Serwer certyfikatów (AD CS) w Windows Server: Wdrażanie infrastruktury klucza publicznego (PKI)
Serwer certyfikatów (AD CS) w Windows Server: Wdrażanie infrastruktury klucza publicznego (PKI)
🎯 Cel artykułu
Celem tego przewodnika jest przedstawienie kompletnego i zaawansowanego podejścia do wdrażania systemu Active Directory Certificate Services (AD CS) w środowisku Windows Server. Skupimy się na planowaniu, architekturze PKI, zabezpieczeniach (key protection, hardening), wydajności, automatyzacji, integracji z usługami Windows, odnowieniu certyfikatów, audycie i najlepszych praktykach projektowych w dużej organizacji.
🧭 Wprowadzenie do AD CS i PKI
Active Directory Certificate Services (AD CS) umożliwia budowę infrastruktury PKI wewnątrz organizacji, wspierając uwierzytelnianie, szyfrowanie, podpis elektroniczny, VPN i TLS. PKI składa się z kluczowych komponentów: Root CA, Subordinate CA, Registration Authority (RA), CRL Publication Point, OCSP responders i certificate templates.
🏗️ Architektura PKI: AE, CA, RA, CRL i EKU
[ROOT CA (offline)]─┬─[Subordinate Enterprise CA]─[RA / GPO / SCEP]
├─[Web Enrollment / SCEP]
├─[OCSP Responder]
└─[CRL Distribution Point / Delta CRL]
- Root CA – offline, offline storage kluczy prywatnych, wystawca SubCA
- SubCA – online, wystawianie certyfikatów użytkownikom i urządzeniom
- RA/SCEP – umożliwia automatyczne żądania certyfikatów (np. w Intune, MikroTik)
- CRL – publikacja pełnego zestawu unieważnionych certyfikatów
- OCSP – opcjonalny, szybszy sposób weryfikacji statusu certyfikatu (short-lived certificates)
- EKU – rozszerzenie Application Policies, separuje role certyfikatu
🔧 Projekt hierarchii certyfikacyjnej
- Dwu‑poziomowa PKI: Root CA (offline) + SubCA (Enterprise, signed offline)
- Wysokie poziomy funkcji: Windows Server 2019/2022 – Key Storage Provider, HSM, SHA‑256
- Separation of duties: tylko PKI admins do instalacji SubCA, CA admins do operacji wydawniczych
⚙️ Instalacja i konfiguracja roli AD CS
PowerShell (SubCA):
Install-WindowsFeature ADCS-Cert-Authority –IncludeManagementTools
Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA `
-CACommonName "Contoso-SubCA" -KeyLength 4096 `
-HashAlgorithm SHA256 -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
-ValidityPeriod Years -ValidityPeriodUnits 5
- Używaj VM Kangaroo – SubCA w wirtualizacji z backupem stanu
- Endpoints: Web Enrollment, NDES (SCEP), certsrv services
🔐 Key Protection: HSM, TPM, zabezpieczenie kluczy
- TPM-backed keys przy generowaniu kluczy SubCA
- Integration with Hardware Security Modules (HSM): SafeNet, Azure Key Vault Managed HSM
- Key archival – zwrot kluczy szyfrujących (EFS) przez AD CS
- MSCEP client certificate auto‑enrollment dla urządzeń mobilnych
🧾 Szablony certyfikatów i polityki wydawania
- Twórz szablony z wymaganym EKU, KeyUsage, Subject Name format
- Przykłady:
- Computer Authentication
- User SmartCard Logon (EFS)
- Web Server SSL Cert
- Code Signing
- Automatyczne wydawanie przez GPO („Autoenrollment”)
- Publikacja z użyciem GPO w „Certificate Services” → „Enroll certificates”
🤝 Automatyczne wydawanie certyfikatów i SCEP
- Autoenrollment GPO na komputerach domenowych
- NDES role na SubCA – umożliwia SCEP dla urządzeń mobilnych/skanerów
- Integracja z MDM (Intune, SCCM) – możliwość provisioning i olmage cert
- Delegacja zasobów NDES Service SSP
🛰️ Publikacja CRL i OCSP – dostępność i wydajność
- Publikuj CRL na IIS w udostępnionych lokalizacjach HTTP:
Set-CACrlDistributionPoint -Url http://pki.contoso.com/pki/crl/Contoso-SubCA.crl
Set-CADeltaCrlDistributionPoint -Url http://pki.contoso.com/pki/crl/Contoso-SubCA-delta.crl
- OCSP responder role na dedykowanym serwerze SubCA
- Delta CRL – interwał co godzinę, pełny co 12h
- Load‑balanced CRL endpointy i redundacja
📈 Monitoring, audyt i alerty AD CS
- Włącz Audit Certificate Services (Event ID 4886, 4887, 4889, 4892)
- Monitoruj:
- wydawanie certyfikatów: Event 100
- próby unieważnienia
- błędy CRL, OCSP
- Integracja z Microsoft Sentinel lub Elastic Stack
- Alerty na zmiany konfiguracji, próby failover, niedostępność gniazd
🔄 Odnawianie, unieważnianie i rotacja kluczy
- Rolling renewal SubCA co 3–5 lat
- Key rollover Root CA lub SubCA:
- Utworzenie nowego klucza
- Wydanie nowego certyfikatu CA
- Publikacja CRL crossover
- Unieważnianie certyfikatów przez
Revoke-Certificate - Automatyczne wycofanie (auto-enforce expired certs)
🛡️ Bezpieczeństwo, hardening i zgodność
✔️ Umieść Root CA offline – zabezpiecz fizycznie
✔️ Hardening OS: minimalna rola, bastion build
✔️ Włącz BitLocker na CA, włącz TPM
✔️ Używaj silnych algorytmów: RSA‑4096, SHA‑512
✔️ Ogranicz dostęp do usług certsrv — tylko przez firewall
✔️ Wprowadź procedury EAL3/4 i HSM FIPS 140-2
✔️ Audyt zgodności ISO27001, RODO, GDPR, PKI baseline
🔧 Integracja z usługami Windows i urządzeniami
- S/MIME – certyfikaty użytkowników dla Exchange
- IPsec – certyfikaty dla VPN i DirectAccess
- EFS – certyfikaty szyfrujące użytkowników
- SSL/TLS – web, RDC, LDAP(S), IIS, Exchange
- Wi‑Fi 802.1X – NPS i RADIUS z certyfikacją EAP-TLS
- Code Signing – certyfikaty do podpisywania aplikacji .NET i MSI
🏅 Najlepsze praktyki wdrożenia PKI
- Buduj PKI z podwójną redundancją (RODC SubCA, Load-balanced OCSP/CRL)
- Używaj separacji duties (PKI Owner, CA Admin, Cert Admin)
- Stosuj policy-driven issuance, EKU, KeyUsage
- Periodic tests failover, OCSP, CRL, renewal
- Integruj z SIEM, alerty i automatyzację powiadomień
- Audytuj każdy krok: issuer, revocation, template changes
- Szkolenia i dokumentacja – playbook PKI operation
🗺️ Podsumowanie i roadmap PKI
AD CS to fundament wewnętrznej PKI: ułatwia wdrażanie zabezpieczeń TLS, EFS, IPsec i podpisów cyfrowych. Przy odpowiedniej architekturze, automatyzacji i kontroli staje się skalowalnym i bezpiecznym rozwiązaniem krytycznym dla organizacji.
📌 Roadmap wdrożenia PKI:
- Analiza wymagań i zakresu certyfikatów
- Projekt hierarchii AD CS (Root + SubCA + RA/NDES + OCSP)
- Instalacja i hardening serwerów CA
- Definicja szablonów i polityk certyfikacyjnych
- Automatyzacja wydawania (GPO, NDES, MDM, HTTP download)
- Publikacja CRL/OCSP z redundancją i monitoringiem
- Implementacja key rollover i procedur unieważniania
- Integracja z AD, VPN, Wi‑Fi, Exchange, IIS
- Testy operacyjne (failover, restore CA, recovery keys)
- Audyt, szkolenia, utrzymanie i ciągłe ulepszanie PKI
Nadawanie uprawnień do usuwania lub modyfikowania plików i folderów Czasami natykamy się na pliki lub foldery, których nie da się Czytaj dalej
Automatyzacja rozwiązywania problemów w Windows 11 za pomocą PowerShell 🛠️ Wprowadzenie do automatyzacji w Windows 11 Windows 11 to Czytaj dalej
