Тази статия описва процеса на конфигурацията на услугите ПБС PKI като част от съществуващата инфраструктура, както и стъпките, които трябва да бъдат направени, за да реализира мрежовото устройство със сертификат
ИТ инфраструктурата за вашето предприятие
Разпределение на сертификати за операционни системи Windows, на сертифициращия орган на предприятието - е сравнително проста процедура, която може да бъде автоматизирана с механизми Group Policy Сертификат Auto записване, след като конфигурацията на PKI. Въпреки това, издаването на сертификати на устройства, които не разполагат сметки в Христа, администраторите трябва ръчно създаване на заявки с публичен ключ Криптографски стандарти (PKCS) и инсталирате сертификати на устройството. В организации със стотици устройства не, представена в Христа, ще отнеме много дълго време.
Поради сложността на инфраструктурата на PKI и различни условия е необходимо в зависимост от сценария, трябва внимателно да се проучи «Microsoft Доклад за изпълнението на ПРДЕ» (www.microsoft.com/downloads/details.aspx?familyid=E11780DE-819F-40D7-8B8E-10845BC8D446), първа отколкото се очаква да продаде ПБС. Важно е да се да се тества в лабораторни условия, преди да въведат услугата в производствена среда ПБС.
ПРДЕ в Windows Server
ПБС услуга е предназначена за фирми, които вече са разположени PKI инфраструктура и искат да зададете сертификати на мрежови устройства като рутери и защитни стени, за да се повиши сигурността, опазването на мрежовия трафик чрез прилагане IPsec означава. Например, за да се изгради IPsec VPN канал между рутери или между лаптопи и устройства, включени в периметъра на мрежата. Не всички устройства поддържат протокола ПРДЕ, така че първо трябва да се консултирате с производителя на оборудването.
съображения дизайн
Ако инфраструктура на компанията се състои от PKI автономен център за сертифициране, тя трябва да бъде част от изолиран йерархия за сертифициране, обслужващи само за устройства, които поддържат ПРДЕ протокол. Други устройства в мрежата не трябва да се доверите центъра на корен сертифициране. Ако вашата организация използва Cisco оборудване и клиентски системи Windows, не е необходимо да се доверят на мрежовите устройства, можете да помислите за използване Cisco IOS сървъра сертифициращ орган - удостоверяващ център на базата на Cisco устройства, работещи с операционна система Internetwork операционна система. В допълнение, някои устройства имат ограничено подкрепа за определени конфигурации PKI инфраструктура, включително дължината на ключовете за криптиране, подчинени органи за сертифициране и на много нива PKI йерархия.
Сертифициращ орган: самостоятелен или предприятие?
Изпълнение ПБС услуга във връзка с сертифициращ орган, самостоятелно, чиято задача е да се гарантира, че сертификатите на мрежови устройства, по-подходящи в случаите, когато клиентите на Windows не е необходимо да се доверите в мрежовите устройства (например, при създаването на типа на VPN-канален на рутер към рутер с IPsec-криптирана) , Споделянето на ПБС сървъра и удостоверяването на предприятието център препоръчително в случаите, когато Windows клиенти с монтаж на VPN-връзки изискват доверието към мрежовите устройства.
Създаване ПБС
Нека да зададете ролята на сървър, ПБС и го свържете с центъра за сертифициране на предприятието. Това е стандартната конфигурация, в която са издадени сертификати за мрежови устройства, се ползва с доверието на всички клиенти на Windows, се присъедини към домейн. Имате нужда от работа удостоверява рисков център, част от директорията на АД, както и персонализирани и нарязани орган главната сертифициране.
настройки
Добавяне на запис NDES_Admin в местната група на администраторите на сървъра ПБС и корпоративните администратори група AD домейн. Обърнете внимание NDES_ServiceAccount до местна група за IIS_IUSRS ПБС сървър.
дублиране на сертификати
диалогов прозорец 1. Дисплей Enable Сертификат шаблони
Свързани статии