Az Active Directory tanúsítványszolgáltatások
Ebben a cikkben lesz szó a következő témákat a bonyolult és a legjobb gyakorlatok végrehajtására a PKI a Microsoft - Active Directory Certificate Services:
Általános fogalmak PKI
Minél több az integrált, komplex és biztonságos szerzés infrastruktúrába Windows Server, annál inkább szükség van amellett, hogy a hagyományos Active Directory egy PKI (Public Key Infrastructure, lefordítva a nyilvános kulcsú infrastruktúra), hogy biztosítsa a bizalom és a hitelesítést a számítógépek között, a felhasználók és a szolgáltatások. Active Directory Certificate Services - a végrehajtása PKI a Microsoft, amely a következő elemeket tartalmazza:
- Certificate Authority (CA, hitelesítő hatóság), gyökér és alárendelt
- egyetemes bizalmi kapcsolatot a CA
- Által kiállított tanúsítványokat a CA számítógépek, felhasználók és szolgáltatások
- különböző PKI támogatás
- Tanúsítvány-visszavonási lista (CRL)
- Online válaszadó (Online válaszadó, haladóbb alternatívája CRL)
- Web Beiratkozási (igazolás kérés azt jelenti, az interneten keresztül)
Automatikus tanúsítványkérés
Kézi telepítés a gyökér CA tanúsítvány
Ha egy Active Directory környezetben, és a helyi hálózati bizalom a gyökér hitelesítő hatóság automatikusan beállításra kerül, a hitelességét a CA által nem tartományi távoli számítógépen telepíteni kell a CA-tanúsítványt a saját Megbízható legfelső szintű hitelesítésszolgáltató. Vagy másképpen fognak ki figyelmeztetést a potenciális veszélyekről egy ismeretlen személy által aláírt igazolást, ha van, a kapcsolatot a kiszolgálóval elutasításra kerül, mint például abban az esetben, Remote Desktop Services Gateway kap ez a hiba:
Számítógép nem ellenőrzi az engedély átjáró Remote Desktop „server.argon.com.ru”. Csatlakozás szerverek engedély nélkül nem biztonságos. Ez a számítógép nem tudja ellenőrizni a személyazonosságát az RD „server.argon.com.ru”. Ez nem biztos, hogy csatlakozni szerverek, amelyeket nem lehet azonosítani. Ez a tanúsítvány nem lehetett ellenőrizni annak nyomon követésére, hogy egy megbízható hitelesítésszolgáltató
Emlékeztetni kell arra, hogy a tanúsítvány telepítéséhez szükséges a gyökér CA nem az aktuális felhasználó tárolni, és a helyi számítógépen tárolni, ezért amint annak tartalma pozitívan hat valamennyi felhasználó és a rendszer felhasználóit. Számos módja van, hogy adjunk a CA-tanúsítvány a helyi számítógépen tárolni.
Nyissa meg a MMC, mint egy rendszergazda „hozzáadjuk a tanúsítványok Snap” választották a területen a helyi számítógép „importálni a tanúsítványt a Megbízható legfelső szintű hitelesítésszolgáltatók. További részletek a cikkben TechNet kezelése Megbízható legfelső szintű tanúsítványok.
Keresztül a tanúsítvány tulajdonságai
Nyisson egy parancssort adminisztrátori jogokkal „okoz, hogy: \ path \ to \ cert.crt» megnyitja a tanúsítvány tulajdonságai ablak »hogy nyomja meg a Set gombot« Jelölje be a megjelenítése fizikai üzletek »hogy válassza ki a forrás, hogy telepítse a tanúsítványt a Megbízható legfelső szintű hitelesítésszolgáltató« Helyi számítógép.
A parancssor
Szükséges CertMgr segédprogramot. felhasználásával meg kell végre a következő parancsot:
certmgr.exe -add -c "hogy: \ path \ to \ cert.crt" -s -r localMachine gyökér
Visszavonási ellenőrzésnek
Ez nem sikerült ellenőrizni, hogy vissza nem vonja a tanúsítványt. A visszavonás ellenőrzés nem lehet végrehajtani, a tanúsítványt.
A helyes működés ellenőrzése A visszavonási ellenőrzésnek (CRL vagy OCSP) bármely igazolás, akkor a következő parancsot:
certutil -url name.cer
ahol name.cer - kiállított tanúsítvány nevét.
Meg kell érteni, hogy a visszavonás ellenőriztük OCSP protokoll csak akkor sikeres, ha a CA-tanúsítványt kiállító tanúsítvány ellenőrzött beállítása a boltban a megbízható tanúsítványok a helyi számítógépen.
Web Service Tanúsítványigénylés
Ezek Tanúsítványigénylés Web Services, ha angolul. Egy nagyon hasznos szerepük van, ami lehetővé teszi, hogy:
- a kérelmező felhasználói tanúsítványok nélkül rendszergazda
- kérésére a gyökér CA tanúsítvány
- teljesítette különleges kérések már előkészített (rendelésre), mint például a web szerver fut Linux vagy más hálózati eszközt
- mindezt az interneten keresztül
- Web Beiratkozás maga futhat egy nem-CA számítógép, ami növeli a biztonságot a gyökér CA
Telepítése és konfigurálása Web Beiratkozási egyszerű és triviális, az alábbi kivételekkel
- ha telepíti Web Beiratkozás a számítógép eltér a CA, akkor biztosnak kell lennie abban, hogy kövesse a leírt a cikkben TechNet konfigurálása küldöttség beállításai Tanúsítványigénylés Web Service fiók. egyébként a szolgáltatás nem fog működni a következő hibaüzenet jelenik meg:
Váratlan hiba történt: a CA Service (CS) nem fut. Váratlan hiba történt: A hitelesítő hatóság Service nem indult el.
Kérjen igazolást a másik nevet
Alapértelmezésben a CA a Windows Server nincs beállítva a tanúsítványok kiállítására, amelyek tartalmazzák a SAN. Ahhoz, hogy ezt a funkciót az CA számítógép végrehajtani:
certutil -setreg politika \ EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
Kérése az MMC konzolt
Kérjen a közüzemi certreq
Rugalmasabb és sokoldalúan igazolás kérés a következő SAN hasznossági certreq. Ahhoz, hogy hozzon létre egy tanúsítványt kell eljárni a következő algoritmus:
[Version]
Signature = "$ Windows NT $"
[NewRequest]
Tárgy = "CN = server.argon.local, ou = it, O = Argon, L = Kirov, S = Kirovskaya, C = RU"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Exportálható = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
Szolgáltató_neve = "Microsoft RSA SChannel Cryptographic Provider"
FriendlyName = "server.argon.local SAN"
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1; Server Authentication
[RequestAttributes]
CertificateTemplate = WebServer
[Extensions]
2.5.29.17 = ""
_continue_ = "DNS = *. argon.com.ru"
_continue_ = "DNS = argon.com.ru"
_continue_ = "DNS = server.argon.local"
_continue_ = "DNS-kiszolgáló"
_continue_ = "DNS = localhost"
2. A gép, amelynek a tanúsítást kérték kellene futtatni a parancsot
certreq -új request.inf
Azt kéri, hogy mentse a fájlt egy előkészített lekérdezés .req formátumban. Ugyanakkor a privát kulcs a jövőben a tanúsítvány lesz tárolva a számítógép tanúsítványtárolójába.
3. Küldj egy kérést, és kap egy tanúsító hatóságtól .cer fájlt. Használhatja az MMC-koncolyu Certification Authority menedzsment (és adja .req fájl) vagy webes igénylés (a kiterjesztett lekérdező ablak illessze be az a fájl tartalmát, és válassza ki .req webszerver sablon).
4. Végezze el a kapott igazolást a cél számítógép a következő parancs
certreq -accept request.cer
Generalizált legjobb gyakorlatok
hasznos linkek
„Például a vegyületet a távoli asztali eltérített, termelő egy hiba:
Ez nem sikerült ellenőrizni, hogy vissza nem vonja a tanúsítványt. "
Igor, jó napot!
Kap egy ilyen hibát, bár úgy tűnik számomra, létrehozott rendben, akkor segíthet megérteni a problémát?
Tudok küldeni egy képernyőképet, amely világosan mutatja, hogy minden be van állítva, de nem tudom, pontosan hol kell küldeni.
Előzetes hálás a segítséget.
1. lépés a számítógépet, ha csatlakozunk, amely problémák vannak pillanatok számítógép-tanúsítvány exportálni a tanúsítványt használt RDP fájl nélkül (zakrrytogo kulcs).
2. Dobd el a tanúsítványt a számítógépen, ha csatlakozni a bizonyítványt kibocsátó érvényesítési hiba.
Végezze certutil -url name.cer
Meg kell adni a vizsgálati tanúsítvány visszavonási vagy a CRL vagy OCSP.
Megpróbálom, természetesen, hanem az, hogy ezt a műveletet 150 felhasználók irreális, hogy szeretne látni ezeket a dolgokat gyakorolta automatikusan, továbbá, hogy ez a fajta az összes létre, meg kell érteni, hogy miért nem dolgoznak ki visszavonási ellenőrzést és érvényesítése - ez egy extrém abban az esetben ...
Amint arra kényszerültem, hogy ellenőrizze az ellenőrzött környezetben, hogy megtalálja és megszüntesse az okát. Az összes felhasználó, és nem beszélnek;)
C: \ Users \ rendszergazda> certutil -url c: \ ts.cer
Certutil: -url - parancs sikeresen befejeződött.
Értékesítési elveszett, ami még mindig kínál. Kezdjük egy egyszerű.
1. Ellenőrizze, hogy a tanúsítvány a terminál valóban megbízható ügyfél kompyuteorom, az egész láncot a tanúsítványt a Root CA És a bizalom nem lehet szinten a felhasználói adatok tárolására, és a számítógép szintjén.
2. Ha van egy gép a hozzáférést, ahol nincs ez a probléma, akkor össze konfigurációk a betegekkel.
3. Ha még mindig nem éri meg, próbálja telepíteni a Online válaszadó. Bár ebben az esetben van szükség, hogy újra gördülő igazolás tartalmazza a régi róla.
Természetesen tudjuk, de úgy vélem, hogy a nyilvános vita is hasznos lehet, és más olvasók.
Most a helyzet tudunk képernyők bizonyítvány vagy a Tulajdonságok bizonyítványok magukat. Ha aggódik a magánélet, akkor dobja nekem egy linket egy űrlapot.
1. Mentse a számítógépen és érvényességének ellenőrzésére használ certutil.
2. Add a számítógép, és importálni kell a tárolóban „TSC megbízható” cégek, csak a móka kedvéért
Ha ezek a lépések nem jelenne meg semmi újat, majd küldje el a teljes bizonyítvány nélkül magánkulcsokhoz essno.
Nos, Leahy van, az út ...
4. tiltása GPO CRL ellenőrző RDP
5. Miután a GPO telepíteni a kliens számítógépekre TS önaláírású bizonyítványok bízni.
„A telepítés a CA az Active Directory tartományi csoport politikát kell alapértelmezés szerint létrejön, amely előírta a vásárlók bizalmát, hogy a gyökér CA”
„De ha emlékeztetett CA”
Úgy tűnik, van egy elírás, és azt jelentette, hogy „nem”.
«CRL (tanúsítvány-visszavonási lista, CRL) a web szerver, rendszeresen frissített”
Személy szerint, én meg a CA közzé CRL'ey DFS (replikáció, ha szükséges), ha azok könnyen kezelni IIS'om - nem minden „rendszeres frissítéseket” nem szükséges - minden automatikusan történik. Egy példa az ilyen beállítások megmutatom itt.
Nos, mi az a nehézség, hogy nem ugyanaz, ha a külső domain név eltér a belső? Biztosítása „átláthatóság” tartományutótag, én benyújtott, az itt leírtak szerint.
„Meg kell érteni, hogy a visszavonás ellenőrzése OCSP protokoll csak akkor sikeres, ha a CA-tanúsítványt kiállító tanúsítvány ellenőrzött beállítása a boltban a megbízható tanúsítványok a helyi számítógép”
Azt is szeretném hozzátenni, hogy a sikeres OCSP érvényesítési kerül sor csak abban az esetben, amikor az OCSP-kiszolgáló hozzáfér a CRL-fájlokat - ez az, ahol tart az információ, a megtakarítás az ügyfél a letöltési;).
„Ők Tanúsítványigénylés Web Services, ha angolul. Egy nagyon hasznos szerepet "
És azt mondanám, hogy a szerepe haszontalan és saját magamat is sokáig nem volt hajlandó. Podans egyébként egyetért ezzel a nézettel (itt és itt) :).
„Alapértelmezés szerint a Windows Server CA nincs beállítva bizonyítványok kibocsátására, amelyek SAN.»
Egy gyakori félreértés;). CA jól adja a SAN-hiteles és beépítése nélkül ez a lehetőség - egyszer Vadim azt „hitték”, de az előző linkre maga is elismerte hibáját, és kár ezen zászló.
Nem szükséges;).
„A rugalmasabb és sokoldalúan igazolás kérés a következő SAN hasznossági certreq.»
Rovására az egyetemes nem lehet vitatkozni, de a rugalmasság rovására nem teljesen egyetértek :). Véleményem legrugalmasabb - kérésére MMC-konzol az új rendszerek. És egyszerűen és kényelmesen és tisztán, és anélkül, hogy egy fájlt egy csomó paraméterek, amelyeket nem lehet elfelejteni, és kell menni az előre elkészített sablonokat.
„Küldje el a vizsgálatot, hogy a minősítő hatóság és kap vissza .cer fájlt. Használhatja az MMC-koncolyu Management Certification Authority (.req és adja meg a fájl), vagy a Web Beiratkozás (a kiterjesztett lekérdező ablak illessze be az a fájl tartalmát, és válassza ki .req webszerver sablon). "
Inkább, ha szükséges, küldjön egy kérést parancs «certreq -Submit -attrib«certificatetemplate: WebServer»Request.req Response.cer».
„Ha van egy CA a Windows, integrált az AD, akkor meg kell határozni, hogy CRL / AIA közzététel AD»
Túl nagy hiba;). Ezek a kapcsolatok az Internet forgatókönyvek csak akadályozzák és legjobb megoldás az, hogy a teljes „kivágása” a tanúsítványok - hagyja el a HTTP-egyetlen nyilvános hivatkozás.
Meg lehet tanulni, hogyan kell csinálni ezt nem a domain számítógép?