Sunday, October 21st, 2018

Публикация инфраструктуры открытого ключа на ISA Server 2004 (Часть 3)

Published on Февраль 10, 2009 by   ·   Комментариев нет

Это третья, последняя, часть статьи по настройке PKI и использованию ISA Server 2004 для включения важных функций сертификатов, на которые часто не обращают внимание.

Если вы хотите прочитать другие части данной статьи, воспользуйтесь ссылками:

В первой части мы провели подготовительную работу для создания PKI, во второй рассмотрели настройку «Корневого» центра сертификации. В третье части мы создадим «Выпускающий» центр сертификации для выдачи сертификатов, годных для использования вне вашей локальной сети.

Введение

В данной статье мы создадим двухъярусную PKI. Во второй части мы уже создали верхний ярус – корневой центр сертификации. Теперь создадим второй ярус: выпускающий центр сертификации. Некоторые структуры PKI обладают дополнительными ярусами: например, во втором ярусе располагается изолированный центр сертификации, а на третьем – выпускающий. Такая иерархия слишком избыточна для большинства сетей, и даже в открытых PKI редко используются более двух уровней центров сертификации.

В данной статье мы рассмотрим только единственный выпускающий центр сертификации, однако, для повышения работоспособности вы можете создать больше центров для распределения нагрузки между несколькими местами расположения или для иных целей и проектов.

Процесс создания выпускающего центра сертификации часто напоминает установку корневого центра сертификации, описанную во второй части, поэтому мы обратим внимание только на различия.

Создание выпускающего центра сертификации

Обычно, как и в нашей статье, выпускающий центр сертификации устанавливается в качестве подчиненного корпоративного центра сертификации на сервер-член домена. Корпоративные центры сертификации (корневые или подчиненные) должны быть всегда доступны и не находиться в отключенном от сети состоянии.

Как правило, администраторы устанавливают выпускающие центры сертификации на контроллер домена. Это не совсем необдуманное решение, поскольку безопасность центров сертификации должна быть такая же, как и у контроллеров домена. Однако, для выпускающих центров сертификации обычно предоставляются функции web-регистрации, в связи с этим установка служб IIS на контроллер домена у многих администраторов может вызвать недоумение. Предпочтительно устанавливать выпускающий центр сертификации на рядовой член домена.

Во второй части использование Windows 2000 SP4 было альтернативой Windows 2003 для корневого центра сертификации, отключенного от сети. Однако для выпускающего корпоративного центра сертификации необходимы дополнительные функции Windows 2003. К тому же существует большое различие между установкой корпоративного центра сертификации на Windows 2003 Standard edition и Windows 2003 Enterprise edition: версия Enterprise edition позволяет создавать настраиваемые шаблоны сертификатов и авто-регистрацию сертификатов компьютером или учетной записью пользователя. Вы можете использовать и Windows 2003 Standard, однако настраиваемые шаблоны сертификатов очень удобны при расширенном использовании сертификатов. .

Установка служб сертификатов

Также, как и во второй части для корневого центра сертификации, мы начнем с Мастера компонентов Windows (Панель управления –> “Добавить/удалить программы”). В данном случае нам не понадобится файл CAPOLICY.INF, однако вы должны входить в группу Enterprise Admins.

Для чего нужны списки отозванных сертификатов

Рисунок 1

Отметьте пункт Certificate Services (Службы сертификатов) и обратите внимание на сообщение о переименовании сервера. Вы можете выбрать службу World Wide Web Service из пункта Application Server (Сервер приложений). Добавление службы WWW позволить использовать средства web-регистрации, однако эта функция не является основной для служб сертификатов. Нажмите Next (Далее).

Ecnfyjdrf cgbcrf jnjpdfyys[ cthnbabrfnjd

Рисунок 2

Выберите пункт Enterprise subordinate CA (Корпоративный подчиненный центр сертификации) и отметьте опцию Use custom settings (Использовать пользовательские настройки) (она позволить использовать ключ большего размера). Нажмите Next (Далее). На следующем экране показан размер ключа по умолчанию (1024 бита). Для подчиненного центра сертификации этот размер обычно увеличивают до 2048, особенно, если для корневого центра сертификации был выбран размер ключа 4096 бит. Нажмите Next (Далее).

Суффикс различающегося имени pki

Рисунок 3

Введите имя в поле Common name for this CA (Обычное имя для этого центра сертификации). Автоматически из имени в AD создастся суффикс в поле Distinguished name suffix(Суффикс отличительного имени) (например DC=Company1,DC=local): Такая информация не нужна для сертификатов, которые будут использоваться в Интернете, поэтому либо очистите это поле (как на Рисунке 3), либо заполните его другими значениями в стиле X.500 (см. Часть 2). Обратите внимание, что срок действия не устанавливается: это сделает корневой центр сертификации. Нажмите Next (Далее). Нажмите Next (Далее) и на следующем экране (вам не нужны общие папки, о которых на нем говорится).

Сервер cthnbabrfwbb и DC

Рисунок 4

Выберите опцию Save the request to a file (Сохранить запрос в файл) (можете изменить путь по умолчанию). Вы не можете отослать запрос напрямую, поскольку, если вы следовали рекомендациям, ваш корневой центр сертификации отключен от сети. Нажмите Next (Далее). Вы должны вставить установочный диск Windows 2003.

Публикация корневого сертификата

Рисунок 5

В конце появятся такие предупреждения. Нажмите OK.

Безопасный интернет рисунок

Рисунок 6

Вы можете получить это предупреждение особенно в том случае, если устанавливаете центр сертификации на контроллер домена. Если вы увидите его, нажмите Yes (Да). В последнем диалоговом окне нажмите Finish (Завершить).

Найдите “req”-файл и скопируйте его на съемный носитель (дискета, переносной диск и т.п) для переноса на корневой центр сертификации.

Настройка служб сертификатов

Откройте консоль Certification Authority (Центры сертификатов) из папки Administrative Tools (Администрирование).

Distinguished name suffix

Рисунок 7

Поскольку мы еще не закончили запрос сертификата центра сертификации, служба в консоли остановлена. Ничего страшного, просто щелкните правой кнопкой по центру сертификации и выберите Properties (Свойства). Нажмите OK на предупреждении об остановленной службе.

Суффикс различающегося имени

Рисунок 8

Откройте вкладку Extensions (Расширения). Не обращая внимания на первую запись, выберите запись LDAP и уберите все отметки, кроме пунктов Publish CRLs to this location (Публиковать списки отозванных сертификатов в этом месте) и Publish Delta CRLs to this location (Публиковать изменения списков отозванных сертификатов в этом месте).

Сертификаты, которые выдает этот центр сертификации, будут использоваться во внешней сети, поэтому, убрав все отметки для записи LDAP, мы гарантируем, что неиспользуемое место хранения в LDAP не появится в сертификатах. Оставить запись LDAP и публиковать списки отозванных сертификатов в AD было просто моей прихотью! Если бы этот центр сертификации выдавал сертификаты для использования только во внутренней сети, вы могли бы оставить все отметки на месте.

Выберите записи HTTP и FILE и удалите их, поскольку их мы не будем использовать.

Теперь нажмите Add (Добавить) и создайте запись HTTP так же, как это было сделано для корневого центра сертификации в части 2 (обратитесь к ней за дополнительной информацией). В нашем примере мы используем следующее:

http://certificates.company1.local/Company1IssuingCA.crl

Как и в случае с корневым центром, я рекомендую, вместо переменной “CAName”, использовать имя файла, основанное на имени центра сертификации без пробелов.

Публикация списка отозванных сертификатов для огневого

Рисунок 9

Выделите запись HTTP и отметьте параметр Include in the CDP extension of issued certificates (Включить в расширение CDP выданных сертификатов). Снова нажмите Add (Добавить) и создайте запись со строкой:

file://\\DC01.company1.local\Certificate$\Company1IssuingCA.crl

Этот общий ресурс мы создали в Части 1, и это место, где с помощью IIS публикуются наши сертификаты и списки отозванных сертификатов. Запись отражает выбранный вами общий ресурс. Нажмите OK.

Если этот центр сертификации будет перегружен многочисленными отзывами сертификатов, вы можете использовать изменения списков отозванных сертификатов. В таком случае используйте в именах файлов переменные “ (но не для HTTP) и отметьте опции Include in CRLs (Включать в списки отозванных сертификатов) для HTTP и Publish Delta CRLs to this location(Публиковать изменения списков отозванных сертификатов в этом месте) для записей FILE.

Большинство из вас может не обращать на это внимание.

Проверка отозваных сертификатов по ldap

Рисунок 10

Отметьте опцию Publish CRLs to this location (Публиковать списки отозванных сертификатов в этом месте). Из выпадающего списка Select extension (Выбор расширения) выберите пункт Authority Information Access (AIA) (Доступ к информации центра). Снова удалите записи HTTP и FILE по умолчанию и нажмите Add (Добавить). Добавьте URL вашей точки распределения и имя файла:

http://certificates.company1.local/Company1IssuingCA.crt

The first certificate masterclass 2004 ключи

Рисунок 11

Отметьте опцию Include in the AIA extension of issued certificates (Включить в расширение AIA выданных сертификатов) для HTTP и убедитесь, что сняты отметки со всех опций для записи LDAP (если вы не удалили эту запись). Нажмите OK.

Вы можете использовать переменную “” для добавления суффикса обновления к имени файла и вручную сохранять обновления после переименования центра сертификации. Целью изменения имени при обновлении является разрешение сосуществования старых и новых сертификатов. Однако, при использовании больших периодов действия (пять лет в нашем примере) такие затраты минимальны.

Certutil установить сертификат

Рисунок 12

Интервала публикации по умолчанию в одну неделю будет достаточно. Если вы знаете, что ваш центр сертификации не будет сильно загружен большим количеством отозванных сертификатов, снимите отметку с опции Publish Delta CRLs (Публиковать изменения списков отозванных сертификатов). Нажмите OK.

Подписывание сертификата выпускающего центра сертификации

Возьмите дискету (или любой другой носитель) с файлом запроса, созданным при установке служб сертификации на корневой центр сертификации. Откройте консоль Certification Authority (Центры сертификации) на этом сервере.

Создать шаблон сертификат после переименования домена

Рисунок 13

Правой кнопкой щелкните по имени центра сертификации, выберите All Tasks (Все задачи) и Submit new request (Принять новый запрос).

Публикация корневой сертификат

Рисунок 14

Укажите ваш файл запроса и нажмите Open (Открыть).

Оснастка enterpise pki

Рисунок 15

Выберите папку Pending Requests (Отложенные запросы) щелкните правой кнопкой по нашему запросу, который теперь появился в правой части консоли. Выберите All tasks (Все задачи) и View Attributes/Extensions (Просмотр атрибутов/расширений).

Exchange common name for this ca

Рисунок 16

Выберите вкладку Extensions (Расширения) и проверьте, что опции CRL Distribution Points (Точки распределения списков отозванных сертификатов) и Authority Information Access (Доступ к информации центра) отмечены. Нажмите OK.

Снова щелкните правой кнопкой по нашему запросу в папке Pending Requests (Отложенные запросы). Выберите All tasks (Все задачи) и Issue (Выдать). Если бы мы не отметили указанные выше опции, вам бы пришлось выбрать Deny (Отменить) и исправить все ошибки в настройках корневого центра сертификации, а затем повторить весь процесс с файлом запроса сначала. Теперь щелкните по папке Issued Certificates (Выданные сертификаты).

Созданиесертификат p7b

Рисунок 17

Дважды щелкните по вновь созданному сертификату. В списке свойств выберите вкладку Details (Подробно).

Создание сертификата суффикс различающегося имени

Рисунок 18

Нажмите кнопку Copy to file (Копировать в файл). Откроется мастер экспорта сертификатов, в котором мы сделаем следующее:

  1. На странице начала работы мастера нажмите Next (Далее).
  2. На странице Export File Format (Формат файла экспорта) отметьте опцию Cryptographic Message Syntax Standard — PKCS #7 Certificates (.P7B) (Стандарт синтаксиса шифрованного сообщения — PKCS #7 сертификат (.P7B)) и Include all certificates in the certification path if possible (Включить в путь сертификата все возможные сертификаты). При импорте нового сертификата центра сертификации лучше использовать один пакет для всей информации. Нажмите Next (Далее).

    Публикация корневого сертификата

    Рисунок 19
  3. На странице File to Export (Файл для экспорта) нажмите Browse (Найти), откройте ваш носитель и наберите имя файла, которое вы будете использовать для публикации сертификата (в нашем примере это Company1IssuingCA). Нажмите Save (Сохранить), а затем Next (Далее).
  4. Для завершения работы нажмите Finish (Завершить) и OK для подтверждения.

Повторите экспорт, но теперь выберите DER encoded binary X.509 (.CER) (DER-шифрованный двоичный X.509 (.CER)). Переименуйте созданный файл, чтобы его расширение было CRT, а не CER.

Скопируйте подписанный сертификат выпускающего центра сертификации (с расширением CRT) в папку точки распределения. Файл P7B мы используем позже.

Корневой центр сертификации теперь может быть, после резервного копирования, отключен и заперт, но перед этим запустите на нем из командной строки команду certutil – cainfo, и обратите внимание на предупреждение об «очищенном» или сокращенном имени центра сертификации (если это имя отличается от полного имени, оно вам еще понадобится).

Завершение создания PKI

Прежде чем установить подписанный сертификат выпускающего центра сертификации, необходимо сделать еще несколько дополнительных шагов.

Проверка настроек сертификатов

На выпускающем центре сертификации из командной строки запустите следующую процедуру (используя ваш путь к общей папке и имя файла сертификата):

certutil -URL \\DC01\Certificate$\Company1IssuingCA.crt

Для чего нужны списки отозванных сертификатов

Рисунок 20

Нажмите Retrieve (Найти). Это позволит проверить ваши точки распределения и сертификаты центра сертификации и гарантирует, что все настройки верны. Если вы используете опцию Certs (from AIA) (Сертификаты (из AIA)), ответом будет “No CRL” (Нет списков отозванных сертификатов), поскольку в сертификате корневого центра сертификации нет записи CDP.

Из командной строки запустите следующую процедуру:

certutil -verify \\DC01\Certificate$\Company1IssuingCA.crt

Она выдаст много информации, однако любые ошибки сразу будут видны.

Публикация сертификата корневого центра сертификации и списка отозванных сертификатов в Active Directory

Как уже было сказано ранее, сертификат корневого центра сертификации в AD не обязателен для целей, преследуемых данной статьей, но на будущее его стоит там разместить. На выпускающем центре сертификации из командной строки запустите следующую процедуру (используя ваш путь к общей папке и имя файла сертификата):

certutil -dsPublish -f \\DC01\Certificate$\Company1RootCA.crt RootCA

Должно появиться сообщение о том, что сертификат успешно добавлен в два места расположения. Далее, для публикации списка отозванных сертификатов корневого центра сертификации, запустите следующую команду:

certutil -dsPublish — f \\DC01\Certificate$\Company1RootCA.crl ROOTCA «Company1 Root Certificate Authority»

“ROOTCA” относится к записи CDP LDAP, созданной в Части 2. Имя центра сертификации в конце строки – это «очищенное» или укороченное имя, указанное ранее, хотя оно обычно совпадает с тем именем, которое вы использовали все это время. Обсуждение этого момента вы найдете в Части 2. Вы можете запускать эту команду для публикации списка отозванных сертификатов (но без параметра “-f”) всякий раз при создании нового списка на корневом центре сертификации и копировании его в точку распределения.

Перезапуск выпускающего центра сертификации

Перегрузите выпускающий центр сертификации. Это делается для того, чтобы сервер установил свое членство во встроенной локальной группе Cert Publishers. Это необходимо для публикации первого списка отозванных сертификатов.

Установка сертификата выпускающего центра сертификации

И, наконец, когда сервер перегружен, все проверено и работает, снова зайдите в консоль Certification Authority (Центры сертификации) на выпускающем центре сертификации:

Distinguished name suffix

Рисунок 21

Правой кнопкой щелкните по имени центра, выберите All Tasks (Все задачи) и Install CA Certificate (Установить сертификат выпускающего центра сертификации).

Суффикс различающегося имени

Рисунок 22

Откройте носитель, который вы использовали, выберите ваш сертификат P7B и нажмите Open (Открыть). После возвращения в консоль правой кнопкой щелкните по имени центра, выберите All Tasks (Все задачи) и Start Service (Запустить службу). Обязательно проверьте папку точки распределения: вы должны видеть, что список отозванных сертификатов выпускающего центра сертификации появился там автоматически. Теперь центр сертификации будет это делать каждую неделю.

Проверка PKI

Теперь центр сертификации готов к выдаче сертификатов! Вы можете проверить работу вашей PKI с помощью оснастки “Enterprise PKI” (Корпоративная инфраструктура открытого ключа), которая входит в состав средств Windows 2003 Resource Kit (а может быть скачана отдельно).

Сервер cthnbabrfwbb и DC

Рисунок 23

Мастер сертификатов IIS предоставляет отличное место для запроса первого сертификата. Установите безопасный web-сайт, откройте его в Internet Explorer и щелкните по замочку в нижнем правом углу.

Проверка отозваных сертификатов по ldap

Рисунок 24

Отлично!

Заключение

Наконец-то мы установили инфраструктуру открытого ключа, однако, наша версия является сокращенной по сравнению с там, что рекомендует компания Microsoft! Процесс может сбить с толку многих администраторов, но правильное его применение даст огромное преимущество перед несколькими центрами сертификации, разбросанными по вашей организации, применением которых, как следствие, является большое количество предупреждений. Через ISA Server 2004 в вашу сеть – ваши сертификаты будут прекрасно работать и в Интернете. Это стоит ваших усилий!

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]