#header_text h1 # site_heading a, #header_text h1 # site_heading {} @media (min-width: 650px) {#header_text h1 # site_heading a, #header_text h1 # site_heading {}} Виртуальный компьютерщик

Недавно VMWare выпустила новую функцию vCenter identity Federation для версии vSphere 7. Я тестировал эту функцию, и для нее требовались сертификаты, подписанные ЦС, поэтому я хотел установить и настроить сервер центра сертификации (ЦС) для моей лаборатории, поскольку у меня его не было в лаборатории, при установке и настройке сервера ЦС для производства планировать и тщательно продумайте дизайн. Из-за ограничений инфраструктуры и ограниченных ресурсов я устанавливаю CS в AD. Вы также можете распределять/разделять службы ролей на разных серверах при правильном планировании. На сервере Microsoft Windows есть функция Службы сертификатов Active Directory (AD CS) , которые используются для создания центров сертификации и связанных служб ролей, которые позволяют вам выпускать сертификаты, используемые в различных приложениях, и управлять ими. Чтобы запустить, откройте диспетчер серверов и перейдите в Управление >> щелкните Добавить роли и функции или выберите тот же вариант на панели инструментов .

Часть 1: Установите и настройте центр сертификации (ЦС) на сервере Microsoft Windows с помощью групповой политики
Часть 2: Настройка безопасных LDAP на контроллере домена
ldp.exe LDAPS Не удается открыть соединение Ошибка 81
Часть 3: Установка и настройка службы федерации Active Directory (ADFS)

Как только Мастер добавления ролей и функций отобразит все настройки, которые я использую по умолчанию для Перед началом, Тип установки, Выбор сервера, функции, роль веб-сервера (IIS), подтверждение . и нажмите «Далее», чтобы продолжить. Только определенные настройки, которые я выбираю для ролей сервера и AD CS/Role Services .

В Выберите роли сервера установите флажок в Службы сертификации Active Directory и в AD CS/Выберите службы ролей установите флажок Центр сертификации y и Интернет-регистрация в центре сертификации .

На последней странице результатов мастера добавления ролей и компонентов после завершения установки функции щелкните ссылку Настроить Службы сертификации Active Directory на целевом сервере . Он открывает фактическую конфигурацию сервера AD CS, Укажите учетные данные для настройки служб ролей. Я использую текущего вошедшего в систему пользователя, который является частью группы администраторов предприятия и локальных администраторов.

Чтобы установить следующие службы ролей, вы должны принадлежать локальному администратору группа:

  • Автономный центр сертификации
  • Веб-регистрация в центре сертификации
  • Сетевой ответчик

Чтобы установить следующие службы ролей, вы должны принадлежать к группе Enterprise Admin .

  • Центр сертификации предприятия
  • Веб-служба политики регистрации сертификатов
  • Веб-служба регистрации сертификатов
  • Служба регистрации сетевых устройств

В службах ролей выберите Центр сертификации (ЦС) , который используется для получения сертификатов и управления ими. Несколько центров сертификации могут быть связаны для формирования инфраструктуры открытого ключа. и веб-регистрация центра сертификации. Веб-регистрация в центре сертификации предоставляет простой веб-интерфейс, который позволяет пользователям выполнять такие задачи, как запрашивать и обновлять сертификаты, получать списки отзыва сертификатов (CRL) и подавать заявки на сертификаты смарт-карт. Нажмите «Далее».

Укажите тип установки для центра сертификации. Центры сертификации предприятия (ЦС) могут использовать доменные службы Active Directory (AD DS) для упрощения управления сертификаты ,. Автономные центры сертификации не используют AD DS для выдачи сертификатов или управления ими. Я использую по умолчанию ЦС предприятия , ЦС предприятия должны быть членами домена и обычно находятся в сети для выдачи сертификатов или политик сертификатов.

Затем укажите тип ЦС . При установке служб сертификации Active Directory (AD CS) вы создаете или расширяете иерархию инфраструктуры открытого ключа (PKI). Корневой ЦС находится на вершине иерархии PKI и выдает собственный самозаверяющий сертификат. Подчиненный ЦС получает сертификат от ЦС, расположенного над ним в иерархии PKI.
Корневой ЦС: корневые ЦС являются первыми и могут быть единственными центрами сертификации, настроенными в иерархии PKI.

Укажите тип закрытого ключа . Для создания и выдачи сертификатов клиентам центр сертификации (ЦС) должен иметь закрытый ключ. Оставьте параметр по умолчанию Создать новый закрытый ключ , используйте этот параметр, если у вас нет закрытого ключа или вы хотите создать новый закрытый ключ.

Все параметры, которые я буду использовать, остаются по умолчанию и оставляют нажав «Далее» без редактирования.

Я укажу параметры шифрования для CA , сохранив/выбрав поставщика криптографии как RSA # Программный ключ Microsoft Поставщик хранилища с длиной ключа 2048 . Алгоритм хеширования для подписи сертификатов, выдаваемых этим ЦС, — SHA256 .

В конфигурации AD CS. Затем укажите имя CA ( Имя CA ), введите общее имя для идентификации этого центра сертификации (CA). Это имя добавляется ко всем сертификатам, выданным ЦС. Значения суффиксов отличительных имен создаются автоматически, но их можно изменить. Вся информация, которую я сохраняю, генерируется по умолчанию. Имена включают имя хоста компьютера..

В поле Укажите срок действия для сертификата, созданного для этого центра сертификации (ЦС): значение по умолчанию — 5 лет. , с указанием срока годности CA. Примечание: срок действия, настроенный для этого сертификата ЦС, должен превышать срок действия сертификатов, которые он будет выдавать.

На 4-м снимке экрана укажите расположение базы данных ЦС . , с местоположением журнала базы данных сертификатов я сохраняю значение по умолчанию.

Конфигурация находится на последнем этапе, на странице Подтверждение проверьте настройки для служб сертификации Active Directory, если что-то настроено неправильно, вы можете вернуться, чтобы исправить настройки, нажмите Кнопка «Настроить . Если все в порядке, в разделе Результат отображается, что все настройки выполнены успешно.

В ходе последней проверки веб-сайт сервера CA работает и функционирует с URL http://fqdn_or_ip/certsrv/Default.asp. Он запрашивает имя пользователя и пароль администратора для сервера CA.

Далее следует распространить развернутый сертификат корневой цепочки ЦС на компьютерах-клиентах в домене. Для этой первой процедуры на веб-странице сервера ЦС щелкните Загрузить сертификат ЦС, цепочку сертификатов или ссылку CRL . если вы видите ошибку Произошла непредвиденная ошибка: служба центра сертификации не была запущена, перейдите в Свойства обозревателя в Настройки , в разделе На вкладке «Безопасность выберите Надежные сайты и нажмите кнопку Сайты . В последнем разделе Добавить базовый URL-адрес сервера CA в доверенную зону снимите флажок Требовать изменение сервера (https 🙂 для всех сайтов в этой зоне . В конце дважды нажмите ОК. это решит проблему, Обновите страницу.

Однажды проблема решена, нажмите Загрузить сертификат CA, цепочку сертификатов или CRL и нажмите Загрузить сертификат CA . Сохраните файл certnew.cer.

Я использую загруженный сертификат на сервере групповой политики Active Directory, найдите Управление групповой политикой и откройте его. Сверните доменное имя, перейдите в Объекты групповой политики и щелкните его правой кнопкой мыши и нажмите Создать . Введите имя New GPO и нажмите OK.

Щелкните правой кнопкой мыши новый созданный объект групповой политики и нажмите Изменить . Откроется Редактор управления групповой политикой .

В редакторе GPO сверните и перейдите по пути Computer Configuration >> Policies >> Настройки Windows >> Настройки безопасности >> Политика открытого ключа s >> Щелкните правой кнопкой мыши Доверенные корневые центры сертификации и нажмите Import , чтобы открыть мастер импорта сертификатов.

Сертификат будет отображаться на локальных машинах на клиентском компьютере после развертывания. В файле для импорта выберите загруженный файл сертификата CA. Проверьте конфигурацию и нажмите кнопку «Готово».

После импорта сертификата он отображается с всплывающим окном об успешном завершении и показывает сертификат на Редактор управления групповой политикой. Закройте редактор .

Щелкните правой кнопкой мыши в домене и нажмите Связать существующий объект групповой политики . Отображается группа В списке «Объекты политики» выберите объект групповой политики, настроенный для развертывания сертификата SSL, нажмите «ОК».

Теперь объект групповой политики связан с доменом. Обновление групповой политики на клиенте займет около 90 минут.

Полезные статьи
Создание новых самозаверяющих сертификатов для ESXi с помощью OpenSSL
Отправка сертификатов SSL на клиентские компьютеры с помощью групповой политики
Замена сертификат ESXi по умолчанию с сертификатом, подписанным ЦС
Устранение неполадок при замене поврежденного сертификата на сервере Esxi
Как импортировать корневой сертификат VMCA серверного устройства vCenter по умолчанию и обновить сертификат ЦС на ESXi
Как сделать заменить сертификат vCenter VMCA по умолчанию на сертификат, подписанный Microsoft CA



Развертывание корневого центра сертификации предприятия

Настройка корневого сертификата предприятия Авторитет — это не задача, которую вы будете выполнять на регулярной основе, и я думаю, что это я делал дважды, может быть, 3 раза, когда-либо. Каждый раз я забываю то, что делал раньше, и вы можете гарантировать, что каждый раз использую другую версию Windows Server. Обратите внимание, читая эту и следующую статьи, хотя я и интересуюсь PKI, я не считаю себя экспертом. Развертывание PKI — непростая задача, поэтому внимательно прочтите, если вы этого не делали раньше.

Итак, вот как настроить корпоративный корневой центр сертификации (CA) на Windows Server 2012 R2. Теперь, когда я задокументировал это, я надеюсь, что не забуду в следующий раз.

Основы

Я не собираюсь вдаваться в подробности здесь о конкретных решениях или соображениях, которые вы должны учитывать при настройке центра сертификации в своей среде; однако я бы порекомендовал вам сделать по крайней мере следующее, чтобы обеспечить безопасное развертывание служб сертификатов:

  1. Настройте корневой ЦС на рядовом сервере (не члене домена ) и постарайтесь, чтобы этот ЦС был отключен. Эту машину можно развернуть практически в любом месте, а в выключенном состоянии вы можете защитить ее, удалив виртуальную машину из среды и сохранив ее в зашифрованном формате. Это поможет защитить сертификат корневого ЦС. Просто запишите, где вы его оставили, на случай, если кто-то другой позаботится об обновлениях и изменениях.
  2. Разверните подчиненный ЦС, который будет использоваться для выдачи сертификатов. Он будет членом Active Directory для упрощения управления, выдачи сертификатов членам домена и включения шаблонов сертификатов.

Использование шаблонов сертификатов требует Active Directory, а также требует установки и настройки подчиненный CA как член группы Enterprise Admins. Потенциально не проблема в большинстве сред; однако для крупных корпоративных сред это может быть не так (разрешения можно делегировать). Это также означает, что вы не будете устанавливать корпоративный ЦС в среде, использующей доменные службы Azure Active Directory, потому что у вас не будет прав.

Дополнительная литература

Есть ряд статей, из которых я почерпнул, и другие, которые стоит прочитать, чтобы получить дополнительные сведения или подробные обсуждения служб сертификации. Я перечислил несколько здесь, чтобы предоставить более подробную информацию:

  • Что можно и чего нельзя делать в PKI — Microsoft ADCS
  • Руководство центра сертификации для Windows Server 2012 R2/2012
  • Корпоративная PKI со службами сертификатов Active Directory Windows Server 2012 R2 (часть 1 из 2)
  • Корпоративная PKI с Windows Server 2012 R2 Active Directory Службы сертификации (часть 2 из 2)
  • AD CS в TechNet
  • Руководство по тестовой лаборатории: развертывание двухуровневой иерархии PKI AD CS
  • Службы сертификации Active Directory (AD CS) Инфраструктура открытых ключей (PKI) Часто задаваемые вопросы (FAQ)

Развертывание корневого центра сертификации предприятия

Следующие шаги выполняются на виртуальной машине под управлением Windows Server 2012 R2 со всеми текущими обновлениями в качестве автономного сервера. Установка корневого центра сертификации на автономном сервере гарантирует отсутствие проблем со связью с доменом, когда виртуальная машина загружается позже.

Установка служб сертификации

Развертывание служб сертификации в Windows Server 2012 R2 достаточно просто — откройте диспетчер серверов, откройте мастер добавления ролей и компонентов и выберите Службы сертификации Active Directory в разделе «Роли сервера». Убедитесь, что для корневого ЦС вы выбрали только роль Центр сертификации .

Установка служб сертификации Active Directory

Чтобы упростить установку служб сертификации, сделайте это через PowerShell, а не через Add-WindowsFeature:

  Add-WindowsFeature -Name ADCS-Cert-Authority -IncludeManagementTools  

Это будет выглядеть так, перезагрузка не требуется:

Установить службы сертификации через PowerShell

Настройка служб сертификации

После установки служб сертификации запустите мастер настройки из диспетчера серверов:

Запустить мастер настройки служб сертификации

Задайте учетные данные для использования при настройке служб сертификации. В этом случае мы настраиваем ЦС на автономном компьютере, и я вошел в систему как локальный администратор.

Мастер служб сертификации — conf Учетные данные конфигурации

Для корневого ЦС нам нужно настроить только одну роль.

Мастер служб сертификации — роли для настройки

Этот центр сертификации настраивается на автономном сервере, не являющемся участником Active Directory, поэтому мы сможем настроить только автономный ЦС.

Мастер служб сертификации — настройте автономный ЦС

Это первый ЦС в нашей среде, поэтому обязательно настройте его как корневой ЦС

Мастер служб сертификации — настройте как корневой центр сертификации

С первым ЦС в среде у нас не будет существующего закрытого ключа, поэтому мы должны выбрать создание нового.

Мастер служб сертификации — выберите новый закрытый ключ

При выборе криптографа hic и алгоритм хеширования, SHA1 будет алгоритмом хеширования по умолчанию; однако Windows больше не будет принимать сертификаты, подписанные с помощью SHA1, после 1 января 2017 года, поэтому обязательно выберите не менее SHA256.

Мастер служб сертификации — выбор криптографических параметров

Укажите имя для нового центра сертификации. Я бы рекомендовал сделать это простым, используя набор символов ANSI, используя значащее имя.

Мастер служб сертификации — укажите имя ЦС

Выберите срок действия — возможно, лучше всего выбрать значение по умолчанию; однако это можно настроить в соответствии с вашими требованиями. Это тема, которая сама по себе является целым разговором о безопасности; однако обновление сертификатов ЦС — это не то, что вам нужно делать слишком часто. При установке срока действия следует учитывать бизнес-риски, размер и сложность среды, в которой вы устанавливаете PKI, и степень зрелости ИТ-организации.

Мастер служб сертификации — выберите срок действия сертификата ЦС

На следующей странице мастера , вы можете выбрать расположение базы данных служб сертификатов и расположение журналов ( C: Windows System32 Certlog ), которое можно изменить в зависимости от вашей конкретной среды.

На последней странице вы увидите сводку конфигурации перед ее фиксацией в локальных службах сертификации.

Мастер служб сертификации — сводная страница

Настройка корневого ЦС

Теперь, когда службы сертификации установлен и базовая конфигурация завершена, требуется ряд конкретных изменений конфигурации, чтобы гарантировать, что Корневой ЦС ffline подойдет нам.

Если вы откроете консоль управления центром сертификации, вы сможете просмотреть свойства центра сертификации и сертификат корневого ЦС:

Недавно установленный и настроенный центр сертификации

Проверьте подробности и убедитесь, что алгоритм хеширования сертификата — SHA256:

Центр сертификации с Алгоритм хеширования SHA256

Настроить расширения ЦС

Прежде чем мы предпримем какие-либо дальнейшие шаги, включая развертывание подчиненного ЦС для выдачи сертификатов, нам необходимо настроить сертификат Точка распространения списка отзыва (CRL). Поскольку этот ЦС будет отключен от сети и не будет членом Active Directory, расположения по умолчанию не будут работать.

В свойствах ЦС выберите Расширения . для просмотра точек распространения CRL. По умолчанию местоположения ldap:// и file:// будут точками распространения по умолчанию. Они, конечно, не будут работать по причинам, которые я только что указал, и поскольку эти местоположения встроены в свойства сертификатов, выданных этим ЦС, мы должны их изменить.

Настройка параметров списка отзыва сертификатов

Точки распространения CRL по умолчанию как показано ниже. Их можно скопировать, выбрав каждый из них в диалоговом окне и нажав Ctrl-C.

  C:  windows  system32  CertSrv   CertEnroll     .crlldap:///CN =  , CN = , CN = CDP, CN = Public Key Services, CN = Services,   http:///CertEnroll/ . crlfile:///CertEnroll/   .crl  

Чтобы настроить точку распространения CRL, будет работать с расположением, которое находится в сети (чтобы клиенты могли связаться с CRL), мы добавим новую точку распространения, а не изменим существующий DP и будем использовать HTTP.

Перед этим мы захотим для выполнения двух действий:

  1. Убедитесь, что для C: по умолчанию выбраны «Опубликовать CRL в это место» и «Опубликовать разностные CRL в этом месте». Расположение Windows System32 CertSrv CertEnroll . Это должно быть значение по умолчанию.
  2. Для каждого существующего DP удалите все флажки, включенные для «Включить в CRL».

Теперь добавьте новый Расположение CRL с использованием того же значения местоположения HTTP, которое включено по умолчанию; однако измените на полное доменное имя хоста, который будет обслуживать CRL. В моем примере я изменил:

  http:///CertEnroll/   .crl  

в

   http://crl.home.stealthpuppy.com/CertEnroll/.crl

Это полное доменное имя псевдоним для подчиненного центра сертификации, который я буду развертывать для выдачи сертификатов клиентам. Этот ЦС будет в сети с установленным IIS, поэтому он будет доступен для обслуживания списков отзыва сертификатов.

Добавление новой точки распространения CRL

Повторите тот же процесс для местоположений доступа к информации о полномочиях (AIA):

  1. Отключить «Включить в расширения AIA выданных сертификатов» для всех существующих расположений.
  2. Скопировать существующее http:// расположение
  3. Добавить новое расположение http://, изменив для FQDN псевдонима, также используемого для точки распространения CRL

Добавление места доступа к информации о полномочиях

Примените изменения, и вам будет предложено перезапустить службы сертификации Active Directory. Если вы не забыли перезапустить службу позже вручную.

Применение изменений потребует перезапуска службы CA

Настроить публикацию CRL

Перед публикацией CRL установите для Интервала публикации значение, отличное от 1 недели по умолчанию. . Какой бы интервал вы ни установили, это будет максимальное количество времени, которое вам понадобится для загрузки CA, публикации CRL и копирования его в вашу точку публикации CRL.

Откройте свойства узел Revoked Certificates и установите для Интервал публикации CRL значение, подходящее для среды, в которой вы установили CA. Помните, что вам необходимо загрузить корневой центр сертификации и опубликовать новый список отзыва сертификатов до окончания этого интервала.

Установка интервала публикации CRL в корневом ЦС

Убедитесь, что список отзыва сертификатов опубликован в файловой системе — щелкните правой кнопкой мыши Отозванные сертификаты , выберите Все задачи / Опубликовать . Затем мы скопируем их в подчиненный ЦС.

Опубликуйте сертификат Список отозванных

Перейдите к C: Windows System32 CertSrv CertEnroll, чтобы просмотреть CRL и сертификат корневого ЦС.

Сертификаты и CRL опубликованы в C: Windows System32 CertSrv CertEnroll

Установка срока действия выданного сертификата

По умолчанию срок действия сертификатов, выпущенных этим ЦС, составляет 1 год. Поскольку это отдельный центр сертификации, у нас нет доступных шаблонов, которые можно использовать для определения срока действия выданных сертификатов. Поэтому нам нужно установить это в реестре.

Поскольку мы будем выдавать сертификаты подчиненного ЦС только из этого корневого ЦС, 1 год — это немного. Если сертификат подчиненного ЦС действителен только в течение 1 года, любые сертификаты, которые он выдает, могут быть действительными только в течение менее 1 года с даты выдачи — на самом деле недолго. Таким образом, мы должны установить срок действия в корневом ЦС, прежде чем выпускать какие-либо сертификаты.

Чтобы изменить срок действия, откройте редактор реестра и перейдите к следующему ключу:

  HKLM  SYSTEM  CurrentControlSet  Services  CertSvc  Configuration    

В моей лаборатории этот путь:

  HKLM  SYSTEM  CurrentControlSet  Services  CertSvc  Configuration  stealthpuppy  Автономный корневой центр сертификации  

Здесь я вижу два значения, которые определяют срок действия выданных сертификатов: ValidityPeriod (по умолчанию 1) и ValidityPeriodUnits (по умолчанию на «Годы»).

Просмотр срока действия сертификата корневого ЦС

Откройте ValidityPeriodUnits и измените его на желаемое значение. Я бы рекомендовал сделать это половину срока действия сертификата корневого ЦС, поэтому, если вы настроили корневой ЦС на 10 лет, установите его на 5 лет. Чтобы это вступило в силу, необходимо перезапустить службу центра сертификации.

Установка ValidityUnits корневого ЦС

Альтернативой непосредственному редактированию реестра является установка этого значения на certutil.exe. Чтобы изменить срок действия на 5 лет, выполните:

  certutil -setreg ca  ValidityPeriodUnits "5"  

Есть несколько старых статей об установке этого значения, но они все еще применимы к текущим версиям Windows Server — Как изменить дату истечения срока действия сертификатов, выданных Windows Server 2003 или Windows 2000 Server CA и как установить для подчиненного CA предприятия период действия сертификата, отличный от срока действия сертификата родительского CA.

Заключение

В этом В статье я представил основные шаги по созданию корневого центра сертификации в Windows Server 2012 R2. Следующим шагом является создание подчиненного ЦС, который будет выдавать сертификаты устройствам и пользователям, что позволит нам отключить корневой ЦС и защитить его от атак.

Не выключайте корневой ЦС просто так. еще. В следующей статье мы создадим и настроим подчиненный центр сертификации.

Оцените статью
logicle.ru
Добавить комментарий