Microsoft Active Directory Certificate Services CA Web Enrollment

-
Ada beberapa software Public Key Infrastructure CA seperti OpenSSL, EJBCA, GnuTLS dll. Untuk provider ada digicert, comodo, let's encrypt, dll. Kali ini akan mencoba menggunakan Microsoft Active Directory Certificate Services dengan fitur web enrollment. Selain melalui script, command, MMC certificate. Web enrollment merupakan salah satu yang bisa digunakan mendownload CA, melakukan request dan sign sertifikat, dll.

Contoh:
- Certificates signed by ADCS
Pertama install ADCS Certificat Authority dan Web enrollment melalui server manager.
Setelah terinstall, konfigurasi CA melalui server manager juga, kemudian untuk web enrollment bisa di akses melalui URL http://192.168.1.90/certsrv/ sesuikan dengan IP anda.



Download CA
CA ini yang biasanya di install di sistem atau browser agar tidak muncul sertifikat warning saat mengakses service seperti WWW, MAIL, FTP, VPN, dll.

Gambar Download CA


Untuk membuat sertifikat melalui web enrollment perlu membuat terlebih dahulu CSR.

Untuk membuat CSR bisa menggunakan OpenSSL, perintah openssl ini hanya untuk membuat CSR dan Key, untuk sertifikat nya akan di sign oleh ADCS.


openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout myweb.key -out myweb.csr

Note: Google Chrome has deprecated the use of the Common Name field of an SSL certificate.
Gunakan config .cnf seperti berikut

isi file myconfig.cnf, sesuikan dengan kebutuhan anda

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = ID
ST = SomeProvince
L = SomeCity
O = MyCompany
OU = MyDivision
CN = www.netskill.id
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.netskill.id
DNS.2 = netskill.id

Untuk membuat file seperti diatas bisa mencopy kemudian mencontoh/mengedit  file /etc/ssl/openssl.cnf
Kemudian gunakan perintah berikut

openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout myweb.key -out myweb.csr -config myconfig.cnf

Cek informasi csr
openssl req -noout -text -in myweb.csr

Bisa juga semua pembuatan csr, key dan crt dilakukan di sisi windows menggunakan MMC certificate bisa ikuti tutorial disini

kemudian CSR ini dikirim ke ADCS melalui web enrollment.










Download hasil sertifikat nya dengan extensi cer namun bisa di rename menjadi crt dan siap digunakan di layanan yang akan menggunakan sertifikat.

Komentar

Nasohi Ciptandani mengatakan…
Selain menggunakan script openssl CA.pl berikut cara manual dengan command line

Membuat rootCA key
--------------------------
openssl genrsa -des3 -out rootCA.key 4096

Membuat rootCA cert
----------------------------
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt

Membuat ceritificate untuk kebutuhan server
----------------------------------------------------------

Membuat CSR
------------------
openssl genrsa -out yourdomain.com.key 2048
openssl req -new -key yourdomain.com.key -out yourdomain.com.csr

Ditanda tangani oleh rootCA
-------------------------------------
openssl x509 -req -in yourdomain.com.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out yourdomain.com.crt -days 500 -sha256
23 Juni 2019 pukul 14.38
Posting Komentar

Postingan populer dari blog ini

Pembahasan IT Network Systems Administration Module A DNS (Forward Zone, Reverse Zone, CNAME, MX, Split View)

-
Gambar
Berikut adalah screenshot dan video Pembahasan IT Network Systems Administration Module A DNS (Forward Zone, Reverse Zone, CNAME, MX, Split View). Silakan disesuaikan,  pemahaman setiap script penting sehingga ketika diberikan perubahan nama domain, IP bisa menyesuaikan dengan baik. Pemahaman script ini bisa didapatkan dari sering berlatih atau bekerja di perusahaan IT sebagai system administrator, dll. Ini hanya sebagai referensi, semakin banyak membaca tutorial-tutorial tentang sysadmin (di sesuiakan juga dengan website resmi dari setiap software yang di konfigurasi) maka bisa mendapatkan script yang pas disetiap pekerjaan/proyek yang diberikan.
Baca selengkapnya

Cara restart / stop windows service (services.msc) dengan bat / cmd

-
Sebenarnya bisa disetting secara automatic sih di services.msc agar tiap boot langsung running, tapi dengan alasan saya tidak ingin banyak memakan resources cpu,memory jika saya tidak sedang bermain dengan SQL Server maka saya buat manual start, bikin shortcut untuk dijalanin manual biar gak pergi ke services.msc setiap saya ingin main. hehe. Bisa kita lihat windows service dengan run > services.msc cara lainnya yaitu cmd  > sc query Dibawah ini adalah contoh script bat untuk start service SQL @echo off net start MSSQL$SQLEXPRESS jika mau stop, tinggal diganti aja net stop nama service seperti MSSQL$SQLEXPRESS bisa dilihat di services.msc atau cmd > sc query untuk memberikan efek perubahan ke system agar service start/stop jalankan script dengan Administrator Refe : Command NET to manage service  http://ss64.com/nt/net_service.html http://superuser.com/questions/514057/is-there-a-way-to-restart-a-service-on-a-remote-machine-from-a-batch-script
Baca selengkapnya

How to convert VMDK to OVA

-
Gambar
Disini saya membuat VM dengan VMWARE Workstation 15 dengan output file VMX,VMDK dan file-file lainnya kemudian akan saya buat menjadi OVA berikut caranya: Download OVF Tool dari VMWARE  https://code.vmware.com/web/tool/4.3.0/ovf Jalankan perintah ovtool  lokasi vmname.vmx  vmname.ova Berikut contohnya:
Baca selengkapnya