PKI von der Stange Secorvo White Paper Aufbau einer ...
PKI von der Stange Secorvo White Paper Aufbau einer ... PKI von der Stange Secorvo White Paper Aufbau einer ...
© Secorvo Security Consulting GmbH A.1.3 Export von CA-Zertifikat und CRL: export_ca_crl.cmd Das folgende Skript erstellt eine neue CRL und exportiert CA-Zertifikat und CRL auf einen angeschlossenen Transfer-Datenträger (bspw. USB-Stick). @echo off cd < Transfer-Verzeichnis> rem Export des CA-Zertifikats certutil -ca.cert .cer rem Neuerstellung einer CRL certutil -CRL rem Export der neu erstellten CRL certutil -GetCRL .crl :end A.2 Konfigurationsdateien für die Issuing-CA A.2.1 Vor der Installation: capolicy.inf [Version] Signature="$Windows NT$" [Extensions] 2.5.29.15=AwIBBg== critical=2.5.29.15 Secorvo White Paper PKI von der Stange Seite 40 von 43 WP17 PKI von der Stange 08 Stand 02. März 2011
© Secorvo Security Consulting GmbH A.2.2 Nach der Installation: caconfig.cmd @echo off rem #################################################################### rem rem Skript zur Konfiguration einer Microsoft CA rem rem Copyright (c) 2009 Secorvo Security Consulting GmbH rem rem #################################################################### rem ### Certtificate Services beenden net stop certsvc rem ### Audit-Events certutil -setreg CA\AuditFilter 127 rem ### Maximale Gueltigkeisdauer für Zertifikate rem ### (kann ggf. durch Template herabgesetzt werden) certutil -setreg CA\ValidityPeriod Years certutil -setreg CA\ValidityPeriodUnits rem ### Parameter für Verlängerung von Zertifikaten certutil -setreg CA\RenewalKeyLength 2048 certutil -setreg CA\RenewalValidityPeriod Years certutil -setreg CA\ValidityPeriodUnits rem ### Sperrlistenintervall und (davon) Karenzzeit certutil -setreg CA\CRLPeriod Hours certutil -setreg CA\CRLPeriodUnits certutil -setreg CA\CRLOverlapPeriod Hours certutil -setreg CA\CRLOverlapUnits rem ### Keine Deltasperrlisten verwenden certutil -setreg CA\CRLDeltaPeriodUnits 0 rem ### CRL Distribution Points certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\System32\CertSrv\CertEnroll\.crl\n11:ldap:///CN=,CN=,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=?CertificateRevocationList?base?ObjectClass=cRLDistributionPoint\n2:http :///CertEnroll/.crl" rem ### Authority Information Access certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\System32\CertSrv\CertEnroll\.cer\n2:ldap:///CN=,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=?cACertificate?base?ObjectClass=certificationAuthority\n2:http:///CertEnroll/.cer" rem ### KeyUsage Zertifikatserweiterung nach RFC Vorgabe certutil -setreg policy\EditFlags -EDITF_ADDOLDKEYUSAGE rem ### Unterdruecken von State und Locality DN-Attributen rem ### aus Zertifikatsantraegen certutil -setreg CA\SubjectTemplate "EMail\nCommonName\nOrganizationalUnit\nOrganization\nDomainComponent\nCountry" Secorvo White Paper PKI von der Stange Seite 41 von 43 WP17 PKI von der Stange 08 Stand 02. März 2011
- Seite 1 und 2: PKI von der Stange Secorvo White Pa
- Seite 3 und 4: © Secorvo Security Consulting GmbH
- Seite 5 und 6: © Secorvo Security Consulting GmbH
- Seite 7 und 8: © Secorvo Security Consulting GmbH
- Seite 9 und 10: © Secorvo Security Consulting GmbH
- Seite 11 und 12: © Secorvo Security Consulting GmbH
- Seite 13 und 14: © Secorvo Security Consulting GmbH
- Seite 15 und 16: © Secorvo Security Consulting GmbH
- Seite 17 und 18: © Secorvo Security Consulting GmbH
- Seite 19 und 20: © Secorvo Security Consulting GmbH
- Seite 21 und 22: © Secorvo Security Consulting GmbH
- Seite 23 und 24: © Secorvo Security Consulting GmbH
- Seite 25 und 26: © Secorvo Security Consulting GmbH
- Seite 27 und 28: © Secorvo Security Consulting GmbH
- Seite 29 und 30: © Secorvo Security Consulting GmbH
- Seite 31 und 32: © Secorvo Security Consulting GmbH
- Seite 33 und 34: © Secorvo Security Consulting GmbH
- Seite 35 und 36: © Secorvo Security Consulting GmbH
- Seite 37 und 38: © Secorvo Security Consulting GmbH
- Seite 39: © Secorvo Security Consulting GmbH
- Seite 43: © Secorvo Security Consulting GmbH
© <strong>Secorvo</strong> Security Consulting GmbH<br />
A.2.2 Nach <strong>der</strong> Installation: caconfig.cmd<br />
@echo off<br />
rem ####################################################################<br />
rem<br />
rem Skript zur Konfiguration <strong>einer</strong> Microsoft CA<br />
rem<br />
rem Copyright (c) 2009 <strong>Secorvo</strong> Security Consulting GmbH<br />
rem<br />
rem ####################################################################<br />
rem ### Certtificate Services beenden<br />
net stop certsvc<br />
rem ### Audit-Events<br />
certutil -setreg CA\AuditFilter 127<br />
rem ### Maximale Gueltigkeisdauer für Zertifikate<br />
rem ### (kann ggf. durch Template herabgesetzt werden)<br />
certutil -setreg CA\ValidityPeriod Years<br />
certutil -setreg CA\ValidityPeriodUnits <br />
rem ### Parameter für Verlängerung <strong>von</strong> Zertifikaten<br />
certutil -setreg CA\RenewalKeyLength 2048<br />
certutil -setreg CA\RenewalValidityPeriod Years<br />
certutil -setreg CA\ValidityPeriodUnits <br />
rem ### Sperrlistenintervall und (da<strong>von</strong>) Karenzzeit<br />
certutil -setreg CA\CRLPeriod Hours<br />
certutil -setreg CA\CRLPeriodUnits <br />
certutil -setreg CA\CRLOverlapPeriod Hours<br />
certutil -setreg CA\CRLOverlapUnits <br />
rem ### Keine Deltasperrlisten verwenden<br />
certutil -setreg CA\CRLDeltaPeriodUnits 0<br />
rem ### CRL Distribution Points<br />
certutil -setreg CA\CRLPublicationURLs<br />
"1:C:\Windows\System32\CertSrv\CertEnroll\.crl\n11:ldap:///CN=,CN=,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=?CertificateRevocationList?base?ObjectClass=cRLDistributionPoint\n2:http<br />
:///CertEnroll/.crl"<br />
rem ### Authority Information Access<br />
certutil -setreg CA\CACertPublicationURLs<br />
"1:C:\Windows\System32\CertSrv\CertEnroll\.cer\n2:ldap:///CN=,CN=AIA,CN=Public Key<br />
Services,CN=Services,CN=Configuration,DC=?cACertificate?base?ObjectClass=certificationAuthority\n2:http:///CertEnroll/.cer"<br />
rem ### KeyUsage Zertifikatserweiterung nach RFC Vorgabe<br />
certutil -setreg policy\EditFlags -EDITF_ADDOLDKEYUSAGE<br />
rem ### Unterdruecken <strong>von</strong> State und Locality DN-Attributen<br />
rem ### aus Zertifikatsantraegen<br />
certutil -setreg CA\SubjectTemplate<br />
"EMail\nCommonName\nOrganizationalUnit\nOrganization\nDomainComponent\nCountry"<br />
<strong>Secorvo</strong> <strong>White</strong> <strong>Paper</strong> <strong>PKI</strong> <strong>von</strong> <strong>der</strong> <strong>Stange</strong> Seite 41 <strong>von</strong> 43<br />
WP17 <strong>PKI</strong> <strong>von</strong> <strong>der</strong> <strong>Stange</strong> 08 Stand 02. März 2011