Telepítése felügyeleti lánc tanúsítás szerver részeként végrehajtásának PKI domén
Telepítése felügyeleti lánc tanúsítás szerver
részeként végrehajtásának PKI domén
1. rész
A Microsoft azt javasolja, hogy gondosan megtervezni a PKI, mielőtt elindulna intézkedéseket tesz az alkatrészeket. Ami a CA, akkor kell eldönteni, hogy csak a saját hitelesítésszolgáltató vagy annak szükségességét, hogy a szolgáltatások és a nyílt (nyilvános), mint a CA VerySign. Egy különleges szerepet tervezi a helyét, mennyiségét és típusát SA. Két fő típusa CA: CA vállalati (enterprise CA) és a CA elszigetelt (stand-alone CA). Viszont vannak osztva két altípusa: a gyökér (root) és szolga (alárendelt). CA típusa határozza meg, ahol a tanúsítvány tárolják adatbázisban (helyileg vagy az Active Directory), mivel a kötvények kibocsátása (sablonok automatikusan vagy manuálisan), és így tovább. N. Ezenkívül tesz (Kiállító) nevezzük a CA, amely kezeli a kéréseket a végfelhasználók számára.
CA kiválasztása struktúra
Meg kell tervezni a többszintű struktúrát az SA. Ez elméletileg lehetséges, hogy a tanúsító hatóság ugyanabban az időben, mint a gyökér CA és a kibocsátó vállalatok ugyanabban az időben, de ez a konfiguráció ajánlott biztonsági okokból, valamint a további skálázhatóság miatt.
A Microsoft azt javasolja a szám a CA szintek 2-4: használata a mélyebb struktúra válik nehéz kezelni.
Ez lehet az úgynevezett „klasszikus” diagram három szintje közül a CA (lásd az 1. ábrát ..):
- Első szint: önálló gyökér CA;
- második szint: Isolated alárendelt CA (egy másik az úgynevezett köztes (intermedier), vagy politikai CA);
- A harmadik szint: az alárendelt CA Enterprise, aki szintén termeli a SA.
1. ábra felépítése a három CA
A telepítés az ilyen szerkezet, és figyelembe kell venni ezt a cikket. Hogy biztosítja: egy izolált CA tier (RootCA) során önmagától aláírt tanúsítvány magában, és ezt használjuk a gyökérzet. Elszigetelt alárendelt CA tier (SubCA) kap egy igazolást a Root CA, és használják, egyrészt, hogy fokozza a biztonságot az egész szerkezet, másrészt abban az esetben, ha a második szint több mint egy SA, hozzárendelni a különböző operációs politikát vagy politikákat biztonság CA alacsonyabb szinteken. Ebben a rendszerben a bevezetése a közbenső réteg nem kötelező, és használjuk fel, hogy a „klasszikus” jelent és a skálázhatóság képességek a jövőben. A Microsoft szerint a javaslatok biztonsági okokból, az első két szinten, a CA kell leválasztják a hálózatról, és a telepítés után és a kezdeti konfiguráció - biztonságos, védi a jogosulatlan hozzáféréstől helyszínen ki. Eleget ennek a követelménynek segíthet a virtuális gép - A VMware vagy a Virtual Server ideális biztonsági szakaszában infrastruktúra kiépítésével, és utólagos szigetelése a fizikai szerverek.
Végül egy alárendelt CA Enterprise (EntCA) kap egy igazolást a köztes CA egy Active Directory tartomány és tanúsítványokat kérésére a végfelhasználó manuálisan vagy automatikusan sablonok alapján (ajánlott). Mert rugalmasság kell legalább két egyes kibocsátó CA Intermediate CA, de csak azokat egyetlen kiszolgáló telepítése.
Meghatározása a funkcionális paraméterek CA
Amikor az értelmező struktúra meghatározása, szükséges figyelembe venni számos fontos paraméterek működését érintő egyes SA. Ahhoz, hogy ezek a paraméterek a következők:
Kiválasztása után a becsült működési paramétereit az egyes elemző mehet közvetlenül a telepítést. Meg kell jegyezni, hogy a számítógép nevét és tartományi tagság változás már nem lehet telepítése után Certificate Services. Tartománykörnyezetben figyelembe kell venni egy erdő, amely egyetlen fa, és a két tartomány. Dedicated.Root domén gyökérdomainnek, Res.Dom tartomány - gyermek (forrás). Certificate Services a harmadik szinten kerül sor a számítógép EntCA - tagja Dedicated.Root tartomány.
Telepítse a gyökér CA
Mivel a gyökér CA elkülönítjük, a telepítés előtt ellenőrizze, hogy a számítógép nem szerepel a domain, és egy nevet, amely a későbbiekben nem tervezett változás - esetünkben RootCA.
Szükséges továbbá, hogy készítsen egy különleges fájl capolicy.inf, amelyet be kell helyezni a% Systemroot%. A jelenléte a fájlt kell telepíteni a gyökér CA nagyon fontos, mert ez állítja a kezdeti paramétereket SA. Sőt, a Certificate Services telepítő varázsló nem csak figyelmeztet a távollétében ezt a fájlt, de nem fogja ellenőrizni annak helyességét.
Hiánya capolicy.inf fájl vagy hibás konfigurációt eredményez az a tény, hogy a CA lesz telepítve az alapértelmezett beállításokkal, mert nincs szülő CA számára, ahonnan lehetne öröklődik. Változás néhány közülük a telepítés után nem lesz lehetséges, és ennek következtében újra kell telepítenie Certificate Services újra. Ez nem olyan ijesztő, mint az egyetlen CA a szerkezet, de ez gyakorlatilag lehetetlen bevezetése után a CA alacsonyabb szinteken.
A paraméter értéke a részben [Certsrv_Server] nem lehet kevesebb, mint azok, amelyek fogják kérni a telepítő varázsló.
Mint már említettük, a gyökér CA közzétesz egy önmaga által aláírt tanúsítványt, amely nem rendelkezik a lista vélemény. Ezért fontos a [CRLDistributionPoint] és [Hatóság InformationAccess] kifejezetten meg kell jelölni, és hagyja üresen.
Ennek eredményeként megkapjuk itt capolicy.inf fájl tartalmát:
Signature = "$ Windows NT $"
Továbbá, mielőtt telepíti Certificate Services, érdemes telepíteni az Internet Information Services szolgáltatást és támogatást az ASP.NET. Működtetni a gyökér és a köztes CA jelenlétük nem szükséges, de lehet enyhíteni néhány további tanúsítványok kibocsátását, a CA alacsonyabb szinten, annak ellenére, hogy szinte az összes elérhető műveleteket a webes felületen keresztül, akkor két példányban, és miután Certificate Services beépülő modult.
A következő lépésben azt kérik, hogy adja meg a nevét a CA és a DN (megkülönböztető név). Az utóbbi esetben meg kell adni a megfelelő nevet kapcsolatban az Active Directory összefüggésben, annak ellenére, hogy a CA nem CA Enterprise. Tehát, ahogy a neve is az SA használja a RootCA, mint egy megkülönböztető nevet adja DC = dedikált, DC = root. Jelentés Érvényesség megadja azt az időt a tanúsítványt az élet. Mint fentebb említettük, az élettartama a gyökér CA készül egyenlő 20 év. Következő van egy generáció kriptomateriala, és meg kell várni a végén a folyamatot.
Az utolsó lépés az, hogy meghatározza a helyét a tanúsítvány-adatbázisában adatfájlok, rönk, és a megosztott mappát, amely információkra van szükség az ügyfél (az alapértelmezett C: \ CAConfig). Annak ellenére, hogy ez egy elszigetelt CA, ez még mindig egy helyi mappa jön létre, és abban az esetben a hálózati interfész, nyilvánosak.
Ellenőrzése és beállítása RootCA
2. ábra: A saját aláírású tanúsítványt a gyökér CA
Mi legyen a bizonyítvány:
- lapon Általános: mezőértékeket Kiadta Kiállítva és meg kell egyeznie, és pont az újonnan telepített CA (ebben az esetben RootCA). Az időintervallum, amely alatt a tanúsítványt érvényesnek, igaznak kell lennie és összhangban azzal, amit telepítéskor beállításra;
- lap Részletek: tanúsítvány az attribútumokat nem lehet CRL Distribution Points attribútumok és Kibocsátó adatainak elérése;
- A Tanúsítványlánc lapon: Az alsó mezőben fel kell tüntetni Ez az igazolás az OK gombra.
Tanúsítvány megtekintése lehet egy másik módszer - használja a beépülő modul Certification Authority, amely elérhető a Felügyeleti eszközök vezérlőpulton.
Elindítása után meg kell történnie automatikusan csatlakozik a jelenlegi szerver, és a bal oldali fa kell jelölni egy zöld pipa. Kattintva a jobb egérgombbal, és válassza a Properties fülön Általános, megtalálja a gombot a Tanúsítvány megtekintése. Ez a módszer a legjobb, mivel lehetővé teszi a jogot, hogy győződjön meg arról, hogy a tanúsítvány Services sikeresen indult, különben nem lenne a CA kapcsolódási hiba. Ezen túlmenően, ez az, ahol továbbra is a CA konfiguráció és folytassa az utasításokat a CRL elosztási pontok, és az AIA.
Hadd emlékeztessem önöket ismét a fontosságát a CRL, hogy ellenőrizze a tanúsítvány érvényességét. Kérdezd CRL elosztási pontok (CRL Distribution Points - CDP), akkor lehet menni a lapon (Extensions) az SA tulajdonságai ablak. A legördülő listában a tetején az ablak csak két paramétert: CRL és az AIA. CRL elhagyja a javasolt alapértelmezett és kapcsolja be a következő mezőbe, amely felsorolja a helyét a CRL.
Itt meg kell legyen nagyon óvatos - az első, majd ezeket a CRL elosztási pontok szerepelnek valamennyi közzétett ezeket a CA-tanúsítványokat. Ez elméletileg lehetséges, hogy módosítani vagy kiegészíteni a listát, és miután a CA megkezdi a munkát, de a gyakorlatban ez azt jelenti, hogy újra kell-kérdés minden tanúsítványokat bocsátottak ki, mielőtt a lista megváltozott.
Másodszor, elérhetetlenség CRL jelzi a rokkantság a tanúsítvány, ezért szükséges, hogy legalább két különböző CRL helyét.
Harmadszor, nem ajánlatos elhagyni a listát a használatlan elosztási pont.
Ezen kívül minden a CDP, megadhat további lehetőségek közül:
Visszatérve a feladat CRL elosztási pont. Ahogy CA levált a hálózatról, meg kell hagyni a helyi elosztási pont, amely az első a listán, és alapértelmezés szerint a C: \ WINDOWS \ system32 \ Certsrv \ CertEnroll \. Felhívjuk figyelmét, hogy ez a lehetőség feliratú CDP közzététele CRL ezen a helyen. Annak érdekében, hogy a rendelkezésre álló CRL hagyunk az LDAP-pont (meghatározva a lehetőségek közé Minden CRL és belefoglalja a CDP kiterjesztése kiadott bizonyítványok) és létrehoz egy új pontot, rámutatva, hogy egy megosztott hálózati mappát a helyi hálózaton (a lehetőséget, hogy foglalja bele a CDP kiterjesztése kiadott bizonyítvány). Mint ilyen, bemutatjuk a mappa UNC-útvonal a megosztott mappára, mely később a jövőbeni vállalati CA elemzi EntCA: file: // \\ Ent_CA \ CDP \
3. ábra beállítása CDP a gyökér CA
4. ábra: A cél pont AIA
Most akkor kattintson az OK gombra, és elfogadja azt a tényt, hogy a tanúsítási szolgáltatásokat kell indítani.
Azonban mielőtt közzéteszi a CRL, szükséges, hogy készítsen egy kijelző Active Directory névtér az SA-nyilvántartásban. Erre azért van szükség annak érdekében, hogy e kapcsolattartó LDAP CDP nyújtottak be a megfelelő formában. Ez történt a segítségével a csapat és certutil.exe Dedicated.Root tartomány az alábbiak szerint:
certutil.exe -setreg ca \ DSConfigDN CN = Configuration, DC = dedikált, DC = root
Az eredmény körülbelül a következő: