Microsoft CA
Informações Gerais
Este guia de uso integrado com o MS CA (Microsoft Certificate Authority) foi preparado usando as versões de software e firmware abaixo:
SO: Windows Server 2019 (inglês)
MS Certification Authority: 10.0
Firmware do HSM: 5.0.26.0 (ou superior)
Cliente do HSM: 4.7.30 (ou superior)
Requisitos
Conectividade com o HSM (porta TCP 4433).
Software client do HSM instalado, (consulte o tópico Windows).
Serviço do HSM iniciado.
Conta do Windows com permissão de administração local.
Credenciais da partição do HSM onde será criada ou utilizada a chave privada.
Pode ser necessário um restart do Windows (para carregar as configurações de local machine).
Instalação e configuração de MS CA com geração de chave no HSM
Configurar os parâmetros de MS CAPI com as credenciais de partição do HSM na console GUI (Dinamocon).
Configurar endereço IP, usuário e senha de uma partição no HSM. A chave privada será gerada nesta partição. Selecione a opção Habilitar CNG. Clique no botão Aplicar.
Nota: manter desmarcada a opção Local Machine Configuration e marcada a opção CNG Compatibility Mode.
Habilitar os parâmetros de MS CAPI em local machine na console GUI (Dinamocon).
Habilite a opção Local Machine Configuration. Clique no botão Aplicar.
Nota: manter marcada a opção Local Machine Configuration e também marcada a opção CNG Compatibility Mode.
No Dashboard do Server Manager do Windows inicie a instalação da AC clicando em Add Roles and Features
Selecione o tipo de instalação Role-based or feature-based installation para o computador local.
Selecione o role _Active Directory Certificate Services_e confirme em Add Feature.
Confirme a lista de Features mostrada (não há necessidade de nova seleção). Clique Next.
Leia a nota de aviso do instalador. Note que o nome e as configurações de domÃnio do computador não poderão ser modificados após a instalação da AC. Clique Next.
Selecione outros serviços para serem instalados no Active Directory Certificate Services. Outros opções podem ser selecionadas conforme a necessidade de cada ambiente. Para efeitos de integração com o HSM apenas o Certification Authority é necessário. Clique Next.
Confirme o resumo das informações de role, features e services. Clique em Install
Após a conclusão da instalação é necessário efetuar configuração da AC. Isto pode ser feito na tela de conclusão da instalação ou na área de notificações do dashboard do Server Manager.
Durante a configuração pode ser útil deixar a console CLI
hsmcon.exe
(linha de comando) mostrando em tempo real a atividade do HSM (opçãoLogs/Follow
) e verificando que a chave privada será gerada e utilizada.Verifique e confirme as credenciais do Windows que serão utilizadas no serviço.
Selecione os serviços que serão configurados. Para efeitos de integração com o HSM apenas o Certification Authority é necessário.
Especifique o tipo de setup de AC. Neste guia estamos assumindo o tipo Standalone CA.
Especifique o tipo de AC. Neste guia estamos assumindo o tipo Root CA.
Especifique o tipo de chave privada como Create a new private key.
Na opções de criptografia selecione como cryptopraphic provider o provedor de algoritmo RSA do HSM Dinamo:
RSA#Dinamo HSM Cryptographic Provider
Selecione o tamanho da chave o algoritmo de hash para a assinatura do certificados conforme e definição do seu ambiente especÃfico. Por exemplo chave RSA de 4096 bits e algoritmo de hash SHA256.
Especifique o Common Name para a AC. Este nome será usado em todos os certificados emitidos pela AC.
Especifique o perÃodo de validade dos certificados emitidos pela AC. Por exemplo 01 ano.
Especifique os locais de armazenamento e log e base de dados da AC.
Verifique e confirme as informações de configuração da AC.
O serviço de ADCS irá gerar uma chave privada RSA no HSM e completar o processo de configuração.
No gerenciador da AC (Certification Authority) é possÃvel verificar informações e detalhes da AC.
Os logs do HSM deverão exibir a geração da chave privada e sua utilização pelo ADCS durante o processo de configuração da AC. No exemplo de log abaixo a chave RSA foi gerada com nome DBB0823FF3A4C57A993829E486C81038
. Esta é chave privada da AC. É recomendado a geração imediata de um backup do HSM.
Os detalhes da chave privada da AC podem ser verificados na console do HSM.
Note que o ADCS solicita, explicitamente, que a chave gerada seja exportável.
Atualizado