Pular para conteúdo

Microsoft CA

Informações Gerais

Este guia de uso integrado com o MS CA (Microsoft Certificate Authority) foi preparado usando as versões de software e firmware abaixo:

  • SO: Windows Server 2019 (inglês)
  • MS Certification Authority: 10.0
  • Firmware do HSM: 5.0.26.0 (ou superior)
  • Cliente do HSM: 4.7.30 (ou superior)

Requisitos

  1. Conectividade com o HSM (porta TCP 4433).
  2. Software client do HSM instalado, (consulte o tópico Windows).
  3. Serviço do HSM iniciado.
  4. Conta do Windows com permissão de administração local.
  5. Credenciais da partição do HSM onde será criada ou utilizada a chave privada.
  6. Pode ser necessário um restart do Windows (para carregar as configurações de local machine).

Configuração da CA com HSM

Instalação e configuração de MS CA com geração de chave no HSM.

  1. Configurar os parâmetros de MS CAPI com as credenciais de partição do HSM na console GUI (Dinamocon).

    1. Configurar endereço IP, usuário e senha de uma partição no HSM. A chave privada será gerada nesta partição.
    2. Selecione a opção Habilitar CNG.
    3. Clique no botão Aplicar.

    Nota

    Manter desmarcada a opção Local Machine Configuration e marcada a opção CNG Compatibility Mode.

    Configuração MS CAPI
    Configuração MS CAPI

  2. Habilitar os parâmetros de MS CAPI em local machine na console GUI (Dinamocon).

    Habilite a opção Local Machine Configuration. Clique no botão Aplicar.

    Nota

    Manter marcada a opção Local Machine Configuration e também marcada a opção CNG Compatibility Mode.

    Configuração MS CAPI, local machine
    Configuração MS CAPI, local machine

  3. No Dashboard do Server Manager do Windows inicie a instalação da AC clicando em Add Roles and Features

    Dashboard Server Manager
    Dashboard Server Manager

  4. Selecione o tipo de instalação Role-based or feature-based installation para o computador local.

    Role-base installation
    Role-base installation

    Server Selection
    Server Selection

  5. Selecione o role Active Directory Certificate Services_e confirme em _Add Feature.

    Select Active Directory Certificate Services
    Select Active Directory Certificate Services

    List of tools for ADCS
    List of tools for ADCS

  6. Confirme a lista de Features mostrada (não há necessidade de nova seleção). Clique Next.

  7. Leia a nota de aviso do instalador. Note que o nome e as configurações de domínio do computador não poderão ser modificados após a instalação da AC. Clique Next.

  8. Selecione outros serviços para serem instalados no Active Directory Certificate Services. Outros opções podem ser selecionadas conforme a necessidade de cada ambiente. Para efeitos de integração com o HSM apenas o Certification Authority é necessário. Clique Next.

    Outros serviços para ADCS
    Outros serviços para ADCS

  9. Confirme o resumo das informações de role, features e services. Clique em Install

    Confirmar instalação
    Confirmar instalação

  10. Após a conclusão da instalação é necessário efetuar configuração da AC. Isto pode ser feito na tela de conclusão da instalação ou na área de notificações do dashboard do Server Manager.

    Conclusão da instalação
    Conclusão da instalação

    Durante a configuração pode ser útil deixar a console CLI hsmcon.exe (linha de comando) mostrando em tempo real a atividade do HSM (opção Logs/Follow) e verificando que a chave privada será gerada e utilizada.

  11. Verifique e confirme as credenciais do Windows que serão utilizadas no serviço.

    Confirmação de credenciais para o serviço
    Confirmação de credenciais para o serviço

  12. Selecione os serviços que serão configurados. Para efeitos de integração com o HSM apenas o Certification Authority é necessário.

    Serviços para serem configurados
    Serviços para serem configurados

  13. Especifique o tipo de setup de AC. Neste guia estamos assumindo o tipo Standalone CA.

  14. Especifique o tipo de AC. Neste guia estamos assumindo o tipo Root CA.

  15. Especifique o tipo de chave privada como Create a new private key.

    Tipo de chave privada
    Tipo de chave privada

  16. Na opções de criptografia selecione como cryptopraphic provider o provedor de algoritmo RSA do HSM Dinamo:

    RSA#Dinamo HSM Cryptographic Provider

    Selecione o tamanho da chave o algoritmo de hash para a assinatura do certificados conforme e definição do seu ambiente específico. Por exemplo chave RSA de 4096 bits e algoritmo de hash SHA256.

    Cryptographic Provder
    Cryptographic Provder

  17. Especifique o Common Name para a AC. Este nome será usado em todos os certificados emitidos pela AC.

    AC Common Name
    AC Common Name

  18. Especifique o período de validade dos certificados emitidos pela AC. Por exemplo 01 ano.

  19. Especifique os locais de armazenamento e log e base de dados da AC.

  20. Verifique e confirme as informações de configuração da AC.

    AC configuration confirmation
    AC configuration confirmation

  21. O serviço de ADCS irá gerar uma chave privada RSA no HSM e completar o processo de configuração.

    AC configuration confirmation
    AC configuration confirmation

  22. No gerenciador da AC (Certification Authority) é possível verificar informações e detalhes da AC.

    AC manager properties menu
    AC manager properties menu

    AC details
    AC details

    Os logs do HSM deverão exibir a geração da chave privada e sua utilização pelo ADCS durante o processo de configuração da AC. No exemplo de log abaixo a chave RSA foi gerada com nome DBB0823FF3A4C57A993829E486C81038. Esta é chave privada da AC. É recomendado a geração imediata de um backup do HSM.

    Logs do HSM
    2021/02/23 22:51:53 000074BA 00043EA3 87444AC1 msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 -
2021/02/23 22:51:53 000074BA 00043EA4 87444AC1 new key DBB0823FF3A4C57A993829E486C81038, t: 11, a: 01000001, c: 31|10.61.53.163 10.61.53.10:2433 msca
2021/02/23 22:51:54 000074BA 00043EA5 87444AC1 R_COOR trying to setup E5E584C71B5C8991 04|10.61.53.163 10.61.53.60:4433 msca
2021/02/23 22:51:54 000074BA 00043EA6 87444AC1 R_COOR prepared E5E584C71B5C8991 04|10.61.53.163 10.61.53.60:4433 msca
2021/02/23 22:51:54 000074BA 00043EA7 87444AC1 DBB0823FF3A4C57A993829E486C81038 created|10.61.53.163 10.61.53.60:4433 msca
                                               ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^
.
.
.
2021/02/23 22:51:54 000074BE 00043EBF 493E887F msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 -
2021/02/23 22:51:54 000074BE 00043EC0 493E887F rsa DBB0823FF3A4C57A993829E486C81038!teeawBSSAaMjsmTpTSGY1rjnfXjAxoZn74RFrZFQ8L0=, c: 31|10.11.23.363 10.61.53.60:4433 msca
.
.
.
2021/02/23 22:51:54 000074C2 00043ED7 DDCC7585 msca auth init, c: 31|10.61.53.163 10.61.53.60:4433 -
2021/02/23 22:51:54 000074C2 00043ED8 DDCC7585 msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 -
2021/02/23 22:51:54 000074C2 00043ED9 DDCC7585 rsa DBB0823FF3A4C57A993829E486C81038!teeawBSSAaMjsmTpTSGY1rjnfXjAxoZn74RFrZFQ8L0=, c: 31|10.11.23.363 10.61.53.60:4433 msca
2021/02/23 22:51:54 000074C2 00043EDA DDCC7585 e-conn: 10.61.53.163|10.61.53.163 10.61.53.60:4433 msca
.
.
.
2021/02/23 22:51:54 000074C4 00043EE4 972B2404 msca auth init, c: 31|10.61.53.163 10.61.53.60:4433 -
2021/02/23 22:51:54 000074C4 00043EE5 972B2404 msca auth ok, 10.61.53.163, 6|10.61.53.163 10.61.53.60:4433 -
2021/02/23 22:51:54 000074C4 00043EE6 972B2404 rsa DBB0823FF3A4C57A993829E486C81038!teeawBSSAaMjsmTpTSGY1rjnfXjAxoZn74RFrZFQ8L0=, c: 31|10.11.23.363 10.61.53.60:4433 msca

    Os detalhes da chave privada da AC podem ser verificados na console do HSM.

    Nota

    O ADCS solicita, explicitamente, que a chave gerada seja exportável.

    Atributos da chave
    Dinamo - Remote Management Console v. 4.7.29.0 2018 (c) Dinamo Networks

HSM 10.61.53.60 e - Engine 5.0.27.0 (DCD) - TCA0000000  - ID msca

Keys/Objects - Attributes

Name (HSM) : DBB0823FF3A4C57A993829E486C81038
                            Type : rsa4096
                       Temporary : no
                      Exportable : yes
                       Encrypted : yes
                         Blocked : no

                   Usage-profile : signature generation/verification

                           State : ACTIVE
                            Mask : SIGN, VERIFY, CERTIFICATE_SIGN, CRL_SIGN
                    Initial date : 2021-02-23 22:51:54 GMT
                 Activation date : 2021-02-23 22:51:54 GMT
                    Archive date : none
                 Compromise date : none
      Compromise occurrence date : none
               Deactivation date : none
                Last change date : 2021-02-23 22:51:54 GMT
          Original creation date : 2021-02-23 22:51:54 GMT
              Process start date : none
               Protect stop date : none

            Public exponent(hex) : 010001
                        Key size : 4096 bits

                    CKA_KEY_TYPE : 0
                       CKA_CLASS : 3
                 CKA_EXTRACTABLE : yes
                   CKA_SENSITIVE : no
           CKA_NEVER_EXTRACTABLE : no
                       CKA_LOCAL : no
            CKA_CERTIFICATE_TYPE : 0
                     CKA_MODULUS : C0AA6E046A40F003B7B3BCF17D862A656F7D0C2C8ADC794E2ABE0B0A695736A5CBF90F0294B6C8    75DD35E6C10C10AA7A40CA1FF28F01A5103F0BDA6B3CFF1B3CC4E3365D47EB831D4BC0907AC78A     D47B1206686E984A86CAD2B29226181D3F702363C6983942DF1833EC1EA702781C7783D014778E     DB80D04834959B3F9126C8E5AD1D4F020CFE3EAF39147701F88C5A0DCE5029DE388F17DF3A8608      AC48816F4552EDB6F3C09D254608D216D1205BD69CB6B97B1E5E1835A30B018D2D3E881128E8F2    E1281EFE65D4C35C5E54FF643F40AF41D4528E944C3ECEA0B0ACC7DC7AC2C96A2BE6FB2A5C6890     A497D35BD77FF73557A31E2DC7E5AA298A0E805253DC5DF3327DD78A23F0B0C72283DD9D7D6605     D961A151BEA8145833DF21BE92D821DD11EE07EFF67ACCECB1C49C478D1C4CF81F51D300A03255      AE2429245BCCB49423F525E6787BABF1AB95BFB930B1F50E9AFA0C083D57E57ABC747DC135AE71    4BA22BBC22C00669575397071E1FC2B2395BDDDD53F7D021C954467EECF3C36CF6C75C1604577A     6789D87421F929099EB2E99AD7C735454E52D74ED962B980F414BF96334F380A6776813C3B9624     4288F9D1D696D7B9B19534B21217026C5517691AE997C7839BE64AE0EE0BD22F7C295E318D71A9      7F620348C4E117F20D941D541401B78EA6F6110420F348EDF1B0822274F33C78F37CFC6171BC85    42C2A64793P~Ä   ³
             CKA_PUBLIC_EXPONENT : 010001
             CKA_PUBLIC_KEY_INFO :
                   CKA_EC_PARAMS :
                     CKA_SUBJECT :
                      CKA_ISSUER :
                          CKA_SN :
                       CKA_TOKEN : yes
                  CKA_MODIFIABLE : yes
                CKA_MODULUS_BITS : 4096
                     CKA_PRIVATE : yes
                      CKA_DERIVE : yes
                        CKA_WRAP : yes
                      CKA_UNWRAP : yes
                        CKA_SIGN : yes
                      CKA_VERIFY : yes
                     CKA_ENCRYPT : no
                     CKA_DECRYPT : no
                   CKA_OBJECT_ID :
                 HSM_OBJ_VERSION : 2
                    HSM_OBJ_TYPE : 11
                    HSM_OBJ_ATTR : 16777217
                     HSM_OBJ_LEN : 2875
                      HSM_OBJ_ID : msca/DBB0823FF3A4C57A993829E486C81038
                  HSM_OBJ_PVALUE : 736E28329D4D74AF195A6A0F041C24AA464CD87E
                       CKA_LABEL :
                          CKA_ID :
                CKA_SIGN_RECOVER : no
              CKA_VERIFY_RECOVER : no
                 CKA_APPLICATION :
                     CKA_TRUSTED : no
            CKA_JMIDP_SEC_DOMAIN : 0
               CKA_CERT_CATEGORY : 0
           CKA_KEY_GEN_MECHANISM : 0
           CKA_WRAP_WITH_TRUSTED : no
                   HSM_ASSOCIATE :

Actions:

 1 - Block
 2 - Edit Metadata
 3 - PKCS#10 CSR

 0 - Main Menu
Option :