none
Mise en place d'un cluster PKI RRS feed

  • Question

  • Bonjour,

    Nous avons actuellement une pki microsoft sur windows server 2016. Lors des mises à jours systèmes il est fréquent de devoir redémarrer la pki ce qui entraine une coupure de service. 

    J'ai vu qu'il etait possible d'ajouter la fonctionnalité Network Load Balancing Manager. En effet de base, cette solution permet la gestion de charge réseau d'un cluster de server mais dans mon cas elle permettrai de rendre le service hautement disponibile. Quand un serveur installe une mise à jour, l'autre prend la charge complète.

    Cependant cette fonctionnalité n'a pas été prévu de base. Je suis actuellement avec une PKI configuré en two-tier. J'aimerai savoir selon vous si il serait possible d'ajouter une second pki ( cloné ? ) et de l'intégrer à un cluster via la fonctionnalité network load balancing. Tout ca bien sûr en pleine production...

    Ce projet est en phase d'étude, c'est pourquoi j'aimerai avoir vos avis d'expertise sur les risques qui vont exposés ce projet ou alors la reel faisabilité ?

    Pour ma part je suis plutôt sceptique. Je pense que cette architecture doit être penser en phase de build et ne peut pas etre appliqué en prodcution à causes des risques que cela entraine : mauvaise conf > coupure de service...

    Merci à vous

    lundi 30 mars 2020 12:45

Réponses

  • Bonjour,

    Afin de finaliser ce poste voici les étapes qui me paraissent importantes dans la mise en place d'un cluster windows server hebergé en physique sur des hots virtuelle vmware 

    Prérequis : 


    Il est recommandé d'utiliser un ensemble d'ordinateurs compatibles et qui contiennent des composants similaires ou identiques.

    Vsphere 5.5 et plus

    Prend en charge la mise en cluster en utilisant  Microsoft Cluster Service  (MSCS) entre des machines virtuelles.

    Stockage

    • Les disques qui sont partagés entre les nœuds. Un disque partagé est requis en tant que disque quorum.
    • Dans un cluster de machines virtuelles sur des hôtes physiques, le disque partagé doit être sur un réseau SAN Fibre Channel (FC), FCoE ou iSCSI.Un disque quorum doit disposer d'un ensemble homogène de disques. Cela signifie que si la configuration est effectu·e avec SAN FC, tous les disques du cluster doivent être SAN FC uniquement. Le mode mixte n'est pas pris en charge.
    • Isolez les dispositifs de stockage, avec un cluster par périphérique : les serveurs de clusters distincts ne doivent pas être en mesure d'accéder aux mêmes dispositifs de stockage. Dans la plupart des cas, un numéro d’unité logique utilisé pour un seul ensemble de serveurs de clusters doit être isolé de tous les autres serveurs via un masquage ou une segmentation des numéros d’unité logique.
    • Un stockage de type SAN qui présente à l’ensemble des serveurs les même LUN.
    • Un stockage de type SAN présentant un volume de 1 à 10 GO qui servira de Quorum.

    Réseau

    • Câble et cartes réseau (pour la communication réseau)  : si vous utilisez la technologie iSCSI, chaque carte réseau doit être dédiée à la communication réseau ou à iSCSI, mais pas les deux à la fois.
    • Dans l’infrastructure réseau qui connecte vos nœuds de cluster, évitez d’avoir des points de défaillance uniques. Par exemple, vous pouvez connecter vos nœuds de cluster à l’aide de plusieurs réseaux distincts. Vous pouvez également connecter vos nœuds de cluster à l’aide d’un réseau construit avec des cartes réseau associées, des commutateurs redondants, des routeurs redondants ou du matériel similaire qui supprime les points de défaillance uniques.

    Serveur

    • 2 serveurs minimum ayant la même configuration matérielle et logiciel.
    • Les nœuds doivent être membres d’un même domaine Active Directory.

    Installation cluster <o:p></o:p>

    • Configurer le cluster sur la première CA qui partage sa BDD
    • Clé privée et certificat CA a sauvegarder
    • Arreter la sub CA 1 pour deverouiller le stockage
    • Sur le nouveau CA configurer le partage de disque
    • Importer le certificat CA dans le magasin
    • Configurer le cluster de basculement
    • Configuration du point de distribution CRL ( Dans la configuration CA par défaut, le nom abrégé du serveur est utilisé dans le cadre du chemin CRL et AIA. Lorsqu'une autorité de certification s'exécute sur un cluster de basculement, le nom court du serveur doit être remplacé par le nom du cluster dans la liste CRL et AIA Uniform Resource Locator (URL).)
    • Publié CRL dans active directory
    • Regler le nom DNS de l'AC

    Voici un rapide retour de mes recherches. Neamoins pour l'instant je vais étudier d'autre solution que de mettre en place le clustering d'une pki en production. Je vais m'axer vers le portage de la CRL par un serveur web ou la modification du temps d'intervealle de mise a jour de la CRL entre la PKI et les équipements réseaux VPN.

    Merci en tout cas pour vos conseils.

    lundi 6 avril 2020 12:16

Toutes les réponses

  • Bonjour,

    Personnellement, je ne pense pas que je ferais du NLB mais plus mais du clustering.

    Après quelques recherches je suis tombé sur ce message : 

    https://social.technet.microsoft.com/Forums/en-US/70e36d91-215a-4809-bc63-72bda10b308c/high-available-certificate-authority?forum=winservergen

    et cet article :

    https://social.technet.microsoft.com/wiki/contents/articles/9256.active-directory-certificate-services-ad-cs-clustering.aspx

    As-tu réfléchi à comment tu as allé synchroniser les deux serveurs (certificats / révocation / demandes ...) ?

    Pour régler les problèmes de dispo, il n'est pas possible de redémarrer à une période plus creuse ? 

    Romain


    mardi 31 mars 2020 06:19
  • Bonjour,

    Merci romain pour ton partage. 

    Voici ce que j'en comprend grossièrement :

    "Possible d'être integré à une pki existant mais avec beaucoup de travail dessus."

    Prérequis : 

    • Le stockage partagé est requis. Pour stocker la base de données CA et la base de données des journaux pour les services de certificats, un stockage partagé doit être disponible pour tous les nœuds de cluster qui forment le cluster. La configuration du stockage partagé peut être une tâche complexe.

    Sur ce point je me demande : Si on partage un stockage, si on a une MAJ windows il n,e faudra pas qu'a un moment ou un autre le stockage partagé soit impacté et necessite une interruption de service?

    • Possible d'integrer un réseau HSM ( odule de sécurité matériel (HSM) est un appareil informatique physique qui sert à protéger et à gérer les clés de chiffrement. .)

    Dans mon cas nous sommes sur de la VM avec des switchs virtuelles je ne sais pas du coup comment ce gère le réseau

    Etape de configuration  :

    1 Configurer le cluster sur la première CA qui partage sa BDD 
    2 Clé privée et certificat CA a sauvegarder
    3 Arreter la sub CA 1 pour deverouiller le stockage
    4 Sur le nouveau CA configurer le partage de disque
    5 Importer le certificat CA dans le magasin
    6 Configurer le cluster de basculement
    7 Configuration du point de distribution CRL ( Dans la configuration CA par défaut, le nom abrégé du serveur est utilisé dans le cadre du chemin CRL et AIA. Lorsqu'une autorité de certification s'exécute sur un cluster de basculement, le nom court du serveur doit être remplacé par le nom du cluster dans la liste CRL et AIA Uniform Resource Locator (URL).)
    8 Publié CRL dans active directory
    9 Regler le nom DNS de l'AC

    "As-tu réfléchi à comment tu as allé synchroniser les deux serveurs (certificats / révocation / demandes ...) ?" Je crois que le clustering ne forme qu'un serveur qui permet de mutualiser les demandes ou creationd e certificat...C'est ce que j'en ai compris, du fait qu'il partage la même BDD.

    Mais c'est peut etre sur ce poitn que je doit creuser. Peut etre deposer la CRL de ma sub CA sur un serveur web déporté qui rend la CRL beaucoup plus disponbile qu'hébergé sur la subCA...Mais en meme temps on reste sur un spof....arggghh

     "Pour régler les problèmes de dispo, il n'est pas possible de redémarrer à une période plus creuse ? "

    Aujourd'hui la coupure des accès VPN qui necessite la CRL, sur une periode d'une heure de MAJ windows server impact fortement le SI ..

    Bref vue le chantier pour m'être en place un clustering sur une pki existante, sa me patait bien risqué..

    mardi 31 mars 2020 08:02
  • Re,

    Tu pars dans un vaste chantier, il serait peut-être plus simple de repartir sur un AC directement sur un cluster de basculement, après je ne connais pas assez ton environnement pour te dire quelle solution est la bonne.

    Pour en revenir au disque partagé pour le cluster, si tu es dans un environnement Hyper-V en cluster, tu peux mettre en place des VHD(x) partagés.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn281956(v%3Dws.11)

    Romain

    mardi 31 mars 2020 10:27
  • Salut,

    D'après mon expérience, et ce que j'avais mis chez les clients plusieurs fois, je peux te confirmer qu'un CA à 2 niveau sub 1 avec 2 ou 3 serveurs sub1 peut bien fonctionner avec un nlb, à condition de bien respecter les pré-requis, cependant ceci est plus utiles en cas de plusieurs sites ou sous-domaine, car nécessite un entretien, (vérification de conférences, cert rejeté, modèles créér,  revendications ...')'

    mardi 31 mars 2020 15:45
  • J'ajoute que le niveau 2 avec un nlb ne fait pas du HA,

    Si tu veux du HA procède comme a dit romain d, avec une vm en cluster, pour le hsm j'en ai vu 2 fois, dans des infrastructures avec  l'exigence secret défense, car c'est un grand chantier, et nécessite vraiment plusieurs personnes avec solide connaissance pour le maintien, ou intervention en cas d'erreur si une personne est absente, donc à toi de voir.


    • Modifié M dakhama mardi 31 mars 2020 16:58
    mardi 31 mars 2020 15:48
  • Bonsoir,

    chez la plupart des clients, le redémarrage d'un serveur de PKI n'est pas sensé générer une coupure de service.

    L'autorité et sous-autorités sont inscrites dans les registres de chaque machine de l'AD, et généralement dans toutes les machines qui ont besoin de ces autorités. Les services (IIS,Exchange, SQL) utilisant les certificats sont déjà démarrés et ont fait toutes les vérifications nécessaires.

    Pendant un "simple" redémarrage (qui est généralement assez rapide), on a les impacts suivants:

    - il n'y a pas de nouveaux certificats délivrés, donc pas de mise à jour des CRLs

    - les CRL peuvent ne pas être disponibles, selon les chemins mis à disposition par la PKI.

    Maintenant, on peut définir plusieurs chemins (LDAP, IIS ou autre) et les garder accessibles.

    IIS est facile à clusteriser ou dupliquer.

    A bientôt,



    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    mardi 31 mars 2020 16:33
  • Bonjour Romain ,

    Effectivement j'ai l'impression qu'il serait préférable d'éviter la mise en place d'un cluster avec un pki en prod, sa parait fastidieux sur le reel besoin qu'il y a. Il serai préférable d'effectuer une nouvelle installation fraiche de pki en cluster.

    Je pensais dans ce cas :

    Installation d'un cluster de pki

    Export de la clé privée de la sub + DB + reg de registre 

    Restauration sur les nouvelles pki du cluster

    Sa marcherai comme ca? 

    Bonjour thierry,

    Effectivement notre impact forte est la coupure de toutes les liaisons VPN. En effet note parfeu stormshield ce sychronise avec la pki pour verifier la CRL toutes les 5 minutes. Du coup dès qu'il ne peu pas recharger sa CRL il bloque tout.

    Je sais qu'il y a une solution c'est d'augmenter la durée entre deux synchronisations de CRL par le parfeu mais je trouve ca moyen niveau securité. 

    Après comme vous dites, le mieux serai de faire un serveur IIS en cluster en supplément qui porterait seulement la CRL. Ca parait la solution la plus adéquate non?

    Par contre la modifier dans la sous autorités des proprieté de la CRL ( extension CDP ), ne risque pas d'impacter les certificats déjà signé qui porte comme dans leurs propriétés le chemin de leur CRL? 

    En gros mon certificat de mars, contient le chemin de vérification de la CRL qui la edité. Et don n'aurait pas la nouvelle extension CRL qui pointerai vers le second accès (futur serveur web). cela peut t il poser des problèmes? Vous voyez ce que je veux dire? 

    Bonjour M dahkama

    Je n'en doute pas que le nlb fonctionne avec 2, 3 sub. Ce que je souhaite étudier c'est la faisabilité de créer une vm cluster et d'y integré la pki en production sans interruption de service ( voir une heure) . Pour l'instant je remarque qu'entre mes besoins : ne pas avoir de SPOF sur ma PKI ce transofmre en : ne pas avoir de "Coupure de VPN" pendant un redémarrage du server. 

    Je vais donc remonter ces info pour voir ce que me dit le boss.. affaire à suivre 

    Merci à vous :)  

     

    jeudi 2 avril 2020 14:59
  • Bonjour,

    Afin de finaliser ce poste voici les étapes qui me paraissent importantes dans la mise en place d'un cluster windows server hebergé en physique sur des hots virtuelle vmware 

    Prérequis : 


    Il est recommandé d'utiliser un ensemble d'ordinateurs compatibles et qui contiennent des composants similaires ou identiques.

    Vsphere 5.5 et plus

    Prend en charge la mise en cluster en utilisant  Microsoft Cluster Service  (MSCS) entre des machines virtuelles.

    Stockage

    • Les disques qui sont partagés entre les nœuds. Un disque partagé est requis en tant que disque quorum.
    • Dans un cluster de machines virtuelles sur des hôtes physiques, le disque partagé doit être sur un réseau SAN Fibre Channel (FC), FCoE ou iSCSI.Un disque quorum doit disposer d'un ensemble homogène de disques. Cela signifie que si la configuration est effectu·e avec SAN FC, tous les disques du cluster doivent être SAN FC uniquement. Le mode mixte n'est pas pris en charge.
    • Isolez les dispositifs de stockage, avec un cluster par périphérique : les serveurs de clusters distincts ne doivent pas être en mesure d'accéder aux mêmes dispositifs de stockage. Dans la plupart des cas, un numéro d’unité logique utilisé pour un seul ensemble de serveurs de clusters doit être isolé de tous les autres serveurs via un masquage ou une segmentation des numéros d’unité logique.
    • Un stockage de type SAN qui présente à l’ensemble des serveurs les même LUN.
    • Un stockage de type SAN présentant un volume de 1 à 10 GO qui servira de Quorum.

    Réseau

    • Câble et cartes réseau (pour la communication réseau)  : si vous utilisez la technologie iSCSI, chaque carte réseau doit être dédiée à la communication réseau ou à iSCSI, mais pas les deux à la fois.
    • Dans l’infrastructure réseau qui connecte vos nœuds de cluster, évitez d’avoir des points de défaillance uniques. Par exemple, vous pouvez connecter vos nœuds de cluster à l’aide de plusieurs réseaux distincts. Vous pouvez également connecter vos nœuds de cluster à l’aide d’un réseau construit avec des cartes réseau associées, des commutateurs redondants, des routeurs redondants ou du matériel similaire qui supprime les points de défaillance uniques.

    Serveur

    • 2 serveurs minimum ayant la même configuration matérielle et logiciel.
    • Les nœuds doivent être membres d’un même domaine Active Directory.

    Installation cluster <o:p></o:p>

    • Configurer le cluster sur la première CA qui partage sa BDD
    • Clé privée et certificat CA a sauvegarder
    • Arreter la sub CA 1 pour deverouiller le stockage
    • Sur le nouveau CA configurer le partage de disque
    • Importer le certificat CA dans le magasin
    • Configurer le cluster de basculement
    • Configuration du point de distribution CRL ( Dans la configuration CA par défaut, le nom abrégé du serveur est utilisé dans le cadre du chemin CRL et AIA. Lorsqu'une autorité de certification s'exécute sur un cluster de basculement, le nom court du serveur doit être remplacé par le nom du cluster dans la liste CRL et AIA Uniform Resource Locator (URL).)
    • Publié CRL dans active directory
    • Regler le nom DNS de l'AC

    Voici un rapide retour de mes recherches. Neamoins pour l'instant je vais étudier d'autre solution que de mettre en place le clustering d'une pki en production. Je vais m'axer vers le portage de la CRL par un serveur web ou la modification du temps d'intervealle de mise a jour de la CRL entre la PKI et les équipements réseaux VPN.

    Merci en tout cas pour vos conseils.

    lundi 6 avril 2020 12:16