Egyre több helyen alkalmazzák, hogy a Wifi/VPN hitelesítés nem név/jelszó párossal (esetleg valamilyen MFA megoldással kombinálva) történik, hanem felhasználói tanúsítványokkal. Nagyon üdvözlendő! 🙂

Sok esetben viszont a “lifecycle” kezelése nincs átgondolva és megoldva. Azaz: a tanúsítványkiadás megy GPO-ból/Intune-ból, mint a karikacsapás, de hogyan kezeljük a visszavonást? Security szempontból mindenképpen érdemes a távozó dolgozó kiállított tanúsítványait visszavonni, nem csak az Active Directory accountját letiltani stb.

Az alábbi példában bemutatom, hogyan lehet a Certificate Authority felületéről és Powershellből célzottan tanúsítványt visszavonni. Fontos hangsúlyozni, hogy ez egy user decomission process része kell legyen!

Tanúsítvány visszavonása CA konzolból:

Jelentkezzünk be a CA szerverre és indítsuk el a Certificate Authority konzolt. Az Issued Certificate résznél találjuk az összes kiállított tanúsítványt (akár több ezer is lehet)

Az egyes felhasználó számára kiállított tanúsítványokat a View/Filter opcióval tudjuk leszűrni.

Állítsuk össze a szűrési feltételt:

Field: Issued Common Name

Operation: =

Value: a kívánt felhasználó AD-ben szereplő neve (pl. Kovács László)

Megkapjuk az összes, számára kiállított tanúsítványt:

Ezután a tanúsítványon jobb klikkel kiválaszthatjuk a Revoke Certificate opciót:

Megadhatjuk a Reason Code-ot:

Az egyes kódok jelentése:

• KeyCompromise. The private key that is associated with the certificate is compromised and is in the possession of an unauthorized individual—for example, if a portable computer is stolen or a smart card is lost.
• ■ CACompromise. The smart card or disk on which the CA’s private key is stored is compromised and is in the possession of an unauthorized individual. When a certificate manager revokes a CA’s certificate, all certificates issued by that CA are considered revoked.
• ■ AffiliationChanged. An individual is terminated or has resigned from an organization. It is not necessary to revoke a certificate when an individual changes departments unless your security policy requires that each departmental CA should issue certificates to the individuals in that department.
• ■ Superseded. A new certificate must be issued if a smart card fails or the legal name of a user has changed. The new certificate supersedes the previous certificate, which must be revoked.
• ■ CessationOfOperation. If your organization decommissions a CA, use this revocation code to revoke the CA’s certificate. Do not revoke the certificate if the CA publishes CRLs for the currently issued certificates but does not issue new certificates.
• ■ CertificateHold. A temporary revocation that indicates that a CA will not vouch for a certificate at a specific time. After a certificate is revoked by using CertificateHold, you can later unrevoke the certificate.

Tanúsítvány visszavonása Powershell segítségével

Ha egy felhasználónak több kiállított tanúsítványa van, a fenti konzolos megoldás fárasztó lehet. Itt tudjuk segítségül hívni a Powershellt.

Elérhető egy powershell csomag, amivel különböző PKI feladatokat tudunk elvégezni (https://www.powershellgallery.com/packages/PSPKI/3.7.2)

A telepítése egyszerű, a CA szerverre telepítsük fel admin powershellből:

Install-Module -Name PSPKI

Importáljuk be:

Import-Module PSPKI

Futtassuk le a lekérdezést, hogy pl. Kovács Lászlónak milyen kiadott tanúsítványai vannak:

Get-CertificationAuthority | Get-Issuedrequest -Filter “CommonName -eq Kovács László”

Ehhez már könnyen hozzá tudjuk fűzni a parancsot hogy vonja vissza a tanúsítványokat, “Certificate Hold” indoklással:

Get-CertificationAuthority | Get-Issuedrequest -Filter “CommonName -eq Kovács László” | Revoke-Certificate -Reason “CerfificateHold”

CRL publikálása

A tanúsítványok visszavonása után ne felejtsünk el új CRL-t publikálni:

(Megjegyzés: sok visszavont tanúsítvány esetén a CRL mérete túl nagy lehet, ami egyes szolgáltatásoknál gondot okoz (pl. időtúllépés a CRL letöltése során). Ezért érdemes figyelni rá, hogy időnként a már nem szükséges visszavont elemeket töröljük a Certificate Authority adatbázisából)

Kezdő CA-üzemeltetőként belefutottam egy problémába:

Szerettem volna egy tanúsítványt 5 évre kiadni. Megnéztem a template-ek között, átállítottam a Validity Periodot, Apply, OK

A tanúsítványt kiállítottam, jött a meglepetés: az érvényességi ideje bizony csak 2 év lett, nem 5.

A megoldás persze triviális volt: mivel ez a CA nem egy CAPolicy.inf file segítségével lett telepítve, alapból 2 év az érvényessége a kiadott certeknek.

Ezt módosítani így lehet:

A CA-n át kell írni a lenti registry kulcsot:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

ValidityPeriod értéke legyen Years

ValidityPeriodUnits értéke pedig a kívánt érték, pl 5

Kell még egy:        net stop certsvc
net start certsvc

Eután ha kiadjuk a tansúítványt, immár 5 évre fog szólni az érvényessége.

Nem egy nagy dolog, de bosszantó tud lenni 🙂

A feladat adott volt: Bitlocker titkosítás a smart cardon elhelyezett tanúsítvány segítségével.

Első lépésben a Bitlocker Recovery Agentet definiáltam volna, ezen cikk alapján:

http://blogs.technet.com/b/askcore/archive/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives.aspx

A problémába ott ütköztem, hogy sehol nem találtam a kiemelt Extended Key Usage értékeket a CA szerveren, miközben a certificate template-et szerkesztettem:

A megoldás, hogy miként csalogassuk elő a hiányzó EKU-kat…a CA szerverre (illetve arra gépre, ahonnan a certificate template-eket szerkesztjük) telepíteni kell a Windows Feature-ök közül a Bitlocker Drive Encryption modult.

Parancssoros adminoknak:

ServerManagerCmd -install BitLocker -restart

A reboot után a kívánt EKU-k elérhetőek lesznek a certificate templateben.