Computer)/CA name/Revoked Certificates dalam konsol. 9. Hapus semua ekstensi poin distribusi CRL dari mengeluarkan CA dengan membuka Certification Authority snap-in dan kemudian pilih CA. klik From CDP dan From OCSP dan bandingkan hasilnya. Stop dan restart AD CS. klik Remove. klik Properties. Klik poin distribusi CRL manapun yang terdaftar. gunakan Certification Authority snap-in untuk melihat dan mengembalikkan satu atau lebih dari sertifikat yang dikeluarkan dengan meng-klik pada Certification Authority (Computer)/CA name/Issued Certificates dan pilih sertifikat yang anda mau kembalikan. Pada CA. 8. Untuk melakukan ini. Ulangi tahap-tahap 1 dan 2 diatas. pilih All Tasks. Pada menu Action. ketik: certutil -url <exportedcert. Pada menu Action. 23 . 7. Dalam kotak dialog Verify dan Retrieve yang muncul. dan klik Publish. dan kemudian klik Revoke Certificate. konfirmasikan bahwa Select extension diset pada CRL Distribution Point (CDP). Pada command prompt.