Первый социально-информационный > Настройка программ в корпоративных сетях > Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server 2008Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server 200804-05-2024, 11:03 . Разместил(а): vadimkrd | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server 2008 Корпорация Майкрософт Дата опубликования: апрель 2007 г. Автор: Роланд Винклер (Roland Winkler) Редактор: Дебби Свонсон (Debbie Swanson) Краткий обзор В настоящем пошаговом руководстве описываются действия, необходимые для установки и базовой настройки службы сертификации Active Directory® (ADCS) в тестовой среде. Служба ADCS в ОС WindowsServer®2008 обеспечивает настраиваемые службы для создания и управления сертификатами открытых ключей, используемых в системах защиты программного обеспечения с помощью технологий открытых ключей.
Сведения об авторских правах Настоящий документ относится к предварительной версии программного продукта, который может в значительной степени измениться до выхода заключительной версии, и содержит конфиденциальную информацию, являющуюся собственностью корпорации Майкрософт. Данная информация предоставляется на условиях соглашения о неразглашении между стороной, которой она предоставляется, и корпорацией Майкрософт. Документ предназначен исключительно для информационных целей, и корпорация Майкрософт не предоставляет в настоящем документе каких-либо явных или подразумеваемых гарантий. Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-узлы, могут быть изменены без предварительного уведомления. Весь риск использования документа или содержащихся в нем результатов возлагается на потребителя. За исключением специально оговоренных случаев, все приведенные в документе примеры компаний, организаций, продуктов, доменных имен, адресов электронной почты, логотипов, людей, мест и событий являются вымышленными и не предполагают какой-либо связи с реально существующими компаниями, организациями, продуктами, доменными именами, адресами электронной почты логотипами, людьми, местами или событиями. Соблюдение всех применимых авторских прав является обязанностью пользователя. Воспроизведение, сохранение или размещение любых частей документа в информационно-поисковых системах, а также передача этих частей в любой форме и любым способом, электронным, механическим, путем фотокопирования, записи или иными методами, без официального письменного уведомления корпорации Майкрософт запрещается.
На материалы, содержащиеся в документе, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Документ не дает никаких разрешений на использование патентов, товарных знаков, авторских прав или иных форм интеллектуальной собственности, за исключением случаев, когда эти права предоставляются явным образом на основании письменного лицензионного соглашения корпорации Майкрософт.
© 2007 Корпорация Майкрософт. Все права защищены.
Microsoft, Active Directory, MS-DOS, Visual Basic, Visual Studio, Windows, WindowsNT и Windows Server являются либо зарегистрированными торговыми марками, либо торговыми марками корпорации Майкрософт в США и/или в других странах.
Все другие товарные знаки являются собственностью их соответствующих владельцев.
Содержание Пошаговое руководство по настройке службы сертификации Active Directory в ОС Windows Server... 7 Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP 13 Этап 5. Проверка надлежащего функционирования настроенной тестовой среды ADCS........ 17 Этап 2. Настройка подчиненного выпускающего центра сертификации предприятия............. 20 Этап 6. Назначение шаблона подписи протокола OCSP центру сертификации...................... 24 Этап 7. Подача заявки на сертификат подписи отклика протокола OCSP.............................. 24 Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройств....... 26 Этап 10. Проверка надлежащего функционирования настроенной расширенной тестовой среды ADCS 28
В настоящем пошаговом руководстве описываются действия, необходимые для установки и базовой настройки службы сертификации Active Directory® (ADCS) в тестовой среде. Служба ADCS в ОС WindowsServer®2008 обеспечивает настраиваемые службы для создания и управления сертификатами открытых ключей, используемых в системах защиты программного обеспечения с помощью технологий открытых ключей. Настоящий документ включает следующее: · обзор функций службы ADCS; · требования для использования службы ADCS; · процедуры базовой настройки тестовой среды для испытания службы ADCS на минимальном количестве компьютеров; · процедуры расширенной настройки тестовой среды для испытания службы ADCS на большем количестве компьютеров для более точного моделирования реальных конфигураций. Обзор технологии ADCSС помощью параметра Active Directory Certificate Services (служба сертификации Active Directory) в мастере добавления ролей можно установить следующие компоненты службы ADCS. · Центры сертификации (Certification authorities, CA). Корневые и подчиненные центры сертификации используются для выдачи сертификатов пользователям, компьютерам и службам и для управления действительностью этих сертификатов. · Подача заявок в центр сертификации через Интернет (CA Web enrollment). Подача заявок через Интернет позволяет пользователям связываться с центром сертификации с помощью обозревателя Интернета для выполнения следующих действий: · запроса сертификатов и просмотра эти запросов; · получения списков отзыва сертификатов (Retrieve certificate revocation lists, CRL); · подачи заявок на сертификаты смарт-карт. · Служба сетевого ответчика. Служба сетевого ответчика (Online Responder) реализует протокол OCSP (Online Certificate Status Protocol — протокол сетевого состояния сертификата) путем декодирования запросов состояния отзыва определенных сертификатов, оценки состояния этих сертификатов, а также возврата подписанного ответа, содержащего запрошенную информацию о состоянии сертификата. Внимание! Сетевые ответчики могут использоваться в качестве альтернативы или расширения списков отзыва сертификатов (CRL), чтобы предоставлять клиентам данных об отзыве сертификатов. Сетевые ответчики корпорации Майкрософт основаны на спецификации RFC2560 протокола OCSP и соответствуют ей. Дополнительные сведения о спецификации RFC2560 см. на веб-узле группы IETF (https://go.microsoft.com/fwlink/?LinkID=67082) (на английском языке). · Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service, NDES). Служба подачи заявок на регистрацию сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам получать сертификаты на основе протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат) компании Cisco Systems Inc. Примечание Протокол SCEP разработан для поддержки защищенной, масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих центров сертификации. Протокол поддерживает распределение открытых ключей центров сертификации и центров регистрации, заявки на сертификаты, отзыв сертификатов, запросы сертификатов и запросы отзыва сертификатов. Требования для использования службы ADCSЦентры сертификации могут быть настроены на серверах с различными операционными системами, включая ОС Windows®2000 Server, WindowsServer®2003 и Windows Server2008. Однако не все операционные системы поддерживают все функции или требования проекта, и для создания оптимального проекта требуется тщательное планирование и испытание в тестовой среде до развертывания службы ADCS в рабочей среде. Хотя службу ADCS можно развернуть всего на одном сервере для одного центра сертификации, во многих схемах развертывания применяются несколько серверов, настроенных как корневые, определяющие политики и выдающие центры сертификации, а также другие серверы, настроенные как сетевые ответчики. Примечание Вариант установки Server Core операционной системы Windows Server2008, а также операционная система Windows Server2008 для систем на основе процессора Itanium включают ограниченный набор ролей сервера. В следующей таблице перечислены компоненты службы ADCS, которые можно настроить в различных выпусках ОС Windows Server2008.
Следующие функции доступны на серверах с ОС Windows Server2008, которые были настроены в качестве центров сертификации.
Сценарий базового тестирования службы ADCSВ следующих разделах описывается настройка тестовой среды для начала оценки службы ADCS. Процедуры, изложенные в настоящем руководстве, рекомендуется выполнять в тестовой среде. Пошаговые руководства не всегда подходят для развертывания компонентов ОС Windows Server в отсутствие дополнительной документации по развертыванию; любое такое руководство следует рассматривать как отдельный документ и применять с осторожностью. Этапы настройки базовой тестовой средыНачать тестирование многих функций службы ADCS можно в тестовой среде, состоящей всего из двух серверов под управлением ОС Windows Server2008 и одного клиентского компьютера под управлением ОС Windows Vista®. В настоящем руководстве используются следующие имена компьютеров. · LH_DC1: этот компьютер будет контроллером домена в тестовой среде. · LH_PKI1: этот компьютер будет сервером для корневого центра сертификации предприятия в тестовой среде. Этот центр сертификации будет выдавать клиентские сертификаты для сетевого ответчика и клиентских компьютеров. Примечание Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах под управлением ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter. · LH_CLI1: этот клиентский компьютер под управлением ОС Windows Vista будет автоматически подавать заявки на сертификаты от компьютера LH_PKI1 и проверять состояние сертификатов от компьютера LH_ PKI1. Чтобы настроить базовую тестовую среду для службы ADCS, необходимо выполнить следующие обязательные операции: · настроить контроллер домена на компьютере LH_DC1 для домена contoso.com, включая несколько подразделений (OU), содержащих одного или нескольких пользователей для клиентского компьютера, клиентские компьютеры в домене, а также для серверов, на которых размещены центры сертификации и сетевые ответчики; · установить ОС Windows Server2008 на компьютер LH_PKI1 и присоединить компьютер LH_PKI1 к домену; · Установить ОС Windows Vista на компьютер LH_CLI1 и присоединить компьютер LH_CLI1 к домену contoso.com. После выполнения эти предварительных процедур по настройке можно начать выполнение следующих этапов. Этап 1. Настройка корневого центра сертификации предприятия. Этап 2. Установка сетевого ответчика. Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP. Этап 4. Создание конфигурации отзыва. Этап 5. Проверка надлежащего функционирования настроенной тестовой среды ADCS. Этап 1. Настройка корневого центра сертификации предприятияКорневой центр сертификации предприятия является основой доверия в базовой тестовой среде. Он будет использоваться для выдачи сертификатов сетевому ответчику и клиентскому компьютеру, а также для публикации информации сертификатов в доменные службы Active Directory (ADDS). Примечание Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах с ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter. Настройка корневого центра сертификации предприятия
Этап 2. Установка сетевого ответчикаСетевой ответчик можно установить на любой компьютер с ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter. Данные об отзыве сертификатов могут поступать от центра сертификации на компьютере под управлением ОС Windows Server2008, центра сертификации на компьютере под управлением ОС Windows Server2003 или от центра сертификации, выпущенного не корпорацией Майкрософт. Примечание На этом компьютере также должна быть установлена служба IIS, прежде чем можно будет установить сетевой ответчик. Установка сетевого ответчика
Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSPНастройка центра сертификации для поддержки служб сетевых ответчиков включает настройку шаблонов сертификатов и свойств выдачи для сертификатов подписи отклика протокола OCSP, а также выполнение дополнительных операций с центром сертификации для поддержки сетевого ответчика и выдачи сертификатов. Примечание Эти операции, связанные с шаблонами сертификатов и автоматической подачей заявок, могут также использоваться для настройки сертификатов, которые требуется выдать клиентскому компьютеру или пользователям клиентского компьютера. Настройка шаблонов сертификатов для тестовой среды
Чтобы настроить центр сертификации для поддержки сетевых ответчиков, необходимо использовать оснастку Certification Authority (центр сертификации) и выполнить две важные операции: · добавить расположение сетевого ответчика в расширение доступа к информации о центрах сертификации для выпущенных сертификатов; · включить шаблоны сертификатов, настроенные в предыдущей процедуре для центра сертификации. Настройка центра сертификации для поддержки службы сетевых ответчиков
Этап 4. Создание конфигурации отзываКонфигурация отзыва включает все настройки, необходимые для ответа на запросы о состоянии сертификатов, выпущенных с помощью определенного ключа центра сертификации. Эти настройки конфигурации включают сертификат центра сертификации, сертификат подписи сетевого ответчика, а также расположения, в которые клиенты должны направлять свои запросы о состоянии. Внимание! Прежде чем создавать конфигурацию отзыва, убедитесь в том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и настройте разрешения сертификата подписи, чтобы разрешить сетевому ответчику использовать его. Проверка правильности настройки сертификата подписи
Для создания конфигурации отзыва необходимо выполнить следующие операции: · определить сертификат центра сертификации, поддерживающего сетевой ответчик; · определить точку распределения списка отзыва сертификатов CRL для центра сертификации; · выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва; · выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком. Создание конфигурации отзыва
Этап 5. Проверка надлежащего функционирования настроенной тестовой среды ADCSПроверять правильность выполнения приведенных выше шагов по настройке можно по мере их выполнения. После завершения установки необходимо проверить надлежащее функционирование базовой тестовой среды путем подтверждения возможности выполнения автоматических заявок на сертификаты, отзыва сертификатов, предоставления точных данных об отзыве через сетевой ответчик. Проверка надлежащего функционирования настроенной тестовой среды ADCS
Сценарий расширенного тестирования службы ADCSВ следующих разделах описывается настройка тестовой среды для оценки большего количества функций службы ADCS, чем в базовой тестовой среде. Этапы настройки расширенной тестовой средыДля испытания дополнительных функций службы ADCS в тестовой среде требуются пять компьютеров под управлением ОС Windows Server2008 и один клиентский компьютер под управлением ОС Windows Vista. В настоящем руководстве используются следующие имена компьютеров: · LH_DC1: этот компьютер будет контроллером домена в тестовой среде; · LH_CA_ROOT1: этот компьютер будет сервером для изолированного корневого центра сертификации в тестовой среде; · LH_CA_ISSUE1: Этот центр сертификации предприятия будет подчиненным центра LH_CA_ROOT1 и будет выдавать клиентские сертификаты для сетевого ответчика и клиентских компьютеров. Примечание Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах под управлением ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter. · LH_ORS1: на этом сервере будет размещаться сетевой ответчик; · LH_NDES: на этом сервере будет размещаться служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service, NDES), которая позволяет выдавать и управлять сертификатами маршрутизаторов и других сетевых устройств; · LH_CLI1: этот клиентский компьютер с ОС Windows Vista будет автоматически подавать заявки на сертификаты от компьютера LH_CA_ISSUE1 и проверять состояние сертификатов от компьютера LH_ORS1. Чтобы настроить расширенную тестовую среду для службы ADCS, необходимо выполнить следующие обязательные операции. 1. Настроить контроллер домена на компьютере LH_DC1 для домена contoso.com, включая несколько подразделений (OU), содержащих одного или несколько пользователей для компьютера LH_CLI1, клиентские компьютеры в домене, а также для серверов, на которых размещены центры сертификации и сетевые ответчики. 2. Установить ОС Windows Server2008 на других серверах в тестовой конфигурации и присоединить их к домену. 3. Установить ОС Windows Vista на компьютер LH_CLI1 и присоединить компьютер LH_CLI1 к домену contoso.com. После выполнения эти предварительных процедур по настройке можно начать выполнение следующих этапов. Этап 1. Настройка изолированного корневого центра сертификации. Этап 2. Настройка подчиненного выпускающего центра сертификации. Этап 3. Установка и настройка сетевого ответчика. Этап 6. Назначение шаблона подписи протокола OCSP центру сертификации. Этап 7. Подача заявки на сертификат подписи отклика протокола OCSP. Этап 8. Создание конфигурации отзыва. Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройств. Этап 10. Проверка надлежащего функционирования настроенной расширенной тестовой среды AD CS. Этап 1. Настройка изолированного корневого центра сертификацииИзолированный корневой центр сертификации является основой доверия в базовой тестовой среде. Он будет использоваться для выпуска сертификатов подчиненному выпускающему центру сертификации. Так как это критически важно для безопасности инфраструктуры открытых ключей (public key infrastructure, PKI), во многих инфраструктурах PKI этот центр сертификации подключается к сети, только когда необходимо выпустить сертификаты подчиненным центрам сертификации. Настройка изолированного корневого центра сертификации
Этап 2. Настройка подчиненного выпускающего центра сертификации предприятияВ большинстве организаций используется хотя бы один подчиненный центр сертификации для защиты корневого центра сертификации от ненужного риска. Центр сертификации предприятия также позволяет использовать шаблоны сертификатов и использовать службу ADDS для выполнения заявок и публикации сертификатов. Настройка подчиненного выпускающего центра сертификации предприятия
Этап 3. Установка и настройка сетевого ответчикаСетевой ответчик можно установить на любой компьютер с ОС Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter. Данные об отзыве сертификатов могут поступать от центра сертификации на компьютере с ОС Windows Server2008, центра сертификации на компьютере с ОС Windows Server2003 или от центра сертификации, выпущенного не корпорацией Майкрософт. Обычно сетевой ответчик не устанавливают на тот же компьютер, на котором установлен центр сертификации. Примечание На этом компьютере также должна быть установлена служба IIS, прежде чем можно будет установить сетевой ответчик. В процессе установки создается виртуальный каталог с именем OCSP в службе IIS, а также регистрируется прокси-сервер Интернета в расширении Internet Server Application Programming Interface (ISAPI). Установка службы сетевого ответчика
Этап 4. Настройка выпускающего центра сертификации для выдачи сертификатов подписи отклика протокола OCSPКак и любой шаблон сертификата, шаблон подписи отклика протокола OCSP необходимо настроить, предоставив следующие разрешения заявок: Read (чтение), Enroll (заявка), Autoenroll (автоматическая заявка) и Write (запись), прежде чем на основании шаблона могут быть выпущены какие-либо сертификаты. Настройка шаблонов сертификатов для тестовой среды
Этап 5. Настройка расширения доступа к информации о центрах сертификации для поддержки сетевого ответчикаНеобходимо настроить центры сертификации, включив в них URL-адрес сетевого ответчика как часть расширения доступа к информации о центре сертификации выпущенного сертификата. Этот URL-адрес используется клиентом сетевого ответчика для проверки состояния сертификата. Настройка расширения доступа к информации о центрах сертификации для поддержки сетевого ответчика
Этап 6. Назначение шаблона подписи протокола OCSP центру сертификацииПосле завершения настройки шаблонов необходимо настроить центр сертификации для выпуска соответствующего шаблона. Настройка центра сертификации для выпуска сертификатов на основе вновь созданного шаблона подписи отклика протокола OCSP
Этап 7. Подача заявки на сертификат подписи отклика протокола OCSPЗаявка на сертификат может выполняться не сразу. Поэтому, прежде чем переходить к следующему этапу, убедитесь в том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и проверьте, чтобы разрешения сертификата подписи позволяли сетевому ответчику использовать его. Проверка правильности настройки сертификата подписи
Этап 8. Создание конфигурации отзываДля создания конфигурации отзыва необходимо выполнить следующие операции: · определить сертификат центра сертификации, поддерживающего сетевой ответчик; · определить точку распределения списка отзыва сертификатов CRL для центра сертификации; · выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва; · выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком. Создание конфигурации отзыва
Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройствСлужба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service) позволяет программному обеспечению на маршрутизаторах и других сетевых устройствах, работающих без учетных данных в домене, получать сертификаты. Служба подачи заявок на регистрацию сетевых устройств работает как фильтр ISAPI в службе IIS, который выполняет следующие функции: · генерирует и предоставляет одноразовые пароли заявок администраторам; · обрабатывает запросы заявок протокола SCEP; · извлекает находящиеся в ожидании запросы из центра сертификации. Протокол SCEP разработан в качестве расширения существующих протоколов HTTP, PKCS #10, PKCS#7, RFC2459 и прочих стандартов для обеспечения выполнения центрами сертификации заявок на сертификаты сетевых устройств и приложений. Протокол SCEP определен и документально представлен на веб-узле группы IETF (https://go.microsoft.com/fwlink/?LinkId=71055) (на английском языке). Прежде чем начинать выполнение процедуры, создайте пользователя ndes_user1 и добавьте этого пользователя в группу пользователей службы IIS. Затем воспользуйтесь оснасткой Certificate Templates для настройки разрешений Read и Enroll для этого пользователя в шаблоне сертификата IPSEC (автономный запрос). Установка и настройка службы подачи заявок на регистрацию сетевых устройств
Этап 10.Проверка надлежащего функционирования настроенной расширенной тестовой среды ADCSПроверять правильность выполнения приведенных выше шагов по настройке можно по мере их выполнения. После завершения установки необходимо убедиться в правильности работы расширенной тестовой среды. Проверка надлежащего функционирования настроенной расширенной тестовой среды ADCS
|