Пошаговое руководство по настройке службы сертификации
Active Directory в ОС Windows Server 2008
Корпорация Майкрософт
Дата опубликования: апрель 2007 г.
Автор: Роланд Винклер (Roland Winkler)
Редактор: Дебби Свонсон (Debbie Swanson)
Краткий обзор
В настоящем пошаговом руководстве описываются действия,
необходимые для установки и базовой настройки службы сертификации Active
Directory® (ADCS) в тестовой среде.
Служба ADCS в ОС WindowsServer®2008
обеспечивает настраиваемые службы для создания и управления сертификатами
открытых ключей, используемых в системах защиты программного обеспечения с
помощью технологий открытых ключей.
Сведения об авторских правах
Настоящий документ относится к
предварительной версии программного продукта, который может в значительной
степени измениться до выхода заключительной версии, и содержит конфиденциальную
информацию, являющуюся собственностью корпорации Майкрософт. Данная информация предоставляется на условиях
соглашения о неразглашении между стороной, которой она предоставляется, и
корпорацией Майкрософт. Документ предназначен исключительно для информационных
целей, и корпорация Майкрософт не предоставляет в настоящем документе
каких-либо явных или подразумеваемых гарантий.
Сведения, приведенные в документе, включая URL-адреса и иные ссылки на
веб-узлы, могут быть изменены без предварительного уведомления. Весь риск использования документа или
содержащихся в нем результатов возлагается на потребителя. За исключением специально оговоренных
случаев, все приведенные в документе примеры компаний, организаций, продуктов,
доменных имен, адресов электронной почты, логотипов, людей, мест и событий
являются вымышленными и не предполагают какой-либо связи с реально
существующими компаниями, организациями, продуктами, доменными именами,
адресами электронной почты логотипами, людьми, местами или событиями. Соблюдение всех применимых авторских прав
является обязанностью пользователя.
Воспроизведение, сохранение или размещение любых частей документа в
информационно-поисковых системах, а также передача этих частей в любой форме и
любым способом, электронным, механическим, путем фотокопирования, записи или
иными методами, без официального письменного уведомления корпорации Майкрософт
запрещается.
На материалы, содержащиеся в
документе, может распространяться действие патентов, заявок на патенты,
товарных знаков или других прав на интеллектуальную собственность корпорации
Майкрософт. Документ не дает никаких
разрешений на использование патентов, товарных знаков, авторских прав или иных
форм интеллектуальной собственности, за исключением случаев, когда эти права
предоставляются явным образом на основании письменного лицензионного соглашения
корпорации Майкрософт.
© 2007 Корпорация
Майкрософт. Все права защищены.
Microsoft, Active Directory, MS-DOS, Visual Basic, Visual Studio, Windows,
WindowsNT и Windows Server являются либо зарегистрированными торговыми
марками, либо торговыми марками корпорации Майкрософт в США и/или в других
странах.
Все другие товарные знаки являются собственностью их соответствующих
владельцев.
В настоящем пошаговом руководстве описываются действия,
необходимые для установки и базовой настройки службы сертификации Active
Directory® (ADCS) в тестовой среде.
Служба ADCS в ОС WindowsServer®2008
обеспечивает настраиваемые службы для создания и управления сертификатами
открытых ключей, используемых в системах защиты программного обеспечения с
помощью технологий открытых ключей.
Настоящий документ включает следующее:
· обзор
функций службы ADCS;
· требования
для использования службы ADCS;
· процедуры
базовой настройки тестовой среды для испытания службы ADCS на минимальном
количестве компьютеров;
· процедуры
расширенной настройки тестовой среды для испытания службы ADCS на большем
количестве компьютеров для более точного моделирования реальных конфигураций.
С помощью параметра Active Directory
Certificate Services (служба сертификации Active Directory) в
мастере добавления ролей можно установить следующие компоненты службы
ADCS.
· Центры сертификации (Certification authorities, CA). Корневые и подчиненные
центры сертификации используются для выдачи сертификатов пользователям,
компьютерам и службам и для управления действительностью этих
сертификатов.
· Подача заявок в центр сертификации через Интернет (CA Web enrollment).
Подача заявок через Интернет позволяет пользователям связываться с центром
сертификации с помощью обозревателя Интернета для выполнения следующих
действий:
· запроса
сертификатов и просмотра эти запросов;
· получения списков отзыва сертификатов (Retrieve
certificate revocation lists, CRL);
· подачи
заявок на сертификаты смарт-карт.
· Служба сетевого ответчика. Служба сетевого ответчика
(Online Responder) реализует протокол OCSP (Online Certificate Status Protocol
— протокол сетевого состояния сертификата) путем декодирования запросов
состояния отзыва определенных сертификатов, оценки состояния этих сертификатов,
а также возврата подписанного ответа, содержащего запрошенную информацию о
состоянии сертификата.
 Внимание!
Сетевые ответчики могут использоваться в качестве
альтернативы или расширения списков отзыва сертификатов (CRL), чтобы
предоставлять клиентам данных об отзыве сертификатов. Сетевые ответчики
корпорации Майкрософт основаны на спецификации RFC2560 протокола OCSP и
соответствуют ей. Дополнительные сведения о спецификации RFC2560 см. на
веб-узле группы IETF (https://go.microsoft.com/fwlink/?LinkID=67082)
(на английском языке).
· Служба подачи заявок на регистрацию сетевых устройств (Network Device
Enrollment Service, NDES). Служба подачи заявок на регистрацию
сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам
получать сертификаты на основе протокола SCEP (Simple Certificate Enrollment
Protocol — простой протокол подачи заявки на сертификат) компании Cisco Systems
Inc.
 Примечание
Протокол SCEP разработан для поддержки защищенной,
масштабируемой выдачи сертификатов сетевым устройствам с помощью существующих
центров сертификации. Протокол поддерживает распределение открытых ключей
центров сертификации и центров регистрации, заявки на сертификаты, отзыв
сертификатов, запросы сертификатов и запросы отзыва сертификатов.
Центры сертификации могут быть настроены на серверах с
различными операционными системами, включая ОС Windows®2000 Server,
WindowsServer®2003 и Windows Server2008. Однако не все
операционные системы поддерживают все функции или требования проекта, и для
создания оптимального проекта требуется тщательное планирование и испытание в
тестовой среде до развертывания службы ADCS в рабочей среде. Хотя службу
ADCS можно развернуть всего на одном сервере для одного центра
сертификации, во многих схемах развертывания применяются несколько серверов,
настроенных как корневые, определяющие политики и выдающие центры сертификации,
а также другие серверы, настроенные как сетевые ответчики.
Примечание
Вариант установки Server Core операционной системы
Windows Server2008, а также операционная система Windows Server2008
для систем на основе процессора Itanium включают ограниченный набор ролей
сервера.
В следующей таблице перечислены компоненты службы
ADCS, которые можно настроить в различных выпусках ОС Windows
Server2008.
|
Компоненты |
Web |
Standard |
Enterprise |
Datacenter |
|
Центр сертификации (CA) |
Нет |
Да |
Да |
Да |
|
Служба подачи заявок на регистрацию сетевых устройств
(Network Device Enrollment Service, NDES) |
Нет |
Нет |
Да |
Да |
|
Служба сетевого ответчика (Online Responder) |
Нет |
Нет |
Да |
Да |
Следующие функции доступны на серверах с ОС Windows
Server2008, которые были настроены в качестве центров сертификации.
|
Функции
службы ADCS |
Web |
Standard |
Enterprise |
Datacenter |
|
Шаблоны сертификатов версии2 и версии3 |
Нет |
Нет |
Да |
Да |
|
Архивирование ключей |
Нет |
Нет |
Да |
Да |
|
Разделение ролей |
Нет |
Нет |
Да |
Да |
|
Ограничения диспетчера сертификатов |
Нет |
Нет |
Да |
Да |
|
Ограничения делегированного агента подачи заявок |
Нет |
Нет |
Да |
Да |
В следующих разделах описывается настройка тестовой среды
для начала оценки службы ADCS.
Процедуры, изложенные в настоящем руководстве,
рекомендуется выполнять в тестовой среде. Пошаговые руководства не всегда
подходят для развертывания компонентов ОС Windows Server в отсутствие
дополнительной документации по развертыванию; любое такое руководство следует
рассматривать как отдельный документ и применять с осторожностью.
Начать тестирование многих функций службы ADCS
можно в тестовой среде, состоящей всего из двух серверов под управлением ОС
Windows Server2008 и одного клиентского компьютера под управлением ОС
Windows Vista®. В настоящем руководстве используются следующие имена
компьютеров.
· LH_DC1:
этот компьютер будет контроллером домена в тестовой среде.
· LH_PKI1:
этот компьютер будет сервером для корневого центра сертификации предприятия в
тестовой среде. Этот центр сертификации будет выдавать клиентские сертификаты
для сетевого ответчика и клиентских компьютеров.
Примечание
Центры сертификации предприятия и сетевые ответчики могут
быть установлены только на серверах под управлением ОС Windows Server2008
Enterprise или ОС Windows Server2008 Datacenter.
· LH_CLI1:
этот клиентский компьютер под управлением ОС Windows Vista будет автоматически
подавать заявки на сертификаты от компьютера LH_PKI1 и проверять состояние
сертификатов от компьютера LH_ PKI1.
Чтобы настроить базовую тестовую среду для службы
ADCS, необходимо выполнить следующие обязательные операции:
· настроить
контроллер домена на компьютере LH_DC1 для домена contoso.com, включая
несколько подразделений (OU), содержащих одного или нескольких пользователей
для клиентского компьютера, клиентские компьютеры в домене, а также для
серверов, на которых размещены центры сертификации и сетевые ответчики;
· установить
ОС Windows Server2008 на компьютер LH_PKI1 и присоединить компьютер
LH_PKI1 к домену;
· Установить
ОС Windows Vista на компьютер LH_CLI1 и присоединить компьютер LH_CLI1 к домену
contoso.com.
После выполнения эти предварительных процедур по
настройке можно начать выполнение следующих этапов.
Этап 1. Настройка корневого центра
сертификации предприятия.
Этап 2. Установка сетевого ответчика.
Этап 3. Настройка
центра сертификации для выдачи сертификатов подписи отклика протокола OCSP.
Этап 4. Создание конфигурации отзыва.
Этап 5. Проверка
надлежащего функционирования настроенной тестовой среды ADCS.
Корневой центр сертификации предприятия является основой
доверия в базовой тестовой среде. Он будет использоваться для выдачи
сертификатов сетевому ответчику и клиентскому компьютеру, а также для
публикации информации сертификатов в доменные службы Active Directory
(ADDS).
Примечание
Центры сертификации предприятия и сетевые ответчики могут
быть установлены только на серверах с ОС Windows Server2008 Enterprise
или ОС Windows Server2008 Datacenter.
 Настройка корневого центра сертификации
предприятия
|
1. Войдите в систему компьютера LH_PKI1 в
качестве администратора домена.
2. Нажмите кнопку Start (пуск), выберите Administrative
tools (средства администрирования),
затем Server Manager (диспетчер
сервера).
3. В разделе Roles Summary (сводка ролей) щелкните пункт Add Roles (добавить роли).
4. На странице Select Server
Roles (выбор ролей сервера) установите флажок Active Directory
Certificate Services (служба сертификации Active Directory).
Нажмите кнопку Next два раза.
5. На странице Select Role
Services (выбор служб ролей) установите флажок Certification
Authority (центр сертификации) и нажмите кнопку Next;
6. На странице Specify Setup
Type (определение типа установки) выберите Enterprise (предприятие),
затем нажмите кнопку Next.
7. На странице Specify CA Type (определение типа центра сертификации) выберите Root CA (корневой центр сертификации), затем нажмите кнопку Next.
8. На страницах Set Up Private
Key (настройка открытого ключа) и Configure
Cryptography for CA (настройка криптографии для центра
сертификации) можно настроить дополнительные параметры, включая поставщиков
службы криптографии. Однако для целей базового тестирования примите значение
по умолчанию, нажав кнопку Next два раза.
9. В поле Common name for
this CA (общее имя этого центра сертификации) введите общее имя
центра сертификации, RootCA1,
затем нажмите кнопку Next.
10. На странице Set the
Certificate Validity Period (настройка срока действия
сертификата) примите срок действия по умолчанию для корневого центра
сертификации, затем нажмите кнопку Next.
11. На странице Configure
Certificate Database (настройка базы данных сертификатов) примите
значения по умолчанию или установите другие места хранения базы данных
сертификатов и журнала базы данных сертификатов, затем нажмите кнопку Next.
12. После проверки информации на странице Confirm
Installation Options (подтверждение параметров установки)
нажмите кнопку Install (установить).
13. Проверьте
информацию в окне подтверждения, чтобы убедиться в успешном завершении
установки. |
Сетевой ответчик можно установить на любой компьютер с ОС
Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter.
Данные об отзыве сертификатов могут поступать от центра сертификации на
компьютере под управлением ОС Windows Server2008, центра сертификации на
компьютере под управлением ОС Windows Server2003 или от центра
сертификации, выпущенного не корпорацией Майкрософт.
Примечание
На этом компьютере также должна быть установлена служба
IIS, прежде чем можно будет установить сетевой ответчик.
Установка сетевого ответчика
|
1. Войдите в систему компьютера LH_PKI1 в качестве
администратора домена.
2. Нажмите кнопку
Start, выберите Administrative
tools, затем Server Manager.
3. Нажмите кнопку Manage Roles (управление ролями). В разделе Active
Directory Certificate Services, щелкните Add
role services (добавить службы ролей).
4. На странице Select Role Services (выбор
служб ролей) установите флажок Online
Responder (сетевой ответчик).
Появится запрос об установке службы IIS и службы
активации Windows.
5. Выберите Add Required Role
Services (добавить требуемые службы ролей), затем нажмите
кнопку Next три раза.
6. На странице Confirm
Installation Options (подтверждение параметров установки)
нажмите кнопку Install (установить).
7. После
завершения установки проверьте страницу состояния, чтобы убедиться в успешном
завершении установки. |
Настройка центра сертификации для поддержки служб сетевых
ответчиков включает настройку шаблонов сертификатов и свойств выдачи для
сертификатов подписи отклика протокола OCSP, а также выполнение дополнительных
операций с центром сертификации для поддержки сетевого ответчика и выдачи
сертификатов.
Примечание
Эти операции, связанные с шаблонами сертификатов и
автоматической подачей заявок, могут также использоваться для настройки
сертификатов, которые требуется выдать клиентскому компьютеру или пользователям
клиентского компьютера.
Настройка шаблонов сертификатов для
тестовой среды
|
1. Войдите в систему компьютера LH_PKI1 в
качестве администратора центра сертификации.
2. Откройте оснастку Certificate Templates
(шаблоны сертификатов).
3. Правой кнопкой мыши щелкните шаблон OCSP
Response Signing (подпись отклика протокола OCSP), затем
выберите команду Duplicate Template (скопировать
шаблон).
4. Введите новое имя для копии шаблона,
например OCSP Response Signing_2.
5. Правой кнопкой мыши щелкните шаблон OCSP
Response Signing_2, затем выберите команду Properties (свойства).
6. Перейдите на вкладку Security (безопасность). В области Group
or user name (имя группы или пользователя) нажмите кнопку Add (добавить), затем введите имя или найдите расположение и выберите компьютер,
являющийся сервером для службы сетевого ответчика.
7. Выберите имя компьютера, LH_PKI1,
и в диалоговом окне Permissions (разрешения) установите
флажки Read (чтение) и Autoenroll (автоматическая
заявка).
8. Пока
открыта оснастка Certificate Templates, можно выполнить настройку шаблонов
сертификатов для пользователей и компьютеров путем замены нужных сертификатов
в шаге 3 и повторения шагов с 4 по 7 для настройки разрешений для компьютера
LH_CLI1 и тестовых учетных записей пользователей. |
Чтобы настроить центр сертификации для поддержки сетевых
ответчиков, необходимо использовать оснастку Certification Authority (центр
сертификации) и выполнить две важные операции:
· добавить
расположение сетевого ответчика в расширение доступа к информации о центрах
сертификации для выпущенных сертификатов;
· включить
шаблоны сертификатов, настроенные в предыдущей процедуре для центра
сертификации.
Настройка центра сертификации для
поддержки службы сетевых ответчиков
|
1. Откройте оснастку Certification Authority
(центр сертификации).
2. В дереве консоли выберите имя центра
сертификации.
3. В меню Action (действие) выберите пункт Properties.
4. Откройте вкладку Extensions
(расширения). В списке Select
extension (выбор расширения) выберите пункт Authority
Information Access (AIA) (доступ к информации о центре сертификации).
5. Установите флажки Include
in the AIA extension of issue certificates (включать в расширение AIA выпущенных сертификатов) и Include
in the online certificate status protocol (OCSP) extension (включать в
расширение
протокола OCSP).
6. Определите расположения, из которых
пользователи могут получать данные об отзыве сертификатов; в этой настройке
используйте расположение https://LH_PKI1/ocsp.
7. В дереве консоли оснастки Certification
Authority правой кнопкой мыши щелкните запись Certificate
Templates (шаблоны сертификатов), затем выберите пункт New
Certificate Templates to Issue (новые шаблоны сертификатов для
выпуска).
8. В списке Enable
Certificate Templates (включить шаблоны сертификатов) выберите
шаблон OCSP Response Signing (подпись отклика протокола OCSP)
и любые другие шаблоны сертификатов, которые были настроены ранее, затем
нажмите кнопку OK.
9. Откройте
список Certificate Templates (шаблоны сертификатов) и
проверьте, чтобы измененные шаблоны сертификатов были в списке. |
Конфигурация отзыва включает все настройки, необходимые
для ответа на запросы о состоянии сертификатов, выпущенных с помощью
определенного ключа центра сертификации.
Эти настройки конфигурации включают сертификат центра
сертификации, сертификат подписи сетевого ответчика, а также расположения, в
которые клиенты должны направлять свои запросы о состоянии.
Внимание!
Прежде чем создавать конфигурацию отзыва, убедитесь в
том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал
на компьютере, и настройте разрешения сертификата подписи, чтобы разрешить
сетевому ответчику использовать его.
Проверка правильности настройки
сертификата подписи
|
1. Запустите или перезапустите компьютер
LH_PKI1, чтобы подать заявку на сертификаты.
2. Войдите в систему в качестве администратора
центра сертификации.
3. Откройте консоль Certificates (сертификаты)
для учетной записи компьютера. Откройте хранилище сертификатов Personal
(личные) данного компьютера и проверьте, чтобы в нем был сертификат с именем OCSP
Response Signing.
4. Щелкните правой кнопкой мыши этот
сертификат и выберите команду Manage Private Keys (управление закрытыми ключами).
5. Перейдите на вкладку Security (безопасность). В диалоговом окне User
Group or user name (имя группы пользователей или пользователя)
нажмите кнопку Add, введите имя Network Service в
список Group or user name (имя группы или пользователя), затем
нажмите кнопку OK.
6. Щелкните запись Network Service и в диалогом окне Permissions (разрешения) установите
флажок Full Control (полный доступ).
7. Нажмите
кнопку ОК два раза. |
Для создания конфигурации отзыва необходимо выполнить
следующие операции:
· определить
сертификат центра сертификации, поддерживающего сетевой ответчик;
· определить
точку распределения списка отзыва сертификатов CRL для центра сертификации;
· выбрать
сертификат подписи, который будет использоваться для подписания ответов о
состоянии отзыва;
· выбрать
поставщик отзыва — компонент, ответственный за получение и кэширование
информации об отзыве, используемой сетевым ответчиком.
Создание конфигурации отзыва
|
1. Откройте оснастку Online Responder (сетевой
ответчик).
2. На панели Actions (действия)
щелкните Add Revocation Configuration (добавить конфигурацию
отзыва), чтобы запустить мастер Add Revocation Configuration wizard (мастер
добавления конфигурации отзыва), затем нажмите кнопку Next.
3. На странице Name the
Revocation Configuration (имя конфигурации отзыва) введите имя
конфигурации отзыва, например LH_RC1,
затем нажмите кнопку Next.
4. На странице Select CA
certificate Location (выбор расположения сертификата центра
сертификации) щелкните пункт Select a certificate from an existing
enterprise CA (выбрать сертификат из существующего центра сертификации
предприятия), затем нажмите кнопку Next.
5. На следующей странице в поле Browse
CA certificates published in Active Directory (обзор
сертификатов центра сертификации, опубликованных в службе Active Directory)
должно появиться имя центра сертификации LH_PKI1.
· Если
имя есть в списке, щелкните имя центра сертификации, который необходимо
связать с созданной конфигурацией отзыва, затем нажмите кнопку Next.
· Если
имени в списке нет, щелкните Browse for CA Computer (найти
компьютер центра сертификации) и введите имя компьютера, который является
сервером для центра сертификации LH_PKI1, либо нажмите кнопку Browse (обзор), чтобы найти этот компьютер. Когда нужный компьютер будет найден,
нажмите кнопку Next.
Примечание
Возможна также связь с сертификатом центра сертификации
из локального хранилища сертификатов или путем импорта сертификата со
съемного носителя в шаге 4.
6. Просмотрите сертификат и скопируйте точку
распределения CRL для родительского корневого центра сертификации, RootCA1. Для
этого выполните следующие операции:
a) откройте
оснастку Certificate Services (службы сертификатов). Выберите выданный
сертификат;
б) дважды
щелкните сертификат, затем перейдите на вкладку Details (сведения);
в) выполните
прокрутку вниз до поля CRL Distribution Points (точки
распределения CRL);
г) выберите и скопируйте
URL-адрес нужной точки распределения CRL;
д) нажмите
кнопку ОК.
7. На странице Select Signing
Certificate (выбор сертификата подписи) примите параметр по
умолчанию, Automatically select signing certificate (автоматически
выбирать сертификат подписи), затем нажмите кнопку Next.
8. На странице Revocation
Provider (поставщик отзыва) выберите пункт Provider (поставщик).
9. На странице Revocation
Provider Properties (свойства поставщика отзыва) нажмите кнопку
Add, введите URL-адрес точки распределения CRL, затем
нажмите кнопку OK.
10. Нажмите кнопку Finish.
11. С
помощью оснастки Online Responder выберите конфигурацию отзыва, затем
проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы также
должны иметь возможность проверить свойства сертификата подписи, чтобы
убедиться в правильности настройки сетевого ответчика. |
Проверять правильность выполнения приведенных выше шагов
по настройке можно по мере их выполнения.
После завершения установки необходимо проверить
надлежащее функционирование базовой тестовой среды путем подтверждения
возможности выполнения автоматических заявок на сертификаты, отзыва
сертификатов, предоставления точных данных об отзыве через сетевой ответчик.
Проверка надлежащего функционирования
настроенной тестовой среды ADCS
|
1. В центре сертификации настройте несколько
шаблонов сертификатов для выполнения автоматических заявок на сертификаты для
компьютера LH_CLI1 и пользователей этого компьютера.
2. После публикации информации о новых
сертификатах в службе ADDS откройте командную строку на клиентском
компьютере и введите следующую строку, чтобы подать автоматическую заявку на
сертификат:
certutil -pulse
3. На компьютере LH_CLI1 с помощью оснастки
Certificates проверьте правильность выпуска сертификатов для пользователя и
компьютера.
4. В центре сертификации с помощью оснастки
Certification Authority просмотрите и отзовите один или несколько выпущенных
сертификатов, щелкнув команду Certification Authority (Computer)/CA
name/Issued Certificates (центр сертификации (компьютер)/имя
центра сертификации/выпущенные сертификаты) и выбрав сертификат, который
необходимо отозвать. В меню Action выберите пункт All
Tasks (все задачи), затем выберите команду Revoke
Certificate (отозвать сертификат). Выберите причину отзыва сертификата и нажмите кнопку Yes (да).
5. В оснастке Certification Authority опубликуйте новый список CRL, щелкнув команду Certification
Authority (Computer)/CA name/Revoked Certificates в
дереве консоли. В меню
Action выберите пункт All Tasks (все
задачи), затем выберите команду Publish (опубликовать).
6. Удалите все расширения точки распределения
CRL из выпускающего центра сертификации, открыв оснастку Certification
Authority и выбрав центр сертификации. В меню Action выберите пункт Properties.
7. На вкладке Extensions (расширения) проверьте, чтобы для настройки Select extension (выбор расширения) было установлено значение CRL Distribution
Point (CDP) (точка распределения
CRL).
8. Выберите любые точки распределения CRL в
списке, нажмите кнопку Remove (удалить), затем нажмите
кнопку OK.
9. Выключите или перезапустите службу
ADCS.
10. Повторите приведенные выше шаги 1 и 2, затем
проверьте, чтобы клиенты по-прежнему могли получить данные об отзыве. Для
этого используйте оснастку Certificates, чтобы экспортировать сертификат в
файл (*.cer). Введите в командной строке следующий текст:
certutil -url <exportedcert.cer>
11. В
появившемся диалоговом окне Verify and Retrieve (проверка
и извлечение) выберите команду From CDP (из точки CDP) и From
OCSP (из протокола OCSP) и сравните результаты. |
В следующих разделах описывается настройка тестовой среды
для оценки большего количества функций службы ADCS, чем в базовой
тестовой среде.
Для испытания дополнительных функций службы ADCS в
тестовой среде требуются пять компьютеров под управлением ОС Windows
Server2008 и один клиентский компьютер под управлением ОС Windows Vista. В
настоящем руководстве используются следующие имена компьютеров:
· LH_DC1: этот
компьютер будет контроллером домена в тестовой среде;
· LH_CA_ROOT1:
этот компьютер будет сервером для изолированного корневого центра сертификации
в тестовой среде;
· LH_CA_ISSUE1:
Этот центр сертификации предприятия будет подчиненным центра LH_CA_ROOT1 и
будет выдавать клиентские сертификаты для сетевого ответчика и клиентских
компьютеров.
Примечание
Центры сертификации предприятия и сетевые ответчики могут
быть установлены только на серверах под управлением ОС Windows Server2008
Enterprise или ОС Windows Server2008 Datacenter.
· LH_ORS1:
на этом сервере будет размещаться сетевой ответчик;
· LH_NDES:
на этом сервере будет размещаться служба подачи заявок на регистрацию сетевых
устройств (Network Device Enrollment Service, NDES), которая позволяет выдавать
и управлять сертификатами маршрутизаторов и других сетевых устройств;
· LH_CLI1:
этот клиентский компьютер с ОС Windows Vista будет автоматически подавать
заявки на сертификаты от компьютера LH_CA_ISSUE1 и проверять состояние
сертификатов от компьютера LH_ORS1.
Чтобы настроить расширенную тестовую среду для службы
ADCS, необходимо выполнить следующие обязательные операции.
1. Настроить контроллер домена на компьютере
LH_DC1 для домена contoso.com, включая несколько подразделений (OU), содержащих
одного или несколько пользователей для компьютера LH_CLI1, клиентские
компьютеры в домене, а также для серверов, на которых размещены центры
сертификации и сетевые ответчики.
2. Установить ОС Windows Server2008 на
других серверах в тестовой конфигурации и присоединить их к домену.
3. Установить ОС Windows Vista на компьютер
LH_CLI1 и присоединить компьютер LH_CLI1 к домену contoso.com.
После выполнения эти предварительных процедур по
настройке можно начать выполнение следующих этапов.
Этап 1. Настройка изолированного корневого
центра сертификации.
Этап 2. Настройка
подчиненного выпускающего центра сертификации.
Этап 3. Установка и
настройка сетевого ответчика.
Этап 4. Настройка
выпускающего центра сертификации для выпуска
сертификатов подписи отклика протокола OCSP.
Этап 5. Настройка
расширения доступа к информации о центрах сертификации для поддержки сетевого
ответчика.
Этап 6. Назначение
шаблона подписи протокола OCSP центру сертификации.
Этап 7. Подача
заявки на сертификат подписи отклика протокола OCSP.
Этап 8. Создание конфигурации отзыва.
Этап 9. Установка и
настройка службы подачи заявок на регистрацию сетевых устройств.
Этап 10. Проверка
надлежащего функционирования настроенной расширенной тестовой среды AD CS.
Изолированный корневой центр сертификации является
основой доверия в базовой тестовой среде. Он будет использоваться для выпуска
сертификатов подчиненному выпускающему центру сертификации. Так как это
критически важно для безопасности инфраструктуры открытых ключей (public key
infrastructure, PKI), во многих инфраструктурах PKI этот центр сертификации
подключается к сети, только когда необходимо выпустить сертификаты подчиненным
центрам сертификации.
Настройка изолированного корневого центра
сертификации
|
1. Войдите в систему компьютера LH_CA_ROOT1 в
качестве администратора.
2. Запустите Add Roles Wizard (мастер
добавления ролей). На странице Select Server Roles (выбор
ролей сервера) установите флажок Active Directory Certificate Services,
затем нажмите кнопку Next два раза.
3. На странице Select Role
Services установите флажок TSGateway (шлюз
служб терминалов), затем нажмите кнопку Next.
4. На странице Specify Setup
Type выберите Standalone (изолированный),
затем нажмите кнопку Next.
5. На странице Specify CA Type выберите Root CA, затем нажмите кнопку Next.
6. На страницах Set Up Private
Key и Configure Cryptography for CA можно
настроить дополнительные параметры, включая поставщиков услуг криптографии. Однако
для целей базового тестирования примите значение по умолчанию, нажав кнопку Next два раза.
7. В поле Common name for
this CA введите общее имя центра сертификации, RootCA1, затем нажмите кнопку Next.
8. На странице Set the
Certificate Validity Period примите срок действия по умолчанию
для корневого центра сертификации, затем нажмите кнопку Next.
9. На странице Configure
Certificate Database примите значения по умолчанию или
установите другие расположения для хранения базы данных сертификатов и
журнала базы данных сертификатов, затем нажмите кнопку Next.
10. После
проверки информации на странице Confirm Installation Options нажмите кнопку Install. |
В большинстве организаций используется хотя бы один
подчиненный центр сертификации для защиты корневого центра сертификации от
ненужного риска. Центр сертификации предприятия также позволяет использовать
шаблоны сертификатов и использовать службу ADDS для выполнения заявок и
публикации сертификатов.
Настройка подчиненного выпускающего
центра сертификации предприятия
|
1. Войдите в систему компьютера LH_CA_ISSUE1 в
качестве администратора домена.
2. Запустите Add Roles Wizard (мастер
добавления ролей). На
странице Select Server Roles установите флажок Active
Directory Certificate Services, затем нажмите кнопку Next два
раза.
3. На странице Select Role Services установите флажок
TSGateway (шлюз служб терминалов), затем нажмите кнопку Next.
4. На странице Specify Setup Type выберите Enterprise, затем нажмите кнопку Next.
5. На странице Specify CA Type выберите Subordinate CA (подчиненный центр сертификации), затем
нажмите кнопку Next.
6. На страницах Set Up Private
Key и Configure Cryptography for CA можно
настроить дополнительные параметры, включая поставщиков услуг криптографии. Однако
для целей базового тестирования примите значение по умолчанию, нажав кнопку Next два раза.
7. На странице Request
Certificate (запрос сертификата) найдите компьютер LH_CA_ROOT1
или (если корневой центр сертификации не подключен к сери) сохраните запрос
сертификата в файл, чтобы позже его можно было обработать. Нажмите кнопку Next.
Настройка подчиненного центра сертификации невозможна,
пока не выпущен сертификат корневого центра сертификации и пока этот
сертификат не использован для завершения установки подчиненного центра
сертификации.
8. В поле Common name for
this CA введите общее имя центра сертификации, LH_CA_ISSUE1.
9. На странице Set the
Certificate Validity Period примите срок действия по умолчанию
для центра сертификации, затем нажмите кнопку Next.
10. На странице Configure
Certificate Database примите значения по умолчанию или
установите другие расположения для хранения базы данных сертификатов и
журнала базы данных сертификатов, затем нажмите кнопку Next.
11. После проверки
информации на странице Confirm Installation Options нажмите
кнопку Install. |
Сетевой ответчик можно установить на любой компьютер с ОС
Windows Server2008 Enterprise или ОС Windows Server2008 Datacenter.
Данные об отзыве сертификатов могут поступать от центра сертификации на
компьютере с ОС Windows Server2008, центра сертификации на компьютере с
ОС Windows Server2003 или от центра сертификации, выпущенного не
корпорацией Майкрософт. Обычно сетевой ответчик не устанавливают на тот же
компьютер, на котором установлен центр сертификации.
Примечание
На этом компьютере также должна быть установлена служба
IIS, прежде чем можно будет установить сетевой ответчик. В процессе установки
создается виртуальный каталог с именем OCSP в службе IIS, а также
регистрируется прокси-сервер Интернета в расширении Internet Server Application
Programming Interface (ISAPI).
Установка службы сетевого ответчика
|
1. Войдите в систему компьютера LH_ORS1 в
качестве администратора.
2. Запустите Add Roles Wizard (мастер
добавления ролей). На
странице Select Server Roles установите флажок Active
Directory Certificate Services, затем нажмите кнопку Next два
раза.
3. На странице Select Role Services снимите флажок
Certification Authority (центр сертификации), установите флажок Online
Responder (сетевой ответчик), затем нажмите кнопку Next.
Появится запрос об установке службы IIS и службы
активации Windows.
4. Выберите Add Required Role
Services, затем нажмите кнопку Next три раза.
5. На странице Confirm Installation Options нажмите кнопку
Install.
6. После
завершения установки проверьте страницу состояния, чтобы убедиться в успешном
завершении установки. |
Как и любой шаблон сертификата, шаблон подписи отклика
протокола OCSP необходимо настроить, предоставив следующие разрешения заявок:
Read (чтение), Enroll (заявка), Autoenroll (автоматическая заявка) и Write
(запись), прежде чем на основании шаблона могут быть выпущены какие-либо
сертификаты.
Настройка шаблонов сертификатов для
тестовой среды
|
1. Войдите в систему компьютера LH_CA_ISSUE1 в
качестве администратора центра сертификации.
2. Откройте оснастку Certificate Templates
(шаблоны сертификатов).
3. Правой кнопкой мыши щелкните шаблон OCSP
Response Signing, затем выберите команду Duplicate Template.
4. Введите новое имя для копии шаблона,
например OCSP Response Signing_2.
5. Правой кнопкой мыши щелкните шаблон OCSP
Response Signing_2, затем выберите команду Properties.
6. Перейдите на вкладку Security.
В области Group or user name нажмите кнопку Add (добавить), затем введите имя или найдите расположение и выберите компьютер,
являющийся сервером для службы сетевого ответчика.
7. Выберите имя компьютера LH_ORS1,
и в диалоговом окне Permissions установите флажки Read и Autoenroll.
8. Пока
открыта оснастка Certificate Templates, можно выполнить настройку шаблонов
сертификатов для пользователей и компьютеров путем замены нужных сертификатов
в шаге 3 и повторения шагов с 4 по 7 для настройки разрешений для компьютера
LH_CLI1 и тестовых учетных записей пользователей. |
Необходимо настроить центры сертификации, включив в них
URL-адрес сетевого ответчика как часть расширения доступа к информации о центре
сертификации выпущенного сертификата. Этот URL-адрес используется клиентом
сетевого ответчика для проверки состояния сертификата.
Настройка расширения доступа к информации
о центрах сертификации для поддержки сетевого ответчика
|
1. Войдите в систему компьютера LH_CA_ISSUE1 в
качестве администратора центра сертификации.
2. Откройте оснастку Certification Authority
(центр сертификации).
3. В дереве консоли выберите имя центра
сертификации.
4. В меню Action выберите пункт Properties.
5. На вкладке Extensions (расширения) выберите команду Select
extension (выбор расширения), затем выберите Authority
Information Access (AIA).
6. Установите флажки Include
in the AIA extension of issue certificates и Include
in the online certificate status protocol (OCSP) extension.
7. Определить расположения, из которых
пользователи могут получать данные об отзыве сертификатов; в этой настройке
используйте расположение https://LH_ORS1/ocsp.
8. В дереве консоли оснастки Certification
Authority правой кнопкой мыши щелкните запись Certificate
Templates, затем выберите пункт New Certificate
Templates to Issue.
9. В списке Enable
Certificate Templates выберите шаблон OCSP Response
Signing и любые другие шаблоны сертификатов, которые были
настроены ранее, затем нажмите кнопку OK.
10. Откройте
список Certificate Templates (шаблоны сертификатов) и
проверьте, чтобы измененные шаблоны сертификатов были в списке. |
После завершения настройки шаблонов необходимо настроить
центр сертификации для выпуска соответствующего шаблона.
Настройка центра сертификации для
выпуска сертификатов на основе вновь созданного шаблона подписи отклика
протокола OCSP
|
1. Откройте оснастку Certification Authority
(центр сертификации).
2. Правой кнопкой мыши щелкните пункт Certificate
Templates, затем выберите команду Certificate
Template to Issue (шаблон сертификата для выпуска).
3. Выберите
шаблон OCSP Response Signing_2 из списка доступных шаблонов,
затем нажмите кнопку OK. |
Заявка на сертификат может выполняться не сразу. Поэтому,
прежде чем переходить к следующему этапу, убедитесь в том, что заявка на
сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и
проверьте, чтобы разрешения сертификата подписи позволяли сетевому ответчику
использовать его.
Проверка правильности настройки
сертификата подписи
|
1. Запустите или перезапустите компьютер
LH_ORS1, чтобы подать заявку на сертификаты.
2. Войдите в систему в качестве администратора
центра сертификации.
3. Откройте консоль Certificates для данного
компьютера. Откройте хранилище сертификатов Personal данного компьютера и
проверьте, чтобы в нем был сертификат с именем OCSP Response
Signing_2.
4. Щелкните правой кнопкой мыши этот
сертификат и выберите команду Manage Private Keys.
5. Перейдите на вкладку Security.
В диалоговом окне User Group or user name нажмите
кнопку Add, введите и добавьте имя Network Service в список Group
or user name, затем нажмите кнопку OK.
6. Щелкните
запись Network Service и в диалогом окне Permissions установите флажок Full Control. Нажмите кнопку ОК два
раза. |
Этап 8. Создание
конфигурации отзыва
Для создания конфигурации отзыва необходимо выполнить
следующие операции:
· определить
сертификат центра сертификации, поддерживающего сетевой ответчик;
· определить
точку распределения списка отзыва сертификатов CRL для центра сертификации;
· выбрать
сертификат подписи, который будет использоваться для подписания ответов о
состоянии отзыва;
· выбрать
поставщик отзыва — компонент, ответственный за получение и кэширование
информации об отзыве, используемой сетевым ответчиком.
Создание конфигурации отзыва
|
1. Войдите в систему компьютера LH_ORS1 в
качестве администратора домена.
2. Откройте оснастку Online Responder (сетевой
ответчик).
3. На панели Actions щелкните Add
Revocation Configuration, чтобы запустить Add Revocation
Configuration wizard (мастер добавления конфигурации отзыва), затем нажмите
кнопку Next.
4. На странице Name the Revocation
Configuration введите имя конфигурации отзыва, например LH_RC1, затем нажмите кнопку Next.
5. На странице Select CA certificate Location щелкните пункт
Select a certificate for an existing enterprise CA, затем
нажмите кнопку Next.
6. На следующей странице имя
центра сертификации, LH_CA_ISSUE1, должно появиться в поле Browse
CA certificates published in Active Directory.
· Если
имя есть в списке, щелкните имя центра сертификации, который необходимо
связать с созданной конфигурацией отзыва, затем нажмите кнопку Next.
· Если
имени в списке нет, щелкните Browse for CA Computer и
введите имя компьютера, который является сервером для центра сертификации
LH_CA_ISSUE1, либо нажмите кнопку Browse, чтобы найти этот
компьютер. Когда нужный компьютер будет найден, нажмите кнопку Next.
Примечание
Возможна также связь с сертификатом центра сертификации
из локального хранилища сертификатов или путем импорта сертификата со
съемного носителя в шаге 5.
7. Просмотрите сертификат и скопируйте точку
распределения CRL для родительского корневого центра сертификации, RootCA1. Для
этого выполните следующие операции:
a) откройте
оснастку Certificate Services, затем выберите выпущенный сертификат;
б) дважды
щелкните сертификат, затем перейдите на вкладку Details;
в) выполните
прокрутку вниз до поля CRL Distribution Points;
г) выберите и скопируйте
URL-адрес нужной точки распределения CRL;
д) нажмите
кнопку ОК.
8. На странице Select Signing
Certificate примите параметр по умолчанию, Automatically
select signing certificate, затем нажмите кнопку Next.
9. На странице Revocation Provider выберите пункт
Provider.
10. На странице Revocation Provider Properties нажмите кнопку
Add, введите URL-адрес точки распределения CRL, затем нажмите кнопку OK.
11. Нажмите кнопку Finish.
12. С
помощью оснастки Online Responder выберите конфигурацию отзыва, затем
проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы
также должны иметь возможность проверить свойства сертификата подписи, чтобы
убедиться в правильности настройки сетевого ответчика. |
Служба подачи заявок на регистрацию сетевых устройств
(Network Device Enrollment Service) позволяет программному обеспечению на
маршрутизаторах и других сетевых устройствах, работающих без учетных данных в
домене, получать сертификаты.
Служба подачи заявок на регистрацию сетевых устройств
работает как фильтр ISAPI в службе IIS, который выполняет следующие функции:
· генерирует
и предоставляет одноразовые пароли заявок администраторам;
· обрабатывает
запросы заявок протокола SCEP;
· извлекает
находящиеся в ожидании запросы из центра сертификации.
Протокол SCEP разработан в качестве расширения
существующих протоколов HTTP, PKCS #10, PKCS#7, RFC2459 и прочих
стандартов для обеспечения выполнения центрами сертификации заявок на
сертификаты сетевых устройств и приложений. Протокол SCEP определен и
документально представлен на веб-узле группы IETF (https://go.microsoft.com/fwlink/?LinkId=71055)
(на английском языке).
Прежде чем начинать выполнение процедуры, создайте
пользователя ndes_user1 и добавьте этого пользователя в группу пользователей
службы IIS. Затем воспользуйтесь оснасткой Certificate Templates для настройки
разрешений Read и Enroll для этого пользователя в шаблоне сертификата IPSEC
(автономный запрос).
Установка и настройка службы подачи
заявок на регистрацию сетевых устройств
|
1. Войдите в систему компьютера LH_NDES в
качестве администратора предприятия.
2. Запустите Add Roles Wizard (мастер
добавления ролей). На странице Select Server Roles (выбор
ролей сервера) установите флажок Active Directory Certificate Services,
затем нажмите кнопку Next два раза.
3. На странице Select Role Services снимите флажок
Certification Authority и установите флажок Network
Device Enrollment Service.
Появится запрос об установке службы IIS и службы
активации Windows.
4. Выберите Add Required Role
Services, затем нажмите кнопку Next три раза.
5. На странице Confirm Installation Options нажмите кнопку
Install.
6. После завершения установки проверьте
страницу состояния, чтобы убедиться в успешном завершении установки.
7. Так как это новая установка и находящихся в
ожидании запросов сертификатов SCEP нет, выберите пункт Replace existing
Registration Authority (RA) certificates (заменить
сертификаты существующего центра регистрации, затем нажмите
кнопку Next.
При установке службы подачи заявок на регистрацию
сетевых устройств на компьютер, на котором уже существует центр регистрации,
существующий центр регистрации и все находящиеся в ожидании запросы
сертификатов будут удалены.
8. На странице Specify User
Account (определение учетной записи пользователя) щелкните
пункт Select User (выбор пользователя) и введите имя
пользователя ndes_user1 и пароль для этой
учетной записи, который службы подачи заявок на регистрацию сетевых устройств
будет использовать для авторизации запросов сертификатов. Нажмите кнопку OK,
затем кнопку Next.
9. На странице Specify CA (назначение
центра сертификации) установите флажок CA name (имя центра
сертификации) или Computer name (имя компьютера),
нажмите кнопку Browse (обзор), чтобы найти центр
сертификации, который будет выпускать сертификаты службы подачи заявок на
регистрацию сетевых устройств, LH_CA_ISSUE1, затем нажмите кнопку Next.
10. На странице Specify Registry
Authority Information (определение информации центра
регистрации) введите имя ndes_1 в поле RA name (имя центра регистрации). В поле Country/region
установите флажок, соответствующий стране/региону, где вы
находитесь, затем нажмите кнопку Next.
11. На странице Configure
Cryptography (настройка криптографии) примите установленные по
умолчанию значения подписи и ключей шифрования, затем нажмите кнопку Next.
12. Проверьте
сведения о параметрах настройки, затем нажмите кнопку Install. |
Проверять правильность выполнения приведенных выше шагов
по настройке можно по мере их выполнения.
После завершения установки необходимо убедиться в
правильности работы расширенной тестовой среды.
Проверка надлежащего функционирования
настроенной расширенной тестовой среды ADCS
|
1. В
центре сертификации настройте несколько шаблонов сертификатов для выполнения
автоматических заявок на сертификаты для компьютера LH_CLI1 и пользователей
этого компьютера.
2. После публикации информации о новых
сертификатах в службу ADDS откройте командную строку на клиентском
компьютере и введите следующую строку, чтобы начать автоматическую заявку на
сертификат:
certutil -pulse
3. На
клиентском компьютере с помощью оснастки Certificates проверьте правильность
выпуска сертификатов для пользователя и компьютера.
4. В центре сертификации с помощью оснастки
Certification Authority просмотрите и отзовите один или несколько выпущенных
сертификатов, щелкнув команду Certification Authority (Computer)/CA
name/Issued Certificates и выбрав сертификат, который
необходимо отозвать. В меню Action, выберите пункт All
Tasks, затем выберите команду Revoke
Certificate.
Выберите причину отзыва сертификата и нажмите кнопку Yes.
5. В оснастке Certification Authority опубликуйте новый список CRL, щелкнув команду Certification
Authority (Computer)/CA name/Revoked Certificates в
дереве консоли. В меню
Action выберите пункт All Tasks,
затем выберите команду Publish.
6. Удалите все расширения точки распределения
CRL из выпускающего центра сертификации, открыв оснастку Certification
Authority и выбрав центр сертификации. В меню Action выберите пункт Properties.
7. На вкладке Extensions проверьте, чтобы для настройки Select
extension было установлено значение CRL
Distribution Point (CDP).
8. Выберите любые точки распределения CRL в
списке, нажмите кнопку Remove, затем нажмите кнопку OK.
9. Выключите или перезапустите службу
ADCS.
10. Повторите приведенные выше шаги 1 и 2, затем
проверьте, чтобы клиенты по-прежнему могли получить данные об отзыве. Для
этого используйте оснастку Certificates, чтобы экспортировать сертификат в
файл (*.cer). Введите в командной строке следующий текст:
certutil -url <exportedcert.cer>
11. В
появившемся диалоговом окне Verify and Retrieve выберите
команду From CDP и From OCSP и сравните
результаты. |
| 
