В тази статия ще разгледаме следните теми за тънкостите и най-добри практики за прилагането на PKI от Microsoft - Active Directory удостоверителни услуги:
Общи понятия PKI
Колкото по-интегрирана, комплекс и сигурно получаване инфраструктура в Windows Server, толкова повече е необходимо в допълнение към традиционния Active Directory на PKI (Public Key Infrastructure, превежда като инфраструктура с публичен ключ), за да се гарантира доверие и удостоверяване между компютри, потребители и услуги. Active Directory удостоверителни услуги - е изпълнението на PKI от Microsoft, който се състои от следните елементи:
- Certificate Authority (CA, сертифициращ орган), корен и подчинен
- универсален отношения на доверие в CA.
- Сертификати, издадени от СО за компютри, потребители, и услуги
- различни PKI поддръжка
- Списъкът с анулирани сертификати (CRL)
- Онлайн Responder (онлайн Responder, по-прогресивна алтернатива на CRL)
- Уеб записване (по искане сертификат означава чрез Интернет)
Автоматична заявка сертификат
Ръчно инсталиране на сертификата за корен CA
Ако Directory среда активен и местен доверие мрежа органа по сертифициране корен автоматично се конфигурира за доверието от ТЗ от не-домейни отдалечени компютри, трябва да инсталирате сертификата за Калифорния в техните доверени Root Certification Authorities. Или по друг начин ще се издава предупреждения за потенциалните опасности от неизвестно лице, подписан сертификат, ако има такива, връзка със сървъра, ще бъдат отхвърлени, тъй като, например, в случай на Remote Desktop Services Gateway ще бъде отделено на тази грешка:
Компютърна не успее да се провери лиценз шлюза за отдалечен работен плот "server.argon.com.ru". Свържете се сървъри без лицензи опасни. Този компютър не може да потвърди идентичността на РД "server.argon.com.ru". Не е безопасно да се свърже със сървърите, които не могат да бъдат идентифицирани. Този сертификат не може да бъде проверена чрез проследяване на надежден орган за сертифициране
Трябва да се помни, че сертификатът трябва да инсталирате главната СО не е в магазин на текущия потребител, както и локален компютър магазина, така че веднага след като съдържанието му действа върху всички потребителски и системни акаунти. Има няколко начина за добавяне на сертификата за Калифорния в местния магазин за компютри.
Отворете MMC като администратор ", добавят от сертификатите моментното състояние", избрана като площта на локалния компютър ", за да импортирате сертификата в Trusted Root Certification Authorities. Повече подробности в TechNet статията Управление на надеждни основни сертификати.
Чрез свойствата на сертификат
Започнете команден прозорец с администраторски права ", за да го накара да: \ път \ да \ cert.crt» отваря прозореца със свойства на сертификати ", за да натиснете бутона Set" поставете отметка в квадратчето Показване на физическите магазини ", за да изберете хранилището, за да инсталирате сертификата на Trusted Root Certification Authorities" локалния компютър.
Командният ред
Тя се нуждае от CertMgr полезност. използване е необходимо да се изпълни следната команда:
certmgr.exe -Add -c ", за да: \ път \ да \ cert.crt" -s -r localMachine корен
Сертификат проверки за анулиране
Той не успя да се провери дали не е отнет сертификата. Проверка за отмяна не може да се сезират за сертификата.
Проверете правилното функциониране на проверката за отменяне (CRL или OCSP) всеки сертификат, можете да използвате следната команда:
certutil -url name.cer
където name.cer - издадени на името сертификат.
Трябва да се разбере, че проверки за анулиране от OCSP протокол е успешна, само ако удостоверението издаване на сертификат от сертифициращ орган, което се проверява се намира в магазина на надеждни сертификати на локалния компютър.
Web Service Уверение
Те Уверение Web Services, ако е на английски език. Много полезна роля, която ви позволява да:
- на заявка потребителски удостоверения без администратор
- по искане на главния сертификат CA
- изпълнение на специални искания вече подготвени (персонализирани заявка), като например уеб сървъри, работещи на Linux или други мрежови устройства
- да направи всичко по интернет
- Уеб Записването самата може да работи с не-CA компютър, което увеличава безопасността на главен орган
Инсталиране и конфигуриране на Web записване е просто и тривиално, със следните изключения
- ако инсталирате уеб Записването на компютъра е различен от ТЗ, трябва да сте сигурни, да следвате стъпките, описани в статията TechNet Конфигуриране на настройките на делегацията за Web Service Сметката Уверение. в противен случай услугата няма да работи с следната грешка:
Възникна неочаквана грешка: Услугата CA (CS) не работи. Възникна неочаквана грешка: удостоверяващия орган, служба не е започнало.
Заявка за сертификат с алтернативно наименование
По подразбиране на СО за Windows Server не е конфигуриран да издават сертификати, които съдържат San. За да активирате тази функция на Калифорния компютър, за да се изпълни:
certutil -setreg политика \ EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
Нетната спирка certsvc
Нетната старт certsvc
Искане чрез конзолата MMC
Искане чрез certreq на полезност
По-гъвкава и гъвкав начин за искане сертификат е следният SAN използване полезност certreq. За създаване на сертификат трябва да се действа по следния алгоритъм:
[Версия]
Подпис = "$ Windows NT $"
[NewRequest]
Тема = "CN = server.argon.local, ОУ = IT, O = аргон, L = Киров, S = Кировска, C = RU"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Изнесен = ИСТИНСКИ
MachineKeySet = ИСТИНСКИ
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
ProviderName = "Microsoft RSA SChannel Криптографски Доставчик"
FriendlyName = "server.argon.local с SAN"
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1; Server Authentication
[RequestAttributes]
CertificateTemplate = уеб сървър
[разширения]
2.5.29.17 = ""
_continue_ = "DNS = *. argon.com.ru"
_continue_ = "DNS = argon.com.ru"
_continue_ = "DNS = server.argon.local"
_continue_ = "DNS = сървър"
_continue_ = "DNS = Localhost"
2. На машината, за която се иска трябвало сертифициране, за да изпълните командата
certreq -Нови request.inf
Ние сме подканени да запазите файл в готов формат заявка .req. В същото време частният ключ за бъдещето на сертификата ще се съхраняват в хранилище на сертификати на компютъра.
3. Изпратете запитване и да получите сертификат за достъп в отговор .cer файл. Можете да използвате управлението на MMC-koncolyu сертифициращ орган (и уточни .req файл) или Web записване (в прозореца на разширена заявка поставете съдържанието на файла и изберете .req шаблон уеб сървър).
4. Извършва се получи сертификат за целта компютър със следната команда
certreq -accept request.cer
Генерализирани най-добрите практики
Полезни връзки
"Например съединението с дистанционно плот отклонява, производство грешка:
Той не успя да се провери дали не е отнет сертификата. "
Игор, добър ден!
Вземете само такава грешка, обаче, ми се струва, е създал всичко е наред, може да помогне да се разбере проблема?
Мога да изпратя снимки, които ясно показват, как всичко е настроено, но не знам къде точно е необходимо да се изпрати.
Адванс благодарни за помощта.
1. Отидете на компютъра, когато се свързвате към които има проблеми в сертификат моментна компютър за износ на сертификата, за да бъдат използвани за ПРСР файл (без zakrrytogo ключ).
2. Хвърли сертификата на компютър, когато се свържете с която е издала грешка на валидиране сертификат.
Извършване certutil -url name.cer
Той трябва да премине отнемането на сертификат за проверка или в референтната лаборатория на Общността, или чрез OCSP.
Ще се опитам, разбира се, но да се направи тази операция за 150 потребители е нереалистично, че би искал да видя тези неща се практикуват автоматично, освен това, че за този вид настроите всичко, което трябва да се разберат причините защо това не се получи отмяна проверка и прилагане - това е крайна в случай, че ...
След принуден да се опита да се провери в контролирана среда, за да намерите и отстраняване на причината. От всички потребители, и аз не говоря;)
C: \ Users \ администратор> certutil -url C: \ ts.cer
CertUtil: -URL - команда завърши успешно.
Продажбите са загубили, която все още може да предложи. Да започнем с един прост.
1. Уверете се, че сертификатът за краен клиент наистина вярва kompyuteorom на, по цялата верига от сертификата на Root CA. И доверие не трябва да бъде на нивото на съхранение потребител, така и на ниво компютър.
2. Ако има машина с достъп до които има не е този проблем, след това сравни конфигурации с пациенти.
3. Ако все още не си струва, опитайте се да разгърне Online отговор при. Въпреки, че в този случай трябва да се ре-подвижен сертификат за ограничаване на Стария за това.
Разбира се, ние може, но аз вярвам, че обществен дебат може да бъде полезно, както и други читатели.
Сега случая могат да бъдат поставени екрани Сертификат свойства, или самите сертификати. Ако се притеснявате за неприкосновеността на личния живот, можете да ме хвърлят линк към формата за обратна връзка.
1. Запазване на компютъра и да се провери валидността на използване certutil.
2. Запазване на компютъра си и да ги импортирате в хранилището "TSC доверен" фирми, просто за забавление
Ако тези действия не се показват нищо ново, а след това да изпрати пълния сертификат без частни ключове, essno.
Е, Лийхи е начинът, по който ...
4. Изключване на GPO CRL проверка за ПРСР
5. След GPO за инсталиране на клиентски компютри TS самоподписани удостоверения като се има доверие.
"Монтирането на Калифорния в политиката Active Directory домейн група трябва да се създаде по подразбиране, което е предписано на доверието на клиентите към главен орган"
"Но ако те припомни, CA."
Очевидно е, че има печатна грешка и означава "не".
«CRL (списъка с анулирани сертификати, CRL) на уеб сървъра, актуализира редовно"
Лично аз се създаде сертифициращи органи да публикуват CRL'ey в DFS (репликация, ако е необходимо), когато те са лесно се справиха IIS'om - Няма никакви "редовни актуализации" не е необходимо - всичко автоматично. Пример за такива настройки показвам тук.
Е, какво е трудността да направят същото, когато името на външен домейн е различен от вътрешната? Осигуряване на наставка "прозрачност" на домейн, според моята теза, са описани тук.
"Трябва да се разбере, че проверки за анулиране OCSP протокол е успешна, само ако CA сертификат сертификат за издаване се проверява се намира в магазина на надеждни сертификати на локалния компютър"
Също така бих искал да добавя, че за успешното утвърждаване ГРАО ще се проведе само в случай, когато той OCSP сървър има достъп до CRL-файлове - това е мястото, където е необходимо, информацията, спестяване на клиента от тяхното изтегляне).
"Те Уверение Web Services, ако е на английски език. Много полезна роля "
И аз бих казал, че ролята на безполезен и за себе си, като го използвате за дълго време отказваше. Podans, между другото, е съгласен с това мнение (тук и тук) :).
"По подразбиране CA на Windows Server не е конфигуриран да издават сертификати, които съдържат SAN.»
Една обща погрешно). КО и даде SAN-сертифицирани и без включването на тази опция - веднъж Вадим I "повярвали", но предишната връзка сам призна своята грешка и вреди на този флаг.
Не е необходимо).
"А по-гъвкава и гъвкав начин за искане сертификат е следният SAN използване полезност certreq.»
За сметка на универсалното не може да се спори, но за сметка на гъвкавост, не са напълно съгласни :). По мое мнение, най-гъвкавата - искане от MMC-конзола в новите системи. И просто и удобно и ясно, и без да се създава файл с един куп параметри, които не могат да се имат предвид и трябва да отиде в предварително приготвените шаблоните.
"Изпратете запитване до сертифициращия орган и да се върнат .cer файл. Можете да използвате за управление MMC-koncolyu Сертифициране орган (.req и посочете файла) или Web записване (в прозореца на разширена заявка поставете съдържанието на файла и изберете .req шаблон уеб сървър). "
Аз предпочитам, ако е необходимо, да изпратите команда искане «certreq -Submit -attrib« certificatetemplate: уеб сървър »Request.req Response.cer».
"Ако имате CA на Windows, обвързана с тази на Христа, то трябва да се настрои на CRL / AIA публикуване в АД»
Твърде голяма грешка). Тези връзки в интернет сценарии само пречат и най-добрият вариант е да се завърши своя "рязане" на сертификатите - да напусне HTTP само публична справка.
Можете да научите как да направите това не с компютъра на домейн?
Свързани статии