Всичко се промени значително през последните 15 години, и, до известна степен, по-добро. Един от най-съществените промени е виртуализация на работни станции и сървъри. Използване на инструменти като VMware или Microsoft Hyper-V, сега сме в състояние да си купи средна мощност, сървъри, базирани на Nehalem процесор с 16 GB + оперативна памет и изпълнява много сложни тестове, които наистина могат да симулират физическото ни централа.

Въпреки това, все още има неща, които могат да причинят проблеми с тестовата среда и инфраструктура с публичен ключ (PKI) е винаги на първо място в списъка. PKI (Public Key Infrastructure) е важен момент в който и да е тестова среда, тъй като сертификати се използват в много ситуации, когато се тестват продукти и технологии на Microsoft. Един от най-трудните аспекти на PKI инфраструктура е наличието на (списък на анулираните сертификат - CRL) на CRL. Долната линия е, че някои решения изискват успешно CRL проверка, а други не. Проблемът е, че документацията на Microsoft не винаги се каже, при които един случай попада в една или друга ситуация, така че трябва да се отгатне дали искате тази проверка, или не (или дори по-лошо, да извършва целия процес на конфигуриране, че в края на краищата, да намерите това решение не работи).

Един от подходите е да деактивирате неуспехите за проверка CRL е да се премахнат всички препратки към точката за дистрибуция CRL в сертификатите, предвидени за клиентите. Когато това е направено, проверките на CRL, няма да успеят, защото няма място, където да се провери. Разбира се, това намалява степента на сигурност, така че в повечето случаи, в производствена среда не е опция, но в тестови среди, където отношения на доверие не са проблем, има няколко начина да направите това.

Ако не искате да деактивирате CRL проверка във вашата среда, можете да създадете свой собствен точка на сертификати за разпространение, които могат да бъдат използвани в тестова среда, и след това да конфигурирате сертификат на сървъра за включване на пунктове за дистрибуция на DP CRL в издадените удостоверения за тях.

Първо ще разгледаме два начина, за да деактивирате CRL проверка.

Деактивирането на CRL проверка

В Authority конзола за сертифициране, щракнете с десния бутон върху името на сървъра в левия панел и изберете Properties (Свойства).

Кликнете на третия запис в списъка. Уверете се, че следните опции са отбелязали: Добави CRL. Клиентите използват данните за намиране на разположения в Delta РЛО. (Включват CRL. Клиентите използват това, за да намерите места Delta CRL). Включи CDP-издадено разширение сертификати (Включват разширяването CDP на издадените сертификати) и включват IDP разширяване издаден CRL (Включват разширяването IDP на издадена РЛО).

Кликнете на четвъртия записа. Уверете се, че опциите, показани на фигурата по-долу, не е избран.

Щракнете върху OK, след извършването на промени. Може да се наложи да рестартирате сертификата за обслужване (удостоверителни услуги) "ако е така, да го направи.

Горната процедура позволява да конфигурирате услугата, така че всички сертификати, издадени от СО, ще изключат тази информация. Но, може би, ще се наложи да направите това само за определен шаблон сертификат, а не за всички сертификати, издадени от СО В този случай, можете да създадете и конфигурирате шаблона сертификат за изключване на информацията CRL DP от удостоверенията, издадени от този шаблон.

За да видите как работи това, кликнете върху менюто Start (Старт) в полето Изпълни, въведете MMC. след това натиснете ENTER.

Новият MMC, кликнете върху менюто File (Файл) и изберете Добавяне или премахване на конзолна (Add / Remove Snap-в) "Добавяне Сертификат шаблони Самофиксиращи (Сертификат шаблони). както е показано по-долу.

В Сертификат шаблони конзола (Сертификат шаблони), кликнете върху шаблоните Сертификат в левия панел. В десния панел на конзолата, щракнете с десния бутон върху шаблона за сертификат и изберете Properties (Свойства).

Създаване на CRL точка разпределение на тестовата среда

Ако не искате да деактивирате CRL проверка във вашата среда, можете да създадете свои собствени разпределителни точки, които могат да бъдат използвани в тестова среда, а след това можете да конфигурирате сървъра за включване на сертифицирането на ДП в сертификатите за CRL, издадени към тях. Първата стъпка е да изберете ТЗ да се обжалва пред дистрибуция CRL точка Разпределение звено, което ще създадем. Втората стъпка е да се създаде публикуването DP CRL и CRL в DP CRL

Нека започнем с настройките на CRL Distribution Point Разпределение точка за сертифициращ орган на. От стъпките за конфигуриране на СО и най-често срещаната точка на много подробна и точна, ние използваме стъпка по стъпка подход, така че нищо не е за изпускане.

1. Сега, кликнете Yes (Да). да рестартирате Active Directory удостоверителни услуги услуги.
2. Затворете конзола сертифициращ орган.

Сега нека да се създаде уеб-базирана CRL Distribution Point точка на колата, където искате да поставите РЛО. Ние ще създадем уеб CRL Distribution Point точка, така че клиентите да могат да получат достъп РЛО чрез HTTP връзка.

1. На машината, където искате да поставите на РЛО, щракнете върху Старт и посочете Административни инструменти. Изберете Мениджър Internet Information Services (IIS) Manager.
2. В левия панел на конзолата, отидете на # 92; Сайтове # 92; Default Web Site. Щракнете с десния бутон върху Default Web Site и изберете Добавяне на виртуална директория (Добавяне на виртуална директория).

1. В диалоговия прозорец Virtual Directory добавите текстово поле Alias ​​(Alias), въведете CRLD (това може всяко име, ние избрахме CRLD). След това, в областта, натиснете бутона за прескачане '' 'физическия път (Physical път).

1. В Преглед на диалоговия Folder кутия (Преглед за папка), изберете влизане Локален диск (C :) (Локален диск (C :) и след това върху Създаване на нова папка (Направете нова папка).
2. Въведете CRLDist като името на папката и натиснете ENTER. Щракнете върху OK в диалоговия Преглед за папка.

1. В средата на прозореца, кликнете два пъти върху прегледа на указателя (Directory Browsing).
2. В десния панел на конзолата, кликнете върху Активиране на (Активиране).

1. В конзолата, кликнете върху Прилагане на десния панел.

1. Затваряне на мениджъра на Internet Information Services конзола (IIS).

Сега ние трябва да конфигурирате разрешенията за CRL Distribution Point File Share на. Тук ние конфигурирате разрешенията за файл акция създаден CRL Distribution Point папки.

1. На компютъра, който е домакин на CRL ДП, щракнете върху Старт, а след това Computer (Компютър).
2. Кликнете два пъти върху Локален диск (C :).
3. В десния панел на Explorer Windows Explorer щракнете с десния бутон върху CRLDist папка и изберете Properties.
4. В диалоговия прозорец Свойства на CRLDist Свойства щракнете върху раздела Sharing (Споделяне). В раздела Sharing (Споделяне) бутон Advanced Sharing (Advanced Sharing).
5. Диалогът Засилено настройките за споделяне, задайте отметка в квадратчето до опцията Споделяне на тази папка (Споделяне на тази папка).
6. В името на Share (Сподели име) се добавят # 36; в края на името следва CRLDist # 36;
7. В настройките за споделяне на диалоговите Засилено, щракнете върху Разрешения (разрешения).
8. В разрешенията за диалоговия CRLDist # 36; щракнете върху Добави.

1. В диалоговия прозорец Избор на потребителски акаунти, компютри, услуги или групи (Изберете Потребители, Компютри, профили за услуги или групи), щракнете върху типове обекти (типове обекти).
2. В диалоговия прозорец типове обекти, изберете Компютри (компютри) и след това върху OK.
3. В диалоговия прозорец Избор на потребителски акаунт, компютър, или група услуга в текстовото поле въведете имената на обектите, за да изберете (Въведете имената на обектите, за да изберете), въведете името на компютъра, който е домакин на СО, а след това върху Проверка на имената (Проверете имена). Щракнете върху OK.
4. В разрешенията за диалоговия CRLDist # 36; изберете името на компютъра, който е домакин на удостоверителни услуги (удостоверителни услуги) от списъка с имена на групи и потребители (група или потребителски имена). В секцията Разрешения, изберете опцията Allow (Разрешаване), за да Пълен контрол (Full Control). Щракнете върху OK.

1. В опциите за споделяне на диалоговите Extended, щракнете върху OK.
2. В диалоговия прозорец, CRLDist Properties, щракнете върху раздела Security (сигурност).
3. В раздела Защита щракнете върху Редактиране.
4. В диалоговия прозорец разрешения кликнете върху Добавяне на CRLDist.
5. В диалоговия прозорец Избор на потребителски акаунти, компютри, услуги или групи, кликнете върху типове обекти.
6. В диалоговия типове обекти прозорец, поставете отметка в квадратчето за компютри с опции. Щракнете върху OK.
7. В диалоговия прозорец Избор на потребителски акаунти, компютри, услуги или групи в текстовото поле въведете имената на обектите, за да изберете, въведете името на компютъра, който е домакин на СО, а след това върху Проверка на имената. Щракнете върху OK.
8. В разрешенията за диалоговия CRLDist изберете името на компютъра, който е домакин на сертифициращ орган (Certificate Service) от списъка с имена на група или потребител. В секцията Разрешения, поставете отметка в квадратчето в графата Разрешаване на пълен достъп (Пълен контрол) за опцията. Щракнете върху OK.

1. Щракнете върху бутона Close (Затвори) в диалоговия CRLDist Свойства.
2. Затворете прозореца на Explorer Windows Explorer.

1. Затворете прозореца на Explorer Windows Explorer.
2. Затворете конзола сертифициращ орган.

заключение

Свързани статии

• Клиника пациенти Авербук Отзиви - болници, клиники, лаборатории,