Краткое руководство по Microsoft PKI – Часть 3: Установка

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Краткое руководство по Microsoft PKI (Часть 1)
• Краткое руководство по Microsoft PKI (Часть 2)

Теперь мы переходим к третьей части из четырех по краткому руководству к Microsoft PKI. В первой части мы быстро просмотрели, как подготовить и распланировать ваш Microsoft PKI. Во второй части мы углубились в оформление и на практике посмотрели некоторые установки. В этой части мы больше времени уделим методике и покажем вам, как установить PKI основанную на сервисах сертификата Микрософт в Windows Server 2003.

Установка PKI

Основываясь на некоторых знаниях об оформлении, полученных из предыдущих частей, пришло время начать установку вашего PKI. Так как это краткое руководство, мы рассмотрим сразу несколько вещей, потому что они принадлежат к оформлению. Также мы покажем вам, как установить 2-х уровневую иерархию, состоящую из отключенного корневого Certificate Authority (CA) и включенного «выпускающего» CA в том же PKI, использующем наилучшие практические методы. Однако прежде, чем мы начнем установку, давайте объясним кое-что на практике.

На Рисунке 1 мы проиллюстрировали наилучшее применение периода допустимости для каждого CA на каждом уровне (базирующегося на 3-х уровневой иерархии для полного обзора). Преимуществом этой модели является то, что она будет всегда гарантировать вам совместимость «выпускаемых» сертификатов на каждом уровне. Если вы только хотите использовать 2- уровневую иерархию, просто переместите CA на уровень 3. Модель все еще будет использовать.

Рисунок 1: Наилучшее применение периода допустимости для каждого CA на каждом уровне

Еще вам следует подготовить текстовый файл CAPolicy.inf прежде, чем мы начнем установку. Этот файл используется для управления вашими настройками сервиса сертификатов Windows. В этом файле, вы найдете такие важные вещи, как:

• CDP оператор
• Обновленные установки сертификата, такие как период допустимости и размер ключа
• Каналы связи для CDP и AIA маршрутов
• Как часто следует публиковать CRL

Создайте файл, используя Notepad и сохраните его в %windir%\capolicy.inf (например, C:\Windows\capolicy.inf).

Мы упростили для вас задачу, поставив файлы в ниже приведенном пошаговом руководстве. Запомнив эту информацию, настало время приступить к практике.

Установка отключенного корневого CA

Чтобы установить отключенный корневой CA, вам нужно выполнить следующие операции:

• Подготовить файл CAPolicy.inf
• Установить сервис сертификатов Windows
• Опубликовать список CRL
• Запустить пост-настроечнный командный файл

Вот как вы можете сделать это:

1. Установить сервер с Windows Server 2003 Standard Edition, включая SP1 или более свежие версии и убедиться, что он запущен как автономный сервер (например, он не должен быть элементом никакого домена)
2. Make the necessary parameter replacements in the CAPOlicy.inf file below (highlighted with red) Сделать необходимые замены параметров в файле CAPOlicy.inf, приведенном ниже (выделены красным цветом)

   

   Рисунок 2: Имя файла: CAPolicy.inf

3. Копировать файл CAPolicy.INF в %windir%\capolicy.inf
4. Пройти по Start Menu / Control Panel / Add or Remove Programs |нажать на Add/Remove Windows Components
5. В Windows Components Wizard, вы выбираете Certificates Services и нажимаете Next
6. Обратите внимание на окно сообщений. Вы не должны переименовывать компьютер, раз установлены сервисы сертификата Windows. Нажмите Yes

   

   Рисунок 3

7. В поле типа центра сертификации нажмите Stand-alone root CA, и поставьте галочку напротив “Use custom settings to generate the key pair and CA certificate” и нажмите NextПримечание: Это нормально, что опции Enterprise root CA и Enterprise subordinate CA не могут быть выбраны, так как этот сервер не является элементом домена.

   

   Рисунок 4

8. Выберите CSP, который вы хотите использовать для вашего отключенного корневого CA. Для простоты мы выбрали Microsoft Strong Cryptographic Provider v1.0, однако, вы также можете выбрать другой CSP, если вы, например, установили Hardware Security Module (HSM) и соединились с сервером через HSM, прежде чем вы начали процедуру установки.Выберите по умолчанию хешированный алгоритм SHA-1Установите длину ключа 4096

   Убедитесь, что обе опции “Allow this CSP to interact with the desktop” и“Use an existing key” не выбраны. Нажмите Next

   

   Рисунок 5

9. Введите полное имя для вашего корневого CA, настройте суффикс отличительного имени (O=домен, C=локальный) и установите период допустимости на 20 лет, затем нажмите Next

   

   Рисунок 6

10. Примите рекомендации по умолчанию для базы данных сертификата и регистрирующих файлов (или поменяйте их, по желанию) и нажмите Next

    

    Рисунок 7

11. Так как это отключенный корневой CA, то нет необходимости устанавливать IIS (Внутренний информационный сервис) и по этой причине выводится окно сообщения. Нажмите OK

    

    Рисунок 8

12. Нажмите Finish

    

    Рисунок 9

13. Нажмите Start / Programs / Administrative Tools / Certificate Authority
14. Откройте подокно вашего сервера центра сертификации и правой кнопкой мыши щелкните на Revoked Certificates. Нажмите All tasks / Publish

    

    Рисунок 10

15. Выберите New CRL и нажмите OK
16. Скопируйте %windir%\system32\certsrv\certenroll\*.crt и *.crl в USB ключ. Вам понадобятся эти файлы для следующего подчиненного(subordinate) CA, который будет установлен
17. Вам также потребуется скопировать эти файлы в расположение CDP HTTP, как показано в представленном ранее файле caconfig.inf
18. Сделайте необходимые замены параметра в ниже приведенном файле (выделены красным цветом) и запустите файл с командной строки

    

    Рисунок 11

19. Вы установили корневой CA.

Мы говорили, что есть причины безопасности, по которым необходимо держать корневой CA и политику CA (root and policy CA) отключенными. Только «выпускающие» CA рекомендуется держать включенными. Так как root and policy CA отключены, они не будут являться элементами домена. Если устройство, являющееся элементом домена, не зарегистрировано в домене в течение 6 месяцев (значение по умолчанию), тогда аккаунт устройства «зависнет» и больше не будет допущен к регистрации в домене.

Установка включенного «выпускающего» корпоративного CA

Чтобы установить включенный «выпускающий» CA, вам нужно выполнить следующие операции:

• Подготовить файл CAPolicy.inf
• Установить IIS (Internet Information Services)
• Установить Windows Certificate Services
• Подтвердите запрос sub-CA сертификата к родительскому CA
• Установить sub-CA сертификат в корпоративный подчиненный CA
• Запустить постконфигурационный скрипт
• Опубликовать список CRL

Вот как вы можете сделать это:

1. Установить сервер с Windows Server 2003 Standard Edition, включая SP1 или более свежие версии и убедиться, что он является элементом домена
2. Убедитесь, что IIS (internet Information Services) установлены. Однако, если вы действительно хотите сделать это правильно, тогда пропустите часть IIS. Единственным предостережением является то, что вам определенно нужно знать ваш PKI прежде, чем вы пропустите компонент IIS. Преимуществом является более простая установка и на один вектор атаки меньше.
3. Сделайте необходимые замены параметров в файле CAPOlicy.inf, приведенном ниже (выделены красным цветом)

   

   Рисунок 12: Имя файла: CAPolicy.inf

4. Скопируйте файл CAPolicy.INF в %windir%\capolicy.inf
5. Пройдите по Start Menu / Control Panel / Add or Remove Programs / нажмите Add/Remove Windows Components
6. В Windows Components Wizard, Выберите Certificates Services и нажмите Next

   

   Рисунок 13

7. Обратите внимание на окно сообщений. Вы не должны переименовывать компьютер, раз установлены сервисы сертификата Windows. Нажмите Yes
8. В поле типа центра сертификации, нажмите на Enterprise subordinate CA и поставьте «галочку» напротив “Use custom settings to generate the key pair and CA certificate” и нажмите Next

   

   Рисунок 14

9. Выберите CSP, который вы хотите использовать для вашего «выпускающего» CA. Для простоты мы выбрали Microsoft Strong Cryptographic Provider v1.0, однако, вы также можете выбрать другой CSP, если вы, например, установили Hardware Security Module (HSM) и соединились с сервером через HSM, прежде чем вы начали процедуру установки CA.Выберите по умолчанию хешированный алгоритм SHA-1Установите длину ключа 2048

   Убедитесь, что опции “Allow this CSP to interact with the desktop” и “Use an existing key” не выбраны. Нажмите Next

   

   Рисунок 15

10. Введите полное имя для вашего «выпускающего» CA и установите период доступности (Validity period) на 5 лет, затем нажмите Next

    

    Рисунок 16

11. Примите рекомендации по умолчанию для базы данных сертификата и регистрирующих файлов (или поменяйте их, по желанию) и нажмите Next
12. Отображено окно запроса сертификата СА. Выберите Save the request to a file и введите путь и имя файла (модуль оперативной помощи автоматически добавит .req расширение в имя файла). Скопируйте файл в USB ключ для дальнейшего использования. Нажмите Next. Мы будем использовать этот запрос файла потом в нашем кратком руководстве

    

    Рисунок 17

13. Будут добавлены некоторые компоненты прикладной программы сертификата IIS. Нажмите Yes

    

    Рисунок 18

14. (Дополнительно) Если вы не включили ASP поддержку в IIS, то появится следующее окно сообщений. Нажмите Yes

    

    Рисунок 19

15. Вы еще не все выполнили. Как показано в окне сообщений – вам нужно создать личный ключ для вашего нового «выпускающего» центра сертификации.

    

    Рисунок 20

    Нажмите OK для продолжения.

16. Нажмите Finish

    

    Рисунок 21

17. Прежде, чем вы продолжите, вам нужно опубликовать сертификат и список отмен для вашего корневого CA в Active Directory. Это легко делается следующим образом:a) Скопируйте созданные во время установки корневого CA файлы *.crt и *.crl в папку %systemroot%\system32\certsrv\certenroll в сервере «выпускающего» CA.b) Запустите ниже приведенный скрипт из командной строки в той же папке вашего «выпускающего» CA. Вы должны запустить скрипт как пользователь, являющийся членом группы Cert Publishers в Active Directory (кто-либо с правами админа домена).

    

    Рисунок 22

    Скрипт автоматически обработает полное имя файла и выполнит необходимые команды.

18. Убедитесь, что у вас есть сертификат запрашиваемого файла, созданного в Шаге 12. Зарегистрируйтесь на сервере корневого CA.
19. Из корневого CA сервера нажмите Start / Programs / Administrative Tools / Certificate Authority
20. Откройте панель вашего CA сервера и правой кнопкой мыши щелкните на имени сервера. Нажмите All tasks / Submit new request…

    

    Рисунок 23

21. Сохраните запрашиваемый файл, созданный в Шаге 12 и нажмите OK
22. В левой панели нажмите Pending Requests. Расположите запрос сертификата в правой панели / Правой кнопкой мыши щелкните на запросе сертификата и выберите All Tasks / Issue
23. Дальше нам нужно экспортировать сертификат. В левой панели нажмите Issued Certificates. В правой панели щелкните правой кнопкой мыши на сертификате и нажмите Open

    

    Рисунок 24

24. Нажмите на ярлык details и щелкните на Copy to file…

    

    Рисунок 25

25. Показан Certificate Export Wizard. Нажмите Next

    

    Рисунок 26

26. Выберите ”Cryptografic Message Syntax Standard ….” и ”Include all certificates in the certification path if possible”. Нажмите Next

    

    Рисунок 27

27. Сохраните сертификат в тот USB ключ, используемый в Шаге 12. Нажмите Next

    

    Рисунок 28

28. Нажмите Finish, а затем OK
29. Теперь вы возвратитесь к «выпускающему» CA и нажмите Start / Programs / Administrative Tools / Certificate Authority
30. Откройте панель сервера CA и правой кнопкой мыши щелкните на имени сервера. Нажмите All tasks / Install CA certificate

    

    Рисунок 29

31. Сохраните сертификат, который вы выпустили в Шаге 27 и нажмите OK
32. Откройте панель вашего сервера CA и правой кнопкой мыши щелкните на имени сервера. Нажмите Start service

    

    Рисунок 30

33. Скопируйте %windir%\system32\certsrv\certenroll\*.crt и *.crl в USB ключ. Вам нужно будет скопировать эти файлы в ваши Веб-серверы, используемые, как Certificate Distribution Points (CDP), которые используют HTTP протокол. Это HTTP, базирующийся на CDP URL, который вы ранее определили в caconfig.inf «выпускающего» CA.Примечание: Эта задача будет распланирована и автоматически запущена.
34. Сделайте необходимые замены параметров в ниже приведенном файле (выделены красным цветом) и запустите файл через командную строку.

    

    Рисунок 31

35. Откройте панель вашего сервера CA и правой кнопкой мыши щелкните на Revoked Certificates. Нажмите All tasks / Publish

    

    Рисунок 32

36. Выберите New CRL и нажмите OK
37. И, наконец, вы завершили установку.

Заключение

В этой статье, мы дали вам краткое руководство и практический совет, как лучше реализовывать PKI, состоящий из комбинации обоих отключенных автономных CA и кооперативного включенного «выпускающего» CA. Вам нужно знать, что скрипт используется дл публикации сертификата «коренного» CA и CRL файла в локальном запоминающем устройстве «выпускающего» CA, и Active Directory нуждается в модификации, если вы используете 3-х уровневую иерархию. Так происходит, потому что курс действий CA также нуждается в публикации в запоминающем устройстве локального сертификата нашего корпоративного «выпускающего» CA и также нуждается в публикации в Active Directory.

В некоторых местах вы можете найти третью часть статьи немного громоздкой, особенно в объяснении реализации включенного «выпускающего» CA. Но, однажды попробовав, вы обнаружите, что не так уж и трудно использовать полностью перегоревший PKI, который полностью расширяется и охраняется. В нашей последней статье в этой серии краткого руководства для PKI, мы покажем вам, как проверять нашу установку, так же как поддерживать и находить с последующим устранением PKI, используя несколько простых операций.

Источник www.windowsecurity.com

• Общие папки exchange
• Word 2007 руководство
• Sip сервер Windows
• Политика безопасности контроллера домена
• Скачать tmg

Tags: nat