• vkontakte odnoklassniki yandex google
Забыли пароль?
Glazavezde.RU » Настройка программ в корпоративных сетях » Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server 2008

 Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server 2008 

d:dsbuildrootwsitpro1033ArtLH_DocCoverTopLH_DocCoverTop.gif

 

 

d:dsbuildrootwsitpro1033ArtDocCoverLHLogoDocCoverLHLogo.png

 

Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server 2008

Корпорация Майкрософт

Дата опубликования: апрель 2007 г.

Автор: Роланд Винклер (Roland Winkler)

Редактор: Дебби Свонсон (Debbie Swanson)

Краткий обзор

В настоящем пошаговом руководстве описываются действия, необходимые для установки и базовой настройки службы сертификации Active Directory® (ADCS) в тестовой среде.

Служба ADCS в ОС WindowsServer®2008 обеспечивает настраиваемые службы для создания и управления сертификатами открытых ключей, используемых в системах защиты программного обеспечения с помощью технологий открытых ключей.

d:dsbuildrootwsitpro1033ArtLH_DocCoverBottomLH_DocCoverBottom.gif

 


Сведения об авторских правах

Настоящий документ относится к предварительной версии программного продукта, который может в значительной степени измениться до выхода заключительной версии, и содержит конфиденциальную информацию, являющуюся собственностью корпорации Майкрософт. Данная информация предоставляется на условиях соглашения о неразглашении между стороной, которой она предоставляется, и корпорацией Майкрософт. Документ предназначен исключительно для информационных целей, и корпорация Майкрософт не предоставляет в настоящем документе каких-либо явных или подразумеваемых гарантий. Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-узлы, могут быть изменены без предварительного уведомления. Весь риск использования документа или содержащихся в нем результатов возлагается на потребителя. За исключением специально оговоренных случаев, все приведенные в документе примеры компаний, организаций, продуктов, доменных имен, адресов электронной почты, логотипов, людей, мест и событий являются вымышленными и не предполагают какой-либо связи с реально существующими компаниями, организациями, продуктами, доменными именами, адресами электронной почты логотипами, людьми, местами или событиями. Соблюдение всех применимых авторских прав является обязанностью пользователя. Воспроизведение, сохранение или размещение любых частей документа в информационно-поисковых системах, а также передача этих частей в любой форме и любым способом, электронным, механическим, путем фотокопирования, записи или иными методами, без официального письменного уведомления корпорации Майкрософт запрещается.

 

На материалы, содержащиеся в документе, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Документ не дает никаких разрешений на использование патентов, товарных знаков, авторских прав или иных форм интеллектуальной собственности, за исключением случаев, когда эти права предоставляются явным образом на основании письменного лицензионного соглашения корпорации Майкрософт.

 

© 2007 Корпорация Майкрософт. Все права защищены.

 

Microsoft, Active Directory, MS-DOS, Visual Basic, Visual Studio, Windows, WindowsNT и Windows Server являются либо зарегистрированными торговыми марками, либо торговыми марками корпорации Майкрософт в США и/или в других странах.

 

Все другие товарные знаки являются собственностью их соответствующих владельцев.

 


Содержание

Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server... 7

Обзор технологии ADCS....................................................................................................... 7

Требования для использования службы ADCS....................................................................... 8

Сценарий базового тестирования службы ADCS..................................................................... 9

Этапы настройки базовой тестовой среды............................................................................ 10

Этап 1. Настройка корневого центра сертификации предприятия........................................ 11

Этап 2. Установка сетевого ответчика................................................................................ 12

Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP 13

Этап 4. Создание конфигурации отзыва............................................................................ 14

Этап 5. Проверка надлежащего функционирования настроенной тестовой среды ADCS........ 17

Сценарий расширенного тестирования службы ADCS........................................................... 18

Этапы настройки расширенной тестовой среды.................................................................... 18

Этап 1. Настройка изолированного корневого центра сертификации.................................... 20

Этап 2. Настройка подчиненного выпускающего центра сертификации предприятия............. 20

Этап 3. Установка и настройка сетевого ответчика.............................................................. 21

Этап 4. Настройка выпускающего центра сертификации для выдачи сертификатов подписи отклика протокола OCSP 22

Этап 5. Настройка расширения доступа к информации о центрах сертификации для поддержки сетевого ответчика 23

Этап 6. Назначение шаблона подписи протокола OCSP центру сертификации...................... 24

Этап 7. Подача заявки на сертификат подписи отклика протокола OCSP.............................. 24

Этап 8. Создание конфигурации отзыва............................................................................ 25

Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройств....... 26

Этап 10. Проверка надлежащего функционирования настроенной расширенной тестовой среды ADCS 28

 


В настоящем пошаговом руководстве описываются действия, необходимые для установки и базовой настройки службы сертификации Active Directory® (ADCS) в тестовой среде.

Служба ADCS в ОС WindowsServer®2008 обеспечивает настраиваемые службы для создания и управления сертификатами открытых ключей, используемых в системах защиты программного обеспечения с помощью технологий открытых ключей.

Настоящий документ включает следующее:

· обзор функций службы ADCS;

· требования для использования службы ADCS;

· процедуры базовой настройки тестовой среды для испытания службы ADCS на минимальном количестве компьютеров;

· процедуры расширенной настройки тестовой среды для испытания службы ADCS на большем количестве компьютеров для более точного моделирования реальных конфигураций.

Обзор технологии ADCS

С помощью параметра Active Directory Certificate Services (служба сертификации Active Directory) в мастере добавления ролей можно установить следующие компоненты службы ADCS.

· Центры сертификации (Certification authorities, CA). Корневые и подчиненные центры сертификации используются для выдачи сертификатов пользователям, компьютерам и службам и для управления действительностью этих сертификатов.

· Подача заявок в центр сертификации через Интернет (CA Web enrollment). Подача заявок через Интернет позволяет пользователям связываться с центром сертификации с помощью обозревателя Интернета для выполнения следующих действий:

· запроса сертификатов и просмотра эти запросов;

· получения списков отзыва сертификатов (Retrieve certificate revocation lists, CRL);

· подачи заявок на сертификаты смарт-карт.

· Служба сетевого ответчика. Служба сетевого ответчика (Online Responder) реализует протокол OCSP (Online Certificate Status Protocol — протокол сетевого состояния сертификата) путем декодирования запросов состояния отзыва определенных сертификатов, оценки состояния этих сертификатов, а также возврата подписанного ответа, содержащего запрошенную информацию о состоянии сертификата.

Внимание!

Сетевые ответчики могут использоваться в качестве альтернативы или расширения списков отзыва сертификатов (CRL), чтобы предоставлять клиентам данных об отзыве сертификатов. Сетевые ответчики корпорации Майкрософт основаны на спецификации RFC2560 протокола OCSP и соответствуют ей. Дополнительные сведения о спецификации RFC2560 см. на веб-узле группы IETF (https://go.microsoft.com/fwlink/?LinkID=67082) (на английском языке).

· Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service, NDES). Служба подачи заявок на регистрацию сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам получать сертификаты на основе протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат) компании Cisco Systems Inc.

Примечание

Протокол SCEP разработан для поддержки защищенной, масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации. Протокол поддерживает распределение открытых ключей центров сертификации и центров регистрации, заявки на сертификаты, отзыв сертификатов, запросы сертификатов и запросы отзыва сертификатов.

Требования для использования службы ADCS

Центры сертификации могут быть настроены на серверах с различными операционными системами, включая ОС Windows®2000 Server, WindowsServer®2003 и Windows Server2008. Однако не все операционные системы поддерживают все функции или требования проекта, и для создания оптимального проекта требуется тщательное планирование и испытание в тестовой среде до развертывания службы ADCS в рабочей среде. Хотя службу ADCS можно развернуть всего на одном сервере для одного центра сертификации, во многих схемах развертывания применяются несколько серверов, настроенных как корневые, определяющие политики и выдающие центры сертификации, а также другие серверы, настроенные как сетевые ответчики.

Примечание

Вариант установки Server Core операционной системы Windows Server2008, а также операционная система Windows Server2008 для систем на основе процессора Itanium включают ограниченный набор ролей сервера.

В следующей таблице перечислены компоненты службы ADCS, которые можно настроить в различных выпусках ОС Windows Server2008.

 

Компоненты

Web

Standard

Enterprise

Datacenter

Центр сертификации (CA)

Нет

Да

Да

Да

Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service, NDES)

Нет

Нет

Да

Да

Служба сетевого ответчика (Online Responder)

Нет

Нет

Да

Да

 

Следующие функции доступны на серверах с ОС Windows Server2008, которые были настроены в качестве центров сертификации.

 

Функции службы ADCS

Web

Standard

Enterprise

Datacenter

Шаблоны сертификатов версии2 и версии3

Нет

Нет

Да

Да

Архивирование ключей

Нет

Нет

Да

Да

Разделение ролей

Нет

Нет

Да

Да

Ограничения диспетчера сертификатов

Нет

Нет

Да

Да

Ограничения делегированного агента подачи заявок

Нет

Нет

Да

Да

 

Сценарий базового тестирования службы ADCS

В следующих разделах описывается настройка тестовой среды для начала оценки службы ADCS.

Процедуры, изложенные в настоящем руководстве, рекомендуется выполнять в тестовой среде. Пошаговые руководства не всегда подходят для развертывания компонентов ОС Windows Server в отсутствие дополнительной документации по развертыванию; любое такое руководство следует рассматривать как отдельный документ и применять с осторожностью.

Этапы настройки базовой тестовой среды

Начать тестирование многих функций службы ADCS можно в тестовой среде, состоящей всего из двух серверов под управлением ОС Windows Server2008 и одного клиентского компьютера под управлением ОС Windows Vista®. В настоящем руководстве используются следующие имена компьютеров.

· LH_DC1: этот компьютер будет контроллером домена в тестовой среде.

· LH_PKI1: этот компьютер будет сервером для корневого центра сертификации предприятия в тестовой среде. Этот центр сертификации будет выдавать клиентские сертификаты для сетевого ответчика и клиентских компьютеров.

Примечание

Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах под управлением ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter.

· LH_CLI1: этот клиентский компьютер под управлением ОС Windows Vista будет автоматически подавать заявки на сертификаты от компьютера LH_PKI1 и проверять состояние сертификатов от компьютера LH_ PKI1.

Чтобы настроить базовую тестовую среду для службы ADCS, необходимо выполнить следующие обязательные операции:

· настроить контроллер домена на компьютере LH_DC1 для домена contoso.com, включая несколько подразделений (OU), содержащих одного или нескольких пользователей для клиентского компьютера, клиентские компьютеры в домене, а также для серверов, на которых размещены центры сертификации и сетевые ответчики;

· установить ОС Windows Server2008 на компьютер LH_PKI1 и присоединить компьютер LH_PKI1 к домену;

· Установить ОС Windows Vista на компьютер LH_CLI1 и присоединить компьютер LH_CLI1 к домену contoso.com.

После выполнения эти предварительных процедур по настройке можно начать выполнение следующих этапов.

Этап 1. Настройка корневого центра сертификации предприятия.

Этап 2. Установка сетевого ответчика.

Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP.

Этап 4. Создание конфигурации отзыва.

Этап 5. Проверка надлежащего функционирования настроенной тестовой среды ADCS.

Этап 1. Настройка корневого центра сертификации предприятия

Корневой центр сертификации предприятия является основой доверия в базовой тестовой среде. Он будет использоваться для выдачи сертификатов сетевому ответчику и клиентскому компьютеру, а также для публикации информации сертификатов в доменные службы Active Directory (ADDS).

Примечание

Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах с ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter.

Настройка корневого центра сертификации предприятия

1. Войдите в систему компьютера LH_PKI1 в качестве администратора домена.

2. Нажмите кнопку Start (пуск), выберите Administrative tools (средства администрирования), затем Server Manager (диспетчер сервера).

3. В разделе Roles Summary (сводка ролей) щелкните пункт Add Roles (добавить роли).

4. На странице Select Server Roles (выбор ролей сервера) установите флажок Active Directory Certificate Services (служба сертификации Active Directory). Нажмите кнопку Next два раза.

5. На странице Select Role Services (выбор служб ролей) установите флажок Certification Authority (центр сертификации) и нажмите кнопку Next;

6. На странице Specify Setup Type (определение типа установки) выберите Enterprise (предприятие), затем нажмите кнопку Next.

7. На странице Specify CA Type (определение типа центра сертификации) выберите Root CA (корневой центр сертификации), затем нажмите кнопку Next.

8. На страницах Set Up Private Key (настройка открытого ключа) и Configure Cryptography for CA (настройка криптографии для центра сертификации) можно настроить дополнительные параметры, включая поставщиков службы криптографии. Однако для целей базового тестирования примите значение по умолчанию, нажав кнопку Next два раза.

9. В поле Common name for this CA (общее имя этого центра сертификации) введите общее имя центра сертификации, RootCA1, затем нажмите кнопку Next.

10. На странице Set the Certificate Validity Period (настройка срока действия сертификата) примите срок действия по умолчанию для корневого центра сертификации, затем нажмите кнопку Next.

11. На странице Configure Certificate Database (настройка базы данных сертификатов) примите значения по умолчанию или установите другие места хранения базы данных сертификатов и журнала базы данных сертификатов, затем нажмите кнопку Next.

12. После проверки информации на странице Confirm Installation Options (подтверждение параметров установки) нажмите кнопку Install (установить).

13. Проверьте информацию в окне подтверждения, чтобы убедиться в успешном завершении установки.

Этап 2. Установка сетевого ответчика

Сетевой ответчик можно установить на любой компьютер с ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter. Данные об отзыве сертификатов могут поступать от центра сертификации на компьютере под управлением ОС Windows Server2008, центра сертификации на компьютере под управлением ОС Windows Server2003 или от центра сертификации, выпущенного не корпорацией Майкрософт.

Примечание

На этом компьютере также должна быть установлена служба IIS, прежде чем можно будет установить сетевой ответчик.

Установка сетевого ответчика

1. Войдите в систему компьютера LH_PKI1 в качестве администратора домена.

2. Нажмите кнопку Start, выберите Administrative tools, затем Server Manager.

3. Нажмите кнопку Manage Roles (управление ролями). В разделе Active Directory Certificate Services, щелкните Add role services (добавить службы ролей).

4. На странице Select Role Services (выбор служб ролей) установите флажок Online Responder (сетевой ответчик).

Появится запрос об установке службы IIS и службы активации Windows.

5. Выберите Add Required Role Services (добавить требуемые службы ролей), затем нажмите кнопку Next три раза.

6. На странице Confirm Installation Options (подтверждение параметров установки) нажмите кнопку Install (установить).

7. После завершения установки проверьте страницу состояния, чтобы убедиться в успешном завершении установки.

Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP

Настройка центра сертификации для поддержки служб сетевых ответчиков включает настройку шаблонов сертификатов и свойств выдачи для сертификатов подписи отклика протокола OCSP, а также выполнение дополнительных операций с центром сертификации для поддержки сетевого ответчика и выдачи сертификатов.

Примечание

Эти операции, связанные с шаблонами сертификатов и автоматической подачей заявок, могут также использоваться для настройки сертификатов, которые требуется выдать клиентскому компьютеру или пользователям клиентского компьютера.

Настройка шаблонов сертификатов для тестовой среды

1. Войдите в систему компьютера LH_PKI1 в качестве администратора центра сертификации.

2. Откройте оснастку Certificate Templates (шаблоны сертификатов).

3. Правой кнопкой мыши щелкните шаблон OCSP Response Signing (подпись отклика протокола OCSP), затем выберите команду Duplicate Template (скопировать шаблон).

4. Введите новое имя для копии шаблона, например OCSP Response Signing_2.

5. Правой кнопкой мыши щелкните шаблон OCSP Response Signing_2, затем выберите команду Properties (свойства).

6. Перейдите на вкладку Security (безопасность). В области Group or user name (имя группы или пользователя) нажмите кнопку Add (добавить), затем введите имя или найдите расположение и выберите компьютер, являющийся сервером для службы сетевого ответчика.

7. Выберите имя компьютера, LH_PKI1, и в диалоговом окне Permissions (разрешения) установите флажки Read (чтение) и Autoenroll (автоматическая заявка).

8. Пока открыта оснастка Certificate Templates, можно выполнить настройку шаблонов сертификатов для пользователей и компьютеров путем замены нужных сертификатов в шаге 3 и повторения шагов с 4 по 7 для настройки разрешений для компьютера LH_CLI1 и тестовых учетных записей пользователей.

Чтобы настроить центр сертификации для поддержки сетевых ответчиков, необходимо использовать оснастку Certification Authority (центр сертификации) и выполнить две важные операции:

· добавить расположение сетевого ответчика в расширение доступа к информации о центрах сертификации для выпущенных сертификатов;

· включить шаблоны сертификатов, настроенные в предыдущей процедуре для центра сертификации.

Настройка центра сертификации для поддержки службы сетевых ответчиков

1. Откройте оснастку Certification Authority (центр сертификации).

2. В дереве консоли выберите имя центра сертификации.

3. В меню Action (действие) выберите пункт Properties.

4. Откройте вкладку Extensions (расширения). В списке Select extension (выбор расширения) выберите пункт Authority Information Access (AIA) (доступ к информации о центре сертификации).

5. Установите флажки Include in the AIA extension of issue certificates (включать в расширение AIA выпущенных сертификатов) и Include in the online certificate status protocol (OCSP) extension (включать в расширение протокола OCSP).

6. Определите расположения, из которых пользователи могут получать данные об отзыве сертификатов; в этой настройке используйте расположение https://LH_PKI1/ocsp.

7. В дереве консоли оснастки Certification Authority правой кнопкой мыши щелкните запись Certificate Templates (шаблоны сертификатов), затем выберите пункт New Certificate Templates to Issue (новые шаблоны сертификатов для выпуска).

8. В списке Enable Certificate Templates (включить шаблоны сертификатов) выберите шаблон OCSP Response Signing (подпись отклика протокола OCSP) и любые другие шаблоны сертификатов, которые были настроены ранее, затем нажмите кнопку OK.

9. Откройте список Certificate Templates (шаблоны сертификатов) и проверьте, чтобы измененные шаблоны сертификатов были в списке.

Этап 4. Создание конфигурации отзыва

Конфигурация отзыва включает все настройки, необходимые для ответа на запросы о состоянии сертификатов, выпущенных с помощью определенного ключа центра сертификации.

Эти настройки конфигурации включают сертификат центра сертификации, сертификат подписи сетевого ответчика, а также расположения, в которые клиенты должны направлять свои запросы о состоянии.

Внимание!

Прежде чем создавать конфигурацию отзыва, убедитесь в том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и настройте разрешения сертификата подписи, чтобы разрешить сетевому ответчику использовать его.

Проверка правильности настройки сертификата подписи

1. Запустите или перезапустите компьютер LH_PKI1, чтобы подать заявку на сертификаты.

2. Войдите в систему в качестве администратора центра сертификации.

3. Откройте консоль Certificates (сертификаты) для учетной записи компьютера. Откройте хранилище сертификатов Personal (личные) данного компьютера и проверьте, чтобы в нем был сертификат с именем OCSP Response Signing.

4. Щелкните правой кнопкой мыши этот сертификат и выберите команду Manage Private Keys (управление закрытыми ключами).

5. Перейдите на вкладку Security (безопасность). В диалоговом окне User Group or user name (имя группы пользователей или пользователя) нажмите кнопку Add, введите имя Network Service в список Group or user name (имя группы или пользователя), затем нажмите кнопку OK.

6. Щелкните запись Network Service и в диалогом окне Permissions (разрешения) установите флажок Full Control (полный доступ).

7. Нажмите кнопку ОК два раза.

Для создания конфигурации отзыва необходимо выполнить следующие операции:

· определить сертификат центра сертификации, поддерживающего сетевой ответчик;

· определить точку распределения списка отзыва сертификатов CRL для центра сертификации;

· выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва;

· выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком.

Создание конфигурации отзыва

1. Откройте оснастку Online Responder (сетевой ответчик).

2. На панели Actions (действия) щелкните Add Revocation Configuration (добавить конфигурацию отзыва), чтобы запустить мастер Add Revocation Configuration wizard (мастер добавления конфигурации отзыва), затем нажмите кнопку Next.

3. На странице Name the Revocation Configuration (имя конфигурации отзыва) введите имя конфигурации отзыва, например LH_RC1, затем нажмите кнопку Next.

4. На странице Select CA certificate Location (выбор расположения сертификата центра сертификации) щелкните пункт Select a certificate from an existing enterprise CA (выбрать сертификат из существующего центра сертификации предприятия), затем нажмите кнопку Next.

5. На следующей странице в поле Browse CA certificates published in Active Directory (обзор сертификатов центра сертификации, опубликованных в службе Active Directory) должно появиться имя центра сертификации LH_PKI1.

· Если имя есть в списке, щелкните имя центра сертификации, который необходимо связать с созданной конфигурацией отзыва, затем нажмите кнопку Next.

· Если имени в списке нет, щелкните Browse for CA Computer (найти компьютер центра сертификации) и введите имя компьютера, который является сервером для центра сертификации LH_PKI1, либо нажмите кнопку Browse (обзор), чтобы найти этот компьютер. Когда нужный компьютер будет найден, нажмите кнопку Next.

Примечание

Возможна также связь с сертификатом центра сертификации из локального хранилища сертификатов или путем импорта сертификата со съемного носителя в шаге 4.

6. Просмотрите сертификат и скопируйте точку распределения CRL для родительского корневого центра сертификации, RootCA1. Для этого выполните следующие операции:

a) откройте оснастку Certificate Services (службы сертификатов). Выберите выданный сертификат;

б) дважды щелкните сертификат, затем перейдите на вкладку Details (сведения);

в) выполните прокрутку вниз до поля CRL Distribution Points (точки распределения CRL);

г) выберите и скопируйте URL-адрес нужной точки распределения CRL;

д) нажмите кнопку ОК.

7. На странице Select Signing Certificate (выбор сертификата подписи) примите параметр по умолчанию, Automatically select signing certificate (автоматически выбирать сертификат подписи), затем нажмите кнопку Next.

8. На странице Revocation Provider (поставщик отзыва) выберите пункт Provider (поставщик).

9. На странице Revocation Provider Properties (свойства поставщика отзыва) нажмите кнопку Add, введите URL-адрес точки распределения CRL, затем нажмите кнопку OK.

10. Нажмите кнопку Finish.

11. С помощью оснастки Online Responder выберите конфигурацию отзыва, затем проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы также должны иметь возможность проверить свойства сертификата подписи, чтобы убедиться в правильности настройки сетевого ответчика.

Этап 5. Проверка надлежащего функционирования настроенной тестовой среды ADCS

Проверять правильность выполнения приведенных выше шагов по настройке можно по мере их выполнения.

После завершения установки необходимо проверить надлежащее функционирование базовой тестовой среды путем подтверждения возможности выполнения автоматических заявок на сертификаты, отзыва сертификатов, предоставления точных данных об отзыве через сетевой ответчик.

Проверка надлежащего функционирования настроенной тестовой среды ADCS

1. В центре сертификации настройте несколько шаблонов сертификатов для выполнения автоматических заявок на сертификаты для компьютера LH_CLI1 и пользователей этого компьютера.

2. После публикации информации о новых сертификатах в службе ADDS откройте командную строку на клиентском компьютере и введите следующую строку, чтобы подать автоматическую заявку на сертификат:

certutil -pulse

3. На компьютере LH_CLI1 с помощью оснастки Certificates проверьте правильность выпуска сертификатов для пользователя и компьютера.

4. В центре сертификации с помощью оснастки Certification Authority просмотрите и отзовите один или несколько выпущенных сертификатов, щелкнув команду Certification Authority (Computer)/CA name/Issued Certificates (центр сертификации (компьютер)/имя центра сертификации/выпущенные сертификаты) и выбрав сертификат, который необходимо отозвать. В меню Action выберите пункт All Tasks (все задачи), затем выберите команду Revoke Certificate (отозвать сертификат). Выберите причину отзыва сертификата и нажмите кнопку Yes (да).

5. В оснастке Certification Authority опубликуйте новый список CRL, щелкнув команду Certification Authority (Computer)/CA name/Revoked Certificates в дереве консоли. В меню Action выберите пункт All Tasks (все задачи), затем выберите команду Publish (опубликовать).

6. Удалите все расширения точки распределения CRL из выпускающего центра сертификации, открыв оснастку Certification Authority и выбрав центр сертификации. В меню Action выберите пункт Properties.

7. На вкладке Extensions (расширения) проверьте, чтобы для настройки Select extension (выбор расширения) было установлено значение CRL Distribution Point (CDP) (точка распределения CRL).

8. Выберите любые точки распределения CRL в списке, нажмите кнопку Remove (удалить), затем нажмите кнопку OK.

9. Выключите или перезапустите службу ADCS.

10. Повторите приведенные выше шаги 1 и 2, затем проверьте, чтобы клиенты по-прежнему могли получить данные об отзыве. Для этого используйте оснастку Certificates, чтобы экспортировать сертификат в файл (*.cer). Введите в командной строке следующий текст:

certutil -url <exportedcert.cer>

11. В появившемся диалоговом окне Verify and Retrieve (проверка и извлечение) выберите команду From CDP (из точки CDP) и From OCSP (из протокола OCSP) и сравните результаты.

Сценарий расширенного тестирования службы ADCS

В следующих разделах описывается настройка тестовой среды для оценки большего количества функций службы ADCS, чем в базовой тестовой среде.

Этапы настройки расширенной тестовой среды

Для испытания дополнительных функций службы ADCS в тестовой среде требуются пять компьютеров под управлением ОС Windows Server2008 и один клиентский компьютер под управлением ОС Windows Vista. В настоящем руководстве используются следующие имена компьютеров:

· LH_DC1: этот компьютер будет контроллером домена в тестовой среде;

· LH_CA_ROOT1: этот компьютер будет сервером для изолированного корневого центра сертификации в тестовой среде;

· LH_CA_ISSUE1: Этот центр сертификации предприятия будет подчиненным центра LH_CA_ROOT1 и будет выдавать клиентские сертификаты для сетевого ответчика и клиентских компьютеров.

Примечание

Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах под управлением ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter.

· LH_ORS1: на этом сервере будет размещаться сетевой ответчик;

· LH_NDES: на этом сервере будет размещаться служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service, NDES), которая позволяет выдавать и управлять сертификатами маршрутизаторов и других сетевых устройств;

· LH_CLI1: этот клиентский компьютер с ОС Windows Vista будет автоматически подавать заявки на сертификаты от компьютера LH_CA_ISSUE1 и проверять состояние сертификатов от компьютера LH_ORS1.

Чтобы настроить расширенную тестовую среду для службы ADCS, необходимо выполнить следующие обязательные операции.

1. Настроить контроллер домена на компьютере LH_DC1 для домена contoso.com, включая несколько подразделений (OU), содержащих одного или несколько пользователей для компьютера LH_CLI1, клиентские компьютеры в домене, а также для серверов, на которых размещены центры сертификации и сетевые ответчики.

2. Установить ОС Windows Server2008 на других серверах в тестовой конфигурации и присоединить их к домену.

3. Установить ОС Windows Vista на компьютер LH_CLI1 и присоединить компьютер LH_CLI1 к домену contoso.com.

После выполнения эти предварительных процедур по настройке можно начать выполнение следующих этапов.

Этап 1. Настройка изолированного корневого центра сертификации.

Этап 2. Настройка подчиненного выпускающего центра сертификации.

Этап 3. Установка и настройка сетевого ответчика.

Этап 4. Настройка выпускающего центра сертификации для выпуска сертификатов подписи отклика протокола OCSP.

Этап 5. Настройка расширения доступа к информации о центрах сертификации для поддержки сетевого ответчика.

Этап 6. Назначение шаблона подписи протокола OCSP центру сертификации.

Этап 7. Подача заявки на сертификат подписи отклика протокола OCSP.

Этап 8. Создание конфигурации отзыва.

Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройств.

Этап 10. Проверка надлежащего функционирования настроенной расширенной тестовой среды AD CS.

Этап 1. Настройка изолированного корневого центра сертификации

Изолированный корневой центр сертификации является основой доверия в базовой тестовой среде. Он будет использоваться для выпуска сертификатов подчиненному выпускающему центру сертификации. Так как это критически важно для безопасности инфраструктуры открытых ключей (public key infrastructure, PKI), во многих инфраструктурах PKI этот центр сертификации подключается к сети, только когда необходимо выпустить сертификаты подчиненным центрам сертификации.

Настройка изолированного корневого центра сертификации

1. Войдите в систему компьютера LH_CA_ROOT1 в качестве администратора.

2. Запустите Add Roles Wizard (мастер добавления ролей). На странице Select Server Roles (выбор ролей сервера) установите флажок Active Directory Certificate Services, затем нажмите кнопку Next два раза.

3. На странице Select Role Services установите флажок TSGateway (шлюз служб терминалов), затем нажмите кнопку Next.

4. На странице Specify Setup Type выберите Standalone (изолированный), затем нажмите кнопку Next.

5. На странице Specify CA Type выберите Root CA, затем нажмите кнопку Next.

6. На страницах Set Up Private Key и Configure Cryptography for CA можно настроить дополнительные параметры, включая поставщиков услуг криптографии. Однако для целей базового тестирования примите значение по умолчанию, нажав кнопку Next два раза.

7. В поле Common name for this CA введите общее имя центра сертификации, RootCA1, затем нажмите кнопку Next.

8. На странице Set the Certificate Validity Period примите срок действия по умолчанию для корневого центра сертификации, затем нажмите кнопку Next.

9. На странице Configure Certificate Database примите значения по умолчанию или установите другие расположения для хранения базы данных сертификатов и журнала базы данных сертификатов, затем нажмите кнопку Next.

10. После проверки информации на странице Confirm Installation Options нажмите кнопку Install.

Этап 2. Настройка подчиненного выпускающего центра сертификации предприятия

В большинстве организаций используется хотя бы один подчиненный центр сертификации для защиты корневого центра сертификации от ненужного риска. Центр сертификации предприятия также позволяет использовать шаблоны сертификатов и использовать службу ADDS для выполнения заявок и публикации сертификатов.

Настройка подчиненного выпускающего центра сертификации предприятия

1. Войдите в систему компьютера LH_CA_ISSUE1 в качестве администратора домена.

2. Запустите Add Roles Wizard (мастер добавления ролей). На странице Select Server Roles установите флажок Active Directory Certificate Services, затем нажмите кнопку Next два раза.

3. На странице Select Role Services установите флажок TSGateway (шлюз служб терминалов), затем нажмите кнопку Next.

4. На странице Specify Setup Type выберите Enterprise, затем нажмите кнопку Next.

5. На странице Specify CA Type выберите Subordinate CA (подчиненный центр сертификации), затем нажмите кнопку Next.

6. На страницах Set Up Private Key и Configure Cryptography for CA можно настроить дополнительные параметры, включая поставщиков услуг криптографии. Однако для целей базового тестирования примите значение по умолчанию, нажав кнопку Next два раза.

7. На странице Request Certificate (запрос сертификата) найдите компьютер LH_CA_ROOT1 или (если корневой центр сертификации не подключен к сери) сохраните запрос сертификата в файл, чтобы позже его можно было обработать. Нажмите кнопку Next.

Настройка подчиненного центра сертификации невозможна, пока не выпущен сертификат корневого центра сертификации и пока этот сертификат не использован для завершения установки подчиненного центра сертификации.

8. В поле Common name for this CA введите общее имя центра сертификации, LH_CA_ISSUE1.

9. На странице Set the Certificate Validity Period примите срок действия по умолчанию для центра сертификации, затем нажмите кнопку Next.

10. На странице Configure Certificate Database примите значения по умолчанию или установите другие расположения для хранения базы данных сертификатов и журнала базы данных сертификатов, затем нажмите кнопку Next.

11. После проверки информации на странице Confirm Installation Options нажмите кнопку Install.

Этап 3. Установка и настройка сетевого ответчика

Сетевой ответчик можно установить на любой компьютер с ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter. Данные об отзыве сертификатов могут поступать от центра сертификации на компьютере с ОС Windows Server2008, центра сертификации на компьютере с ОС Windows Server2003 или от центра сертификации, выпущенного не корпорацией Майкрософт. Обычно сетевой ответчик не устанавливают на тот же компьютер, на котором установлен центр сертификации.

Примечание

На этом компьютере также должна быть установлена служба IIS, прежде чем можно будет установить сетевой ответчик. В процессе установки создается виртуальный каталог с именем OCSP в службе IIS, а также регистрируется прокси-сервер Интернета в расширении Internet Server Application Programming Interface (ISAPI).

Установка службы сетевого ответчика

1. Войдите в систему компьютера LH_ORS1 в качестве администратора.

2. Запустите Add Roles Wizard (мастер добавления ролей). На странице Select Server Roles установите флажок Active Directory Certificate Services, затем нажмите кнопку Next два раза.

3. На странице Select Role Services снимите флажок Certification Authority (центр сертификации), установите флажок Online Responder (сетевой ответчик), затем нажмите кнопку Next.

Появится запрос об установке службы IIS и службы активации Windows.

4. Выберите Add Required Role Services, затем нажмите кнопку Next три раза.

5. На странице Confirm Installation Options нажмите кнопку Install.

6. После завершения установки проверьте страницу состояния, чтобы убедиться в успешном завершении установки.

Этап 4. Настройка выпускающего центра сертификации для выдачи сертификатов подписи отклика протокола OCSP

Как и любой шаблон сертификата, шаблон подписи отклика протокола OCSP необходимо настроить, предоставив следующие разрешения заявок: Read (чтение), Enroll (заявка), Autoenroll (автоматическая заявка) и Write (запись), прежде чем на основании шаблона могут быть выпущены какие-либо сертификаты.

Настройка шаблонов сертификатов для тестовой среды

1. Войдите в систему компьютера LH_CA_ISSUE1 в качестве администратора центра сертификации.

2. Откройте оснастку Certificate Templates (шаблоны сертификатов).

3. Правой кнопкой мыши щелкните шаблон OCSP Response Signing, затем выберите команду Duplicate Template.

4. Введите новое имя для копии шаблона, например OCSP Response Signing_2.

5. Правой кнопкой мыши щелкните шаблон OCSP Response Signing_2, затем выберите команду Properties.

6. Перейдите на вкладку Security. В области Group or user name нажмите кнопку Add (добавить), затем введите имя или найдите расположение и выберите компьютер, являющийся сервером для службы сетевого ответчика.

7. Выберите имя компьютера LH_ORS1, и в диалоговом окне Permissions установите флажки Read и Autoenroll.

8. Пока открыта оснастка Certificate Templates, можно выполнить настройку шаблонов сертификатов для пользователей и компьютеров путем замены нужных сертификатов в шаге 3 и повторения шагов с 4 по 7 для настройки разрешений для компьютера LH_CLI1 и тестовых учетных записей пользователей.

Этап 5. Настройка расширения доступа к информации о центрах сертификации для поддержки сетевого ответчика

Необходимо настроить центры сертификации, включив в них URL-адрес сетевого ответчика как часть расширения доступа к информации о центре сертификации выпущенного сертификата. Этот URL-адрес используется клиентом сетевого ответчика для проверки состояния сертификата.

Настройка расширения доступа к информации о центрах сертификации для поддержки сетевого ответчика

1. Войдите в систему компьютера LH_CA_ISSUE1 в качестве администратора центра сертификации.

2. Откройте оснастку Certification Authority (центр сертификации).

3. В дереве консоли выберите имя центра сертификации.

4. В меню Action выберите пункт Properties.

5. На вкладке Extensions (расширения) выберите команду Select extension (выбор расширения), затем выберите Authority Information Access (AIA).

6. Установите флажки Include in the AIA extension of issue certificates и Include in the online certificate status protocol (OCSP) extension.

7. Определить расположения, из которых пользователи могут получать данные об отзыве сертификатов; в этой настройке используйте расположение https://LH_ORS1/ocsp.

8. В дереве консоли оснастки Certification Authority правой кнопкой мыши щелкните запись Certificate Templates, затем выберите пункт New Certificate Templates to Issue.

9. В списке Enable Certificate Templates выберите шаблон OCSP Response Signing и любые другие шаблоны сертификатов, которые были настроены ранее, затем нажмите кнопку OK.

10. Откройте список Certificate Templates (шаблоны сертификатов) и проверьте, чтобы измененные шаблоны сертификатов были в списке.

Этап 6. Назначение шаблона подписи протокола OCSP центру сертификации

После завершения настройки шаблонов необходимо настроить центр сертификации для выпуска соответствующего шаблона.

Настройка центра сертификации для выпуска сертификатов на основе вновь созданного шаблона подписи отклика протокола OCSP

1. Откройте оснастку Certification Authority (центр сертификации).

2. Правой кнопкой мыши щелкните пункт Certificate Templates, затем выберите команду Certificate Template to Issue (шаблон сертификата для выпуска).

3. Выберите шаблон OCSP Response Signing_2 из списка доступных шаблонов, затем нажмите кнопку OK.

Этап 7. Подача заявки на сертификат подписи отклика протокола OCSP

Заявка на сертификат может выполняться не сразу. Поэтому, прежде чем переходить к следующему этапу, убедитесь в том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и проверьте, чтобы разрешения сертификата подписи позволяли сетевому ответчику использовать его.

Проверка правильности настройки сертификата подписи

1. Запустите или перезапустите компьютер LH_ORS1, чтобы подать заявку на сертификаты.

2. Войдите в систему в качестве администратора центра сертификации.

3. Откройте консоль Certificates для данного компьютера. Откройте хранилище сертификатов Personal данного компьютера и проверьте, чтобы в нем был сертификат с именем OCSP Response Signing_2.

4. Щелкните правой кнопкой мыши этот сертификат и выберите команду Manage Private Keys.

5. Перейдите на вкладку Security. В диалоговом окне User Group or user name нажмите кнопку Add, введите и добавьте имя Network Service в список Group or user name, затем нажмите кнопку OK.

6. Щелкните запись Network Service и в диалогом окне Permissions установите флажок Full Control. Нажмите кнопку ОК два раза.

Этап 8. Создание конфигурации отзыва

Для создания конфигурации отзыва необходимо выполнить следующие операции:

· определить сертификат центра сертификации, поддерживающего сетевой ответчик;

· определить точку распределения списка отзыва сертификатов CRL для центра сертификации;

· выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва;

· выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком.

Создание конфигурации отзыва

1. Войдите в систему компьютера LH_ORS1 в качестве администратора домена.

2. Откройте оснастку Online Responder (сетевой ответчик).

3. На панели Actions щелкните Add Revocation Configuration, чтобы запустить Add Revocation Configuration wizard (мастер добавления конфигурации отзыва), затем нажмите кнопку Next.

4. На странице Name the Revocation Configuration введите имя конфигурации отзыва, например LH_RC1, затем нажмите кнопку Next.

5. На странице Select CA certificate Location щелкните пункт Select a certificate for an existing enterprise CA, затем нажмите кнопку Next.

6. На следующей странице имя центра сертификации, LH_CA_ISSUE1, должно появиться в поле Browse CA certificates published in Active Directory.

· Если имя есть в списке, щелкните имя центра сертификации, который необходимо связать с созданной конфигурацией отзыва, затем нажмите кнопку Next.

· Если имени в списке нет, щелкните Browse for CA Computer и введите имя компьютера, который является сервером для центра сертификации LH_CA_ISSUE1, либо нажмите кнопку Browse, чтобы найти этот компьютер. Когда нужный компьютер будет найден, нажмите кнопку Next.

Примечание

Возможна также связь с сертификатом центра сертификации из локального хранилища сертификатов или путем импорта сертификата со съемного носителя в шаге 5.

7. Просмотрите сертификат и скопируйте точку распределения CRL для родительского корневого центра сертификации, RootCA1. Для этого выполните следующие операции:

a) откройте оснастку Certificate Services, затем выберите выпущенный сертификат;

б) дважды щелкните сертификат, затем перейдите на вкладку Details;

в) выполните прокрутку вниз до поля CRL Distribution Points;

г) выберите и скопируйте URL-адрес нужной точки распределения CRL;

д) нажмите кнопку ОК.

8. На странице Select Signing Certificate примите параметр по умолчанию, Automatically select signing certificate, затем нажмите кнопку Next.

9. На странице Revocation Provider выберите пункт Provider.

10. На странице Revocation Provider Properties нажмите кнопку Add, введите URL-адрес точки распределения CRL, затем нажмите кнопку OK.

11. Нажмите кнопку Finish.

12. С помощью оснастки Online Responder выберите конфигурацию отзыва, затем проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы также должны иметь возможность проверить свойства сертификата подписи, чтобы убедиться в правильности настройки сетевого ответчика.

Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройств

Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service) позволяет программному обеспечению на маршрутизаторах и других сетевых устройствах, работающих без учетных данных в домене, получать сертификаты.

Служба подачи заявок на регистрацию сетевых устройств работает как фильтр ISAPI в службе IIS, который выполняет следующие функции:

· генерирует и предоставляет одноразовые пароли заявок администраторам;

· обрабатывает запросы заявок протокола SCEP;

· извлекает находящиеся в ожидании запросы из центра сертификации.

Протокол SCEP разработан в качестве расширения существующих протоколов HTTP, PKCS #10, PKCS#7, RFC2459 и прочих стандартов для обеспечения выполнения центрами сертификации заявок на сертификаты сетевых устройств и приложений. Протокол SCEP определен и документально представлен на веб-узле группы IETF (https://go.microsoft.com/fwlink/?LinkId=71055) (на английском языке).

Прежде чем начинать выполнение процедуры, создайте пользователя ndes_user1 и добавьте этого пользователя в группу пользователей службы IIS. Затем воспользуйтесь оснасткой Certificate Templates для настройки разрешений Read и Enroll для этого пользователя в шаблоне сертификата IPSEC (автономный запрос).

Установка и настройка службы подачи заявок на регистрацию сетевых устройств

1. Войдите в систему компьютера LH_NDES в качестве администратора предприятия.

2. Запустите Add Roles Wizard (мастер добавления ролей). На странице Select Server Roles (выбор ролей сервера) установите флажок Active Directory Certificate Services, затем нажмите кнопку Next два раза.

3. На странице Select Role Services снимите флажок Certification Authority и установите флажок Network Device Enrollment Service.

Появится запрос об установке службы IIS и службы активации Windows.

4. Выберите Add Required Role Services, затем нажмите кнопку Next три раза.

5. На странице Confirm Installation Options нажмите кнопку Install.

6. После завершения установки проверьте страницу состояния, чтобы убедиться в успешном завершении установки.

7. Так как это новая установка и находящихся в ожидании запросов сертификатов SCEP нет, выберите пункт Replace existing Registration Authority (RA) certificates (заменить сертификаты существующего центра регистрации, затем нажмите кнопку Next.

При установке службы подачи заявок на регистрацию сетевых устройств на компьютер, на котором уже существует центр регистрации, существующий центр регистрации и все находящиеся в ожидании запросы сертификатов будут удалены.

8. На странице Specify User Account (определение учетной записи пользователя) щелкните пункт Select User (выбор пользователя) и введите имя пользователя ndes_user1 и пароль для этой учетной записи, который службы подачи заявок на регистрацию сетевых устройств будет использовать для авторизации запросов сертификатов. Нажмите кнопку OK, затем кнопку Next.

9. На странице Specify CA (назначение центра сертификации) установите флажок CA name (имя центра сертификации) или Computer name (имя компьютера), нажмите кнопку Browse (обзор), чтобы найти центр сертификации, который будет выпускать сертификаты службы подачи заявок на регистрацию сетевых устройств, LH_CA_ISSUE1, затем нажмите кнопку Next.

10. На странице Specify Registry Authority Information (определение информации центра регистрации) введите имя ndes_1 в поле RA name (имя центра регистрации). В поле Country/region установите флажок, соответствующий стране/региону, где вы находитесь, затем нажмите кнопку Next.

11. На странице Configure Cryptography (настройка криптографии) примите установленные по умолчанию значения подписи и ключей шифрования, затем нажмите кнопку Next.

12. Проверьте сведения о параметрах настройки, затем нажмите кнопку Install.

Этап 10.Проверка надлежащего функционирования настроенной расширенной тестовой среды ADCS

Проверять правильность выполнения приведенных выше шагов по настройке можно по мере их выполнения.

После завершения установки необходимо убедиться в правильности работы расширенной тестовой среды.

Проверка надлежащего функционирования настроенной расширенной тестовой среды ADCS

1. В центре сертификации настройте несколько шаблонов сертификатов для выполнения автоматических заявок на сертификаты для компьютера LH_CLI1 и пользователей этого компьютера.

2. После публикации информации о новых сертификатах в службу ADDS откройте командную строку на клиентском компьютере и введите следующую строку, чтобы начать автоматическую заявку на сертификат:

certutil -pulse

3. На клиентском компьютере с помощью оснастки Certificates проверьте правильность выпуска сертификатов для пользователя и компьютера.

4. В центре сертификации с помощью оснастки Certification Authority просмотрите и отзовите один или несколько выпущенных сертификатов, щелкнув команду Certification Authority (Computer)/CA name/Issued Certificates и выбрав сертификат, который необходимо отозвать. В меню Action, выберите пункт All Tasks, затем выберите команду Revoke Certificate. Выберите причину отзыва сертификата и нажмите кнопку Yes.

5. В оснастке Certification Authority опубликуйте новый список CRL, щелкнув команду Certification Authority (Computer)/CA name/Revoked Certificates в дереве консоли. В меню Action выберите пункт All Tasks, затем выберите команду Publish.

6. Удалите все расширения точки распределения CRL из выпускающего центра сертификации, открыв оснастку Certification Authority и выбрав центр сертификации. В меню Action выберите пункт Properties.

7. На вкладке Extensions проверьте, чтобы для настройки Select extension было установлено значение CRL Distribution Point (CDP).

8. Выберите любые точки распределения CRL в списке, нажмите кнопку Remove, затем нажмите кнопку OK.

9. Выключите или перезапустите службу ADCS.

10. Повторите приведенные выше шаги 1 и 2, затем проверьте, чтобы клиенты по-прежнему могли получить данные об отзыве. Для этого используйте оснастку Certificates, чтобы экспортировать сертификат в файл (*.cer). Введите в командной строке следующий текст:

certutil -url <exportedcert.cer>

11. В появившемся диалоговом окне Verify and Retrieve выберите команду From CDP и From OCSP и сравните результаты.

 

 


   
Понравилась эта статья?
Добавляй её в социальные закладки!
Помни, что именно от тебя зависит что будет на страницах интернета завтра!
Не дай рекламе завоевать интернет, цени бесплатное и качественное !!!
Печать

   [ Сообщить об ошибке ]

Всего проголосовало: {allratingValue}
Средний рейтинг {ratingValue} из 5


    Не задан

----------------------<cut>----------------------
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация 
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.