Tanúsítvány visszavonásának ellenőrzése a vizsgáló laboratórium

Minden jelentősen megváltozott az elmúlt 15 év, és bizonyos mértékig a jobb. Az egyik legjelentősebb változás az volt a virtualizáció a munkaállomások és szerverek. Eszközök használatával, mint például a VMware vagy Microsoft Hyper-V, most, hogy vesz egy közepes teljesítményű szerverek alapuló Nehalem CPU 16GB + RAM és végre nagyon összetett vizsgálatokat, hogy valóban szimulálni a fizikai növény.

Azonban még mindig vannak olyan dolgok, amelyek problémát okozhatnak a teszt környezetben, és a nyilvános kulcsú infrastruktúra (PKI) mindig vezeti a listát. PKI (Public Key Infrastructure) egy fontos pont, minden teszt környezetben, mert a tanúsítványokat sok helyzetben használjuk, amikor ellenőrzi a termékek és a Microsoft technológiákat. Az egyik legnagyobb kihívást jelentő vonatkozásai PKI infrastruktúra a rendelkezésre álló CRL (tanúsítvány-visszavonási lista - CRL). A lényeg az, hogy néhány megoldást igényel sikeres CRL ellenőrzése, és néhány nem. A probléma az, hogy a Microsoft a dokumentáció nem mindig azt mondják, amelynek értelmében egy eset a egyik vagy másik helyzet, hogy meg kell kitalálni, hogy szeretné ezt a csekket, vagy nem (vagy ami még rosszabb, hogy végezze el a teljes konfigurációs folyamat, hogy a végén, meg ez a megoldás nem működik).

Az egyik megközelítés az, hogy letiltja a CRL ellenőrző kudarcok, hogy távolítsa el az összes hivatkozást a CRL elosztási pont az előírt tanúsítvány az ügyfelek számára. Amikor ez megtörtént, a CRL-ellenőrzéseket nem sikerül, mert nincs hely, hogy ellenőrizze. Természetesen ez csökkenti a biztonsági szintje, így a legtöbb esetben, a termelési környezetben nem lehetőség, hanem a teszt környezetben, ahol a bizalmi viszonyok nem jelentenek problémát, számos módja van ennek.

Ha nem szeretné tiltani CRL ellenőrző a környezetben, akkor hozza létre a saját szempontjából bizonyítványok elterjedése, amelyet fel lehet használni egy tesztkörnyezetben, majd konfigurálja a szerver tanúsítványt felvétele a DP CRL szétosztási pontok kibocsátott tanúsítványok hozzájuk.

Először nézzük kétféleképpen letiltani CRL ellenőrzése.

Letiltása CRL ellenőrző

A tanúsító hivatal konzolon kattintson jobb gombbal a kiszolgáló nevére a bal oldali panelen, és válassza ki a Tulajdonságok (Properties).

Kattints a harmadik bejegyzés a listában. Ellenőrizze, hogy a következő lehetőségek vannak pipálva: Hozzáadás CRL. Az ügyfelek az adatokat, hogy elhelyezések a Delta CRL. (Tartalmazza a CRL. Az ügyfelek ezt, hogy megtalálják Delta CRL helyek). Tartalmazza CDP által kibocsátott tanúsítványok bővítmény (Beleértve a CDP kiterjesztése kibocsátott igazolásokat), és egy olyan expanziós IDP kibocsátott CRL (tartalmazzák az IDP kiterjesztése kibocsátott CRL).

Kattintson a negyedik felvételt. Ügyeljen arra, hogy a bemutatott lehetőségek az alábbi ábrán látható, nincs kiválasztva.

Az OK gombra kattintva változtatások után. Lehet, hogy indítsa újra a szolgáltatást tanúsítvány (Certificate Services) „, ha igen, csináld.

A fenti eljárás lehetővé teszi, hogy konfigurálja a szolgáltatást, így a kiadott tanúsítványok CA, kihagyja ezt az információt. De talán, akkor kell, hogy ezt csak az adott tanúsítványsablonra, és nem az összes által kiállított igazolások CA. Ebben az esetben hozhat létre, és konfigurálja a tanúsítványsablonra hogy kizárja a CRL DP információ által kibocsátott igazolásokat a sablont.

Ha látni, hogyan is működik ez, kattintson a Start menüben (Start) a Futtatás mezőbe írja be az MMC. majd nyomja meg az ENTER-t.

Az új MMC, kattintson a Fájl menü (Fájl), majd válassza hozzáadása vagy eltávolítása Snap-in (Add / Remove Snap-in) „Add Tanúsítványsablonok beépülő modul (Tanúsítványsablonok). az alábbiak szerint.

A Tanúsítványsablonok konzol (Tanúsítványsablonok), kattintson a Tanúsítványsablonok a bal oldali panelen. A jobb oldali a konzolon kattintson jobb gombbal a tanúsítványsablonra és válassza ki a Tulajdonságok (Properties).

Létrehozása CRL elosztási pont a tesztkörnyezet

Ha nem szeretné tiltani CRL ellenőrző a környezetben, akkor létrehozhatunk saját terjesztési pontok, amelyeket fel lehet használni egy tesztkörnyezetben, majd beállíthatja a szerveren található tanúsító DP a CRL kibocsátott tanúsítványok hozzájuk. Az első lépés az, hogy konfigurálja a CA fellebbezni a CRL elosztási pont Distribution Point, amit létrehoz. A második lépés, hogy hozzon létre a DP CRL és CRL közzététele a DP CRL

Kezdjük a beállításokat CRL Distribution Point Distribution Point hitelesítésszolgáltató. Mivel a lépések konfigurálására CA, és a leggyakoribb pont egy nagyon részletes és pontos, a lépésről lépésre megközelítés, hogy semmi nem marad.

1. Most kattintson az Igen (Yes). újraindításához Active Directory Certificate Services szolgáltatást.
2. Zárja be a hitelesítő hatóság konzolt.

Most hozzunk létre egy web-alapú CRL Distribution Point pont az autóban, ahol el szeretné helyezni a CRL. Létrehozunk egy web CRL Distribution Point pontot, tehát az ügyfelek hozzáférhetnek a CRL HTTP-n keresztül kapcsolatot.

1. Azon a gépen, ahol el szeretné helyezni a CRL, kattintson a Start menü Felügyeleti eszközök pontjára. Válassza Manager Internet Information Services (IIS) kezelője.
2. A bal oldali a konzolon a # 92; Sites # 92; Alapértelmezett webhely. Kattintson a jobb gombbal az Alapértelmezett webhely és válassza az Add Virtual Directory (Add Virtual Directory).

1. A Virtual Directory párbeszédablak hozzá egy szöveges mező Alias ​​(Alias), írja CRLD (ez bármilyen nevet választottuk CRLD). Ezután a területen, nyomja meg a kihagyás gomb „” „A fizikai útvonal (fizikai út).

1. A Tallózás a mappák között párbeszédpanelen (Tallózás a mappák között), válassza ki a bejegyzést a Helyi lemez (C :) (Helyi lemez (C :), majd hozzon létre egy új mappát (Új mappa).
2. Írja CRLDist a mappa nevét, majd nyomja meg az ENTER billentyűt. Kattintson az OK gombra a párbeszédablak Tallózás a mappák között.

1. A panel közepén kattintson duplán a felülvizsgálata a könyvtár (Directory böngészés).
2. A jobb oldali a konzolon kattintson az Engedélyezés (Enable).

1. A konzolon kattintson az Alkalmazás a jobb oldalon.

1. Zárja az Internet Information Services konzol (IIS) kezelője.

Most kell beállítani a jogosultságokat a CRL Distribution Point fájl megosztása. Itt beállíthatja a jogosultságokat a fájlmegosztás létre CRL Distribution Point mappákat.

1. Azon a számítógépen, amely kiszolgálja a CRL DP Start gombra, majd a Computer (Számítógép).
2. Kattintson duplán a Helyi lemez (C :).
3. A jobb oldali ablakban az Explorer a Windows Explorer jobb egérgombbal a CRLDist mappára, és válassza a Tulajdonságok parancsot.
4. A Tulajdonságok párbeszédablak CRLDist tulajdonságai, kattintson a Megosztás fülre (Sharing). A Megosztás lapon (Sharing) nyomógomb Advanced Sharing (Speciális megosztás).
5. Az Enhanced megosztási beállítások párbeszédablakban állítsa be a jelölőnégyzetet a beállítás mappa megosztása (Mappa megosztása).
6. A Share name (Megosztás neve) add # 36; végén a név a következőképpen CRLDist # 36;
7. A párbeszéd Továbbfejlesztett megosztási beállításokat, kattintson az Engedélyek (Engedélyek).
8. A megjelenőpárbeszédpanelen CRLDist # 36; Hozzáadás gombra.

1. A párbeszédablak kiválasztása felhasználói fiókok, számítógépek, szolgáltatások vagy csoportok (Felhasználók, számítógépek, szolgáltatási számlák, vagy csoportok), kattintson Objektumtípusok (Object Types).
2. A Objektumtípusok párbeszédpanelen válassza Computers (Számítógépek), majd az OK gombra.
3. A párbeszédablakban kiválasztása egy felhasználói fiókot, a számítógép, vagy egy szolgáltatás csoportot a szövegmezőbe Adja meg a kijelölendő objektumok nevét (Írja be a kijelölendő objektumok nevét), írja be a nevét a számítógép, amely kiszolgálja a CA, majd kattintson a Check Names (Névellenőrzés). Kattintson az OK gombra.
4. A megjelenőpárbeszédpanelen CRLDist # 36; válassza ki a számítógép nevét, amely kiszolgálja a Certificate Services (Certificate Services) a névsorát csoportok vagy felhasználók (Csoport vagy felhasználó neve). Az engedélyek szakaszban, válassza az Allow (Engedélyezés) Teljes hozzáférés (Full Control). Kattintson az OK gombra.

1. A párbeszédablakban Extended megosztási lehetőségeket, kattintson az OK gombra.
2. A párbeszédablakban CRLDist Properties, majd a Biztonság fülre (Security).
3. A Biztonság lapon kattintson a Szerkesztés gombra.
4. Az Engedélyek párbeszédpanelen kattintson a Hozzáadás CRLDist.
5. A párbeszédablak kiválasztása felhasználói fiókok, számítógépek, szolgáltatások vagy csoportok, kattintson Objektumtípusok.
6. A Objektumtípusok párbeszédpanelen jelölje be a lehetőség Computers. Kattintson az OK gombra.
7. A párbeszédablak kiválasztása felhasználói fiókok, számítógépek, szolgáltatások vagy csoportok a szövegmezőbe Adja meg a kijelölendő objektumok nevét, írja be a nevét a számítógép, amely kiszolgálja a CA, majd kattintson a Check Names. Kattintson az OK gombra.
8. A megjelenőpárbeszédpanelen CRLDist válassza ki a számítógép nevét, amely kiszolgálja a hitelesítésszolgáltató (Certificate Service) a listából a Csoport vagy felhasználó neve. Az Engedélyek részben válassza ki a jelölőnégyzetet az oszlop teljes hozzáférést (Teljes kontroll) az opciót. Kattintson az OK gombra.

1. Kattintson a Bezárás gombra (Close) a Tulajdonságok párbeszédablakban CRLDist.
2. Zárja az Explorer Windows Intéző ablakot.

1. Zárja az Explorer Windows Intéző ablakot.
2. Zárja be a hitelesítő hatóság konzolt.

következtetés

Kapcsolódó cikkek

• Clinic betegek Averbukh értékelések - kórházak, klinikák, laboratóriumok,