Újdonságok a hirdetés cs bizonyítvány szolgáltatások a Windows Server 2018 R2 vs
Mint ismeretes, a szükséges tanúsítványok biztonságos hitelesítést, hozzon létre SSL-kapcsolatok Levél S / MIME-üzenetek és egyéb intézkedéseket, amelyek célja, hogy biztosítsák a biztonságot. Minden évben, a tanúsítványok használatával növekszik, és annak érdekében, hogy megfeleljen az új követelményeknek, a Microsoft nagyon komolyan átdolgozták a régi szolgáltató tanúsítvány Services.
- Tanúsító hatóságok (CA) - Ez az összetevő teszi lehetővé, hogy telepítse és konfigurálja a gyökér (root), vagy slave (alárendelt) tanúsító hatóságok (más néven „minősítő központ”), amelyek segítségével ki tanúsítványt a felhasználók, számítógépek és szolgáltatások.
- Webes igénylés szükséges tanúsítvány kérelmet, és információt kaphat a visszavont tanúsítványok webböngészőn keresztül.
- Online válaszadó lehetővé teszi az ügyfelek, hogy információt kapjunk a tanúsítvány állapotának nélkül a visszavonási listák.
- Hálózati Eszközregisztráció Szolgálat (NDES) által használt routerek és egyéb hálózati eszközök nélkül felhasználói fiókok a domain tanúsítványok megszerzésében. Beiratkozási Szolgáltatást hálózati eszközök segítségével SCEP protokoll (Simple Tanúsítványigénylés jegyzőkönyv), amelyet a Cisco által kifejlesztett. Bővülő NDES IIS keresztül van beállítva regisztrációs kulcsokat HKEY_LOCAL_ROOT \ Software \ Microsoft \ kriptográfiai \ MSCEP.
- Tanúsítványigénylés web szolgáltatás lehetővé teszi az ügyfelek automatikusan igénylés és fogadni őket HTTPS protokollon keresztül.
- Tanúsítványigénylési Policy Web Service segítségével határozzuk meg a politikákat az automatikus engedélyek és továbbítja azokat az ügyfeleknek HTTPS. Abban az időben, mint a Web Service információt kap AD LDAP segítségével politikát.
Lehetőségek telepítése és kezelése AD CS
Telepítése AD CS úgy állítunk elő szerepek egy pillanat Server Manager. Mint korábban, hogy állítsa be a paraméter beállításokat használt CAPolicy.inf konfigurációs fájlban, amelyet be kell a% SYSTEMROOT%. Ha kell telepíteni a szerver komponens a két minősítő hatóság és Tanúsítványigénylési Web Service, ezt kell tenni két szakaszban, mint amikor felszereltük CA nem telepíti a webszolgáltatás összetevő.
Enterprise PKI segítségével egyszerre nyomon az egészségügyi és a rendelkezésre álló több CA, ellenőrizze az állapotát tanúsítványok CA, rendelkezésre álló AIA (Authority Information Access) és visszavonási listák. Segítségével több színű jelek láthatók a rendelkezésre álló és a PKI állapotban. Pkiview hasznos, ha telepítve van a szervezet több CA, és a velük kapcsolatos információk a következő címen szerezhetők több forrásból működő különböző protokollokat.
tanúsítványsablonok
Segítségével meg tudja határozni a formátumát és tartalmát közzé tanúsítványsablonok tanúsítvány, és engedélyt kér, hogy a tanúsítványt kérő felhasználók és számítógépek. Csak Enterprise CA használhatja tanúsítványsablonok.
Új utak a tanúsítványt kérő
By the way, hogy a felhasználók hogyan és számítógépek bizonyítványt kapnak? Más szóval, akkor egy kérelmet a tanúsítványt, és telepítse azt a számítógépen? Akkor, persze, a kezét, hogy hozzon létre egy PKCS # 10 kérés és a parancssorból, és adja át certreq kérést CA, de nem mindig van arra, hogy elmagyarázza a felhasználókat, hogyan kell csinálni. Ha a felhasználó domain és csatlakozik a vállalati hálózathoz, akkor a csoportházirend konfigurálását automatikus bejelentés és a kérelmek feldolgozását. Ennek eredményeként a felhasználó nem is sejti, hogy már telepítve van egy új igazolás vagy frissített régi.
Az ügyfelek, akik nem tartoznak a tartomány vagy nincs közvetlen hozzáférést biztosít a hálózatot a CA, kérhet tanúsítványt egy webes felületen keresztül. Component webes igénylés, ami ehhez szükséges, a jelen és múlt, de már jelentősen át. Xenroll.dll régi könyvtár, amit írt sok évvel ezelőtt, és hosszú ideig kiegészített új funkciókat és hibákat, váltotta egy újat - CertEnroll.dll, mert könnyebb volt, hogy írjon a semmiből, mint kijavítani valamit, ami. Web Beiratkozás lehetővé teszi, hogy alkalmazza a méret PKCS # 10 vagy hozza létre a lekérdezéseket interaktívan egy böngésző, Automatikus igénylés nem támogatott.
Ha azt szeretnénk, hogy elkerüljék a kérelmeket az CA az új tanúsítványokat az interneten, de vannak ügyfelek, akiknek szükségük bizonyítvány megújítására, amikor például az üzleti utazások, csak akkor tudjuk használni a frissítés módja (megújítási-only). Ebben az esetben az ügyfelek először a bizonyítvány kiadásának kell az ugyanazon a hálózaton, mint a CA, és abban az esetben, tanúsítvány megújítási kihasználhatják a hitelesítésszolgáltató webes beiktatási.
Policy ezeknek a szolgáltatásoknak a segítségével állíthatók csoportházirend vagy az ügyfél, egy bepattanó tanúsítványok.
CRL vs. Online válaszadó
Amikor ellenőrzi a tanúsítvány érvényességét, többek között annak érvényességét ellenőrzik, és a visszavonási állapot. A tanúsítvány visszavonható, abban az esetben a kompromisszum a legfontosabb, és ha változik a tájékoztatás a tulajdonos, például a változó helyzetben vagy a családokat. Hagyományosan a tanúsítvány visszavonási információ van elhelyezve a visszavonási listák (CRL (tanúsítvány visszavonási lista)). Annak kiderítésére, hogy a tanúsítvány visszavonásra került, meg kell szerezni egy listát a véleménye, és ellenőrizze a jelenlétét a tanúsítvány vizsgálják. Ha a szervezet számos igazolások, a lista gyorsan fog nőni, és az ügyfelek és a tanúsítvány állapotellenőrzéshez szívesen letöltési listához. A szokásos listákat, ott is különbséget (Delta CRL), amelyek csak a tanúsítványok adatait, amelyek állapota megváltozott a korábbi visszahívási listán. Delta CRL részben oldja meg a problémát a mennyiség visszavonási listák, de nem old meg minden problémát kapcsolatos információk relevanciáját. Mivel listákat tesznek közzé a megadott időközönként, lehet olyan helyzet, hogy a tanúsítványt visszavonták, és az erre vonatkozó információt a CRL még.
OCSP protokoll támogatása az ügyfelek, kezdve a Windows Vista. Ezek segítségével konfigurálható az új csoportházirend-beállítások (Certificate Path Validation Beállítások lap visszavonása).
Ezzel szemben a használatát visszavonási listák Online válaszadó köteles először telepíteni és konfigurálni. Ehhez kövesse az alábbi lépéseket:
következtetés
Először is, hogy megkeresse támogatja az új protokollok és titkosítási algoritmusokat. Az OCSP protokoll, amely évekig jelen volt más szoftver termékek, végül elérte a szerver operációs rendszer Microsoft. Így a programozók és a rendszergazdák a különböző kiviteli tűnt, hogy ellenőrizze tanúsítvány visszavonási állapot, amely lehetővé teszi, hogy válasszanak a sebesség, az adatmennyiség és sürgős tájékoztatást. Fontos az is, hogy támogassuk az algoritmusok elliptikus görbék. Sajnos, nem támogatja az orosz és az amerikai szabványok, de elvárják, egyébként ez nem lenne furcsa.
Másodszor, sok a könyvtárakat (pl Crypto API és Xenroll.dll) újraírva, mert amit remélhetünk szabadulást a régi hibákat és problémákat, és várja az új.
Harmadszor, a jelentősen kibővített lekérdezési módszerek és tanúsítványok megszerzésében. Most bizonyítványok tud fogadni és hálózati eszközök nélkül a bejegyzést a domain és a felhasználók anélkül, hogy közvetlen hozzáférést a hálózathoz CA
Végül, nem figyelem, nem hagyta és automatizálási amatőr és skriptopisaniya - új objektumok és funkciók lehetővé teszik számukra, hogy felismerjék a fantáziád.
Itt található az ezt a cikket egy ismerősének: