Legyünk mi is CA!
Bizony, virtuálisan mi is azzá válhatunk egy Windows 2000/2003 Server alapú tartományban. Azaz felhúzhatunk egy tanúsítványkiadó szolgáltatást, amellyel képesek leszünk arra, hogy kiadjunk pl. egy webszerver tanúsítványt. Ingyen és bérmentve. Persze ennek hitelessége nem mérhető össze az előző cikkben említett, erre szakosodott cégek által kiadott tanúsítványokkal (mivel csak önmagunk számára lesz hiteles a dolog, hiszen egy a saját CA-nk által kiállított digitális aláírással hitelesítünk), de értékessége azért van: arra tökéletes lesz, hogy titkosíthassunk. A különbség technikai értelemben annyi lesz, hogy ebben az esetben ha bárki a tanúsítvánnyal ellátott oldalunkra téved, kap majd egy figyelmeztetést, hogy a tanúsítvány kibocsájtó nem tartozik bele a nyilvántartott, minősített legfelsőbb szintű tanúsítványkiadók körébe (nyilván, hiszen a mi Windows szerverünk a kibocsájtó), de ha így is elfogadjuk, akkor azért a forgalom titkosított lesz. Így akár a belső hálón, akár az internet felől használhatjuk a HTTPS-t.
Az ehhez szükséges lépések sorrendje
- Tanúsítványkiszolgálót telepítünk (ebben a cikkben kerül ismertetésre)
- Tanúsítványt kérünk
- Letöltjük a tanúsítványt
- Telepítjük a tanúsítványt
- Beizzítjuk az IIS-t a HTTPS használatára
Tanúsítványkiszolgáló telepítése
A következő lépések szinte teljesen megegyeznek a Windows 2000 Server és a Windows Server 2003 esetén (a cikkben az utóbbival foglalkozunk). Persze pozitivumok azért vannak az utóbbi javára, hiszen jóval többet nyújt a tanúsítvány szolgáltatás területein mint az előző (később még lesz ezekről szó). Egy fontos és közös jellemző azért mindenképp van: ha egyszer telepítünk egy tanúsítványkiadót, és ennek segítségével kiadunk egy vagy több tanúsítványt, akkor ha később kiiktatjuk a tanúsítványkiadó gépet (mondjuk lefokozzuk tartományvezérlőt, vagy kiléptetjük a tartományból a tagkiszolgálót, vagy leszedjük a Certificate Services komponenst vagy akár csak ha átnevezzük) akkor lőttek az eddig kiadott tanúsítványainknak! Ha indokolt esetben mégis ezeket a lépéseket tervezzük megtenni utólag, akkor ezek előtt a kiadott tanúsítványokat vissza kell vonnunk, majd az új vagy megváltozott kiadóval újra kreálnunk. Így fontoljuk meg alaposan, melyik és milyen feladatokat ellátó gépre telepítjük a szolgáltatást. Jó tudni azt is, hogy az adott gépen célszerű futtatni egy IIS-t, amely megkönnyíti majd a tanúsítvány kérést.
Tehát a konkrét lépések
- Control Panel / Add/Remove Programs/ Add/Remove Windows Components
- Certificate Services telepítés (mindkét komponens, azaz a Services és a Web Enrollment Support is)
- CA típus választás
A 3. lépesben el kell döntenünk, hogy milyen típusú CA-t akarunk. Négy variáció van, ahogy a képen is látható, a "root" és a "subordinate" jelzők a tanúsítványkiadó a hierarchiában betöltött szerepére utalnak. Amennyiben az első CA-t telepítjük (egy átlagos kisvállalati/iskolai környezetbe valószínűleg nem is lesz több), akkor valamelyik "root" verziót kell majd választanunk. Amennyiben (és ez a tipikus is) egy AD-ban, annak sok-sok előnyét (automatikus terítés, visszavonás, címtárban közzététel, stb.) kihasználva szeretnénk használni a CA-t, akkor az Enterprise változatot válasszuk. Ha nincs AD, vagy nem akarjuk erre a célre használni, akkor kell a Stand-Alone típust választanunk, ekkor a tanúsítványok kiadását egy rendszergazda jogosultsággal rendelkező személynek kell manuálisan elvégeznie, maguk a tanúsítványok pedig a filerendszerben tárolódnak. Mi most az Enterprise Root CA típust választjuk.
Ezen az oldalon van még egy lényeges jelölőnégyzet, ez pedig a "Use custom settings to generate the key pair and CA certificate". Ha ezt bepipáljuk akkor a következő panelen a CA saját, nyilvános és privát kulcsának jellemzőit (titkosító modul, hash algoritmus, kulcshossz) szabhatjuk meg. A képen látható beállítások bőven megfelelnek egy átlagos rendszer igényeinek. A panel alján az "Use an existing key" bepipálásával egy már létező kulcspárt és tanúsítványt importálhatunk be. Ezzel a lehetőséggel akkor célszerü élnünk, ha pl. újra telepítjük a CA-t és a kulcsok ill. tanúsítványok korábban már léteztek.
A 4. lépés egy adatlap kitöltése, amelynél pl. megadhatjuk a CA-nk nevét, ami egy helyi CA esetén egy gyakorlatilag formális lépés (nem úgy az "igazinál"). Az érvényességi időtartamra azért ügyeljünk, ez a Windows Server 2003-nál ez alapértelmezés szerint 5 év, amely azért elfogadhatónak tűnik. Az időtartam azért érdekes elsősorban, mert ha lejár a CA érvényessége, vele együtt száll sírba az összes kiadott tanúsítvány is (lejárat előtt azért manuálisan megújíthatóak a biztonság kedvéért).
Az 5., egyben utolsó lépésben a tárolással kapcsolatos kérdések következnek. Ezen a panelen megadhatjuk a CA adatbázisának és naplóállományának helyét. A "Store configuration information in a shared folder" pipa alatt pedig beírhatjuk annak a mappának a nevét, amelyben a tárolhatóak lesznek a CA-val kapcsolatos objektumok. Ezt a mappát meg is osztja alapértelmezés szerint a varázsló, ami még jól jöhet a későbbiek során (pl. egy másik gépről érkező, MMC-ből indított manuális tanúsítvány igénylés esetén). Ezután befejeződik a telepítés és ha minden jól megy el is indul a Certificate szerviz.