355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 70)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 70 (всего у книги 91 страниц)

• С п о м о щ ь ю э т и х и н с т р у м е н т о в о т к р о й т е и п р о с м о т р и т е с о д е р ж и м о е эк-

з е м п л я р а . В ы . т а к ж е м о ж е т е п о п р а к т и к о в а т ь с я в с о з д а н и и объектов внутри

э к з е м п л я р а . Н а п р и м е р , с о з д а й т е п о д р а з д е л е н и е и добавьте в него группу

и п о л ь з о в а т е л я .

Пробный экзамен

Н а п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о вариантов

т р е н и р о в о ч н ы х т е с т о в . П р о в е р к а з н а н и й в ы п о л н я е т с я и л и только п о одной теме

с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м темам.

Т е с т и р о в а н и е м о ж н о о р г а н и з о в а т ь т а к и м о б р а з о м , ч т о б ы оно проводилось как

э к з а м е н , л и б о н а с т р о и т ь н а р е ж и м о б у ч е н и я . В п о с л е д н е м случае в ы сможете

п о с л е к а ж д о г о с в о е г о о т в е т а н а в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е ответы

и п о я с н е н и я .

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А 1 5

Службы сертификации Active Directory

и инфраструктура открытых ключей

З а н я т и е ! Установка служб сертификации Active Directory 736

Занятие 2. Настройка и использование служб с е р т и ф и к а ц и и Active Directory 761

Инфраструктуры открытых к л ю ч е й ( P u b l i c K e y I n f r a s t r u c t u r e , P K I ) о ч е н ь часто

используются современными о р г а н и з а ц и я м и . С е р т и ф и к а т ы о т к р ы т ы х к л ю ч е й

применяют практически в к а ж д о й к о м п а н и и . О р г а н и з а ц и и м о г у т и с п о л ь з о в а т ь

PKI д л я защиты б е с п р о в о д н ы х к о м м у н и к а ц и й , п р е д о с т а в л е н и я б е з о п а с н ы х

коммерческих с л у ж б н а веб-сайтах, и н т е г р а ц и и в и р т у а л ь н ы х ч а с т н ы х с е т е й

(Secure Sockets Layer, SSL) и д а ж е д л я п о д п и с к и на э л е к т р о н н у ю п о ч т у и и д е н -

тификации самих себя в веб-средах.

Д л я сертификатов P K I н е о б х о д и м о с о з д а т ь и к о н т р о л и р о в а т ь и н ф р а с т р у к -

туру. Корпорация M i c r o s o f t е щ е н е с к о л ь к о л е т н а з а д в к л ю ч и л а в о з м о ж н о с т и

генерирования и т е х н и ч е с к о й п о д д е р ж к и P K I н е п о с р е д с т в е н н о в о п е р а ц и о н -

ную систему. В W i n d o w s Server 2 0 0 8 э т и в о з м о ж н о с т и о б е с п е ч и в а е т С л у ж б а

сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s , A D C S ) ,

которая в предыдущих в е р с и я х W i n d o w s п р о с т о н а з ы в а л а с ь с л у ж б о й с е р т и -

фикации (Certificate Services). П о э т о й п р и ч и н е т е п е р ь о р г а н и з а ц и и о т д а ю т

предпочтение р е а л и з а ц и и с о б с т в е н н ы х и н ф р а с т р у к т у р и у п р а в л е н и ю и м и .

К СВЕДЕНИЮ Инфраструктуры открытых ключей

Более подробную информацию о различных аспектах P K I м о ж н о н а й т и в офици-

альном документе PKI по адресу http://www.reso-net.com/articles.asp7m~8 в разделе

«Advanced Public Key Infrastructures».

Однако и н ф р а с т р у к т у р ы P K I о с н о в а н ы н е т о л ь к о н а п р о г р а м м н о м о б е с п е -

чении. Поскольку с е р т и ф и к а т ы P K I п р е д н а з н а ч е н ы д л я и д е н т и ф и к а ц и и с е б я

в среде, необходимо р е а л и з о в а т ь а д м и н и с т р а т и в н ы е п р о ц е с с ы , г а р а н т и р у ю щ и е

четкую и д е н т и ф и к а ц и ю л и ц а с п о м о щ ь ю с е р т и ф и к а т а . П р е д о с т а в и в с е р т и ф и -

каты всем сотрудникам в о р г а н и з а ц и и , вы з а д е й с т в у е т е и н с т р у м е н т , г а р а н т и р у -

ющий подлинность каждого и з них. Т а к и м о б р а з о м , и н ф р а с т р у к т у р ы о т к р ы т ы х

ключей предназначены д л я о б е с п е ч е н и я д о в е р и я в н е н а д е ж н ы х средах.

Глава 15

Службы сертификации Active Directory 7 3 1

И н ф р а с т р у к т у р ы P K I м о ж н о и с п о л ь з о в а т ь д л я р а с ш и р е н и я в л и я н и я ор-

г а н и з а ц и и з а п р е д е л ы с е т и , к о т о р о й о н а у п р а в л я е т . В т о в р е м я к а к д о м е н н ы е

с л у ж б ы A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n Services, A D D S ) , будучи

к а т а л о г о м с е т е в о й о п е р а ц и о н н о й с и с т е м ы ( N e t w o r k O p e r a t i n g System, N O S ) ,

и з н а ч а л ь н о п р е д н а з н а ч е н ы д л я п р о в е р к и п о д л и н н о с т и и а в т о р и з а ц и и в пре-

д е л а х к о р п о р а т и в н о й с е т и , с л у ж б ы A D C S , к а к и о с т а л ь н ы е т р и технологии

A c t i v e D i r e c t o r y , п р е д о с т а в л я ю т э т и с л у ж б ы в о в н у т р е н н е й и в н е ш н е й сетях.

О д н а к о п р и р а с ш и р е н и и в л и я н и я о р г а н и з а ц и и з а п р е д е л ы сети с п о м о щ ь ю A D

C S н е о б х о д и м о и с п о л ь з о в а т ь с т о р о н н и й к о м м е р ч е с к и й ц е н т р с е р т и ф и к а ц и и

( C e r t i f i c a t e A u t h o r i t y , С А) д л я п Ъ д д е р ж к и у т в е р ж д е н и й в п у б л и к у е м ы х сер-

т и ф и к а т а х ( р и с . 1 5 – 1 ) .

I * 1

«5 1 AD FS

Клиенты

Рис. 15-1. Службы сертификации Active Directory могут предоставлять возможности проверки

подлинности и авторизации внутри и вне сети организации

[. 7 3 2 Службы сертификации Active Directory

Глава 15

Например, при переходе на веб-сайт с п о м о щ ь ю п р о т о к о л а H T T P S ( S e c u r e

Hypertext Transfer Protocol) с с е р т и ф и к а т о м SSL этот с е р т и ф и к а т г а р а н т и р у е т ,

что вы попадете именно на тот сайт, к о т о р ы й с о б и р а л и с ь посетить. С е р т и ф и к а т

содержит имя сервера, название о р г а н и з а ц и и и ц е н т р а с е р т и ф и к а ц и и , к о т о -

рый выдал сертификат. С е р т и ф и к а т р а б о т а е т с б р а у з е р о м , п о с к о л ь к у т а к и е

обозреватели, как Microsoft I n t e r n e t Explorer и Firefox, у ж е с о д е р ж а т с п и с о к

доверенных центров сертификации, к о т о р ы е у п р а в л я ю т п р о ц е с с о м с е р т и ф и -

кации (рис. 15-2).

Certificate Manage

e

r

'У'ГоЗРэ" h S

Your Certificate} Other People"; ! Web Sites Authonties

You have certificates on file that identify these certificate authorities:

Certificate Name

Secunty Device

a

r TDC Internet

-

TDC Internet Root CA

Builtin Object Token

te Thawte

Thawte Time stamping CA

Builtin Object Token

– Thawte Consulting

Thawte Personal Basic CA

Builtin Object Token

Thawte Personal Premium CA

Builtin Object Token

Thawte Personal Freemail CA

Builtin Object Token

– Thawte Consulting cc

Thawte Server CA

Builtin Object Token

Thiwte Premium Server CA

Builtin Object Token

Import J j

L OK j

Рис. 15-2. Такие браузеры, как Internet Explorer и Firefox,

содержат список доверенных центров сертификации

Список доверенных центров с е р т и ф и к а ц и и а в т о м а т и ч е с к и о б н о в л я е т с я

механизмами обновления операционной системы. В W i n d o w s Vista и W i n d o w s

Server 2008 это обновление у п р а в л я е т с я п а р а м е т р о м , г р у п п о в о й п о л и т и к и ,

который по умолчанию отключен. В п р е д ы д у щ и х в е р с и я х о п е р а ц и о н н о й сис-

темы Windows обновление Д о в е р е н н ы е к о р н е в ы е с е р т и ф и к а т ы ( T r u s t e d R o o t

Certificates) являлось компонентом Windows, д о с т у п к к о т о р о м у м о ж н о б ы л о

получить через панель управления.

К СВЕДЕНИЮ Поддержка сертификатов в Windows Vista

Информацию о поддержке сертификатов в Windows Vista можно найти по адре-

су http://technet2.microsoft.com/WindowsVista/en/library/5b350eae-8b08-4f2c-a09e-

a17b1c93f3d01033.mspx?mfr=true, а список доверенных корневых сертификатов

в Windows – по адресу http://support.microsoft.com/kb/931125.

При выдаче собственных сертификатов (не из внешних центров с е р т и ф и к а -

ции) на компьютеры пользователей, которые будут их п р и м е н я т ь , н е о б х о д и м о

включить вашу организацию в качестве доверенного центра с е р т и ф и к а ц и и . Это

Глава 15

С л у ж б ы с е р т и ф и к а ц и и Active Directory

7 3 3

м о ж н о с д е л а т ь н а к о м п ь ю т е р а х п о л ь з о в а т е л е й в в а ш е й о р г а н и з а ц и и , п о с к о л ь к у

в ы и м и у п р а в л я е т е , о д н а к о д л я д р у г и х п о л ь з о в а т е л е й в ы п о л н е н и е э т о й з а д а ч и

с т а н о в и т с я п р о б л е м а т и ч н ы м .

В э т о м о д н а и з п р и ч и н с о з д а н и я т а к о й а р х и т е к т у р ы P K I . П о с у т и , к а ж д ы й

ч л е н и н ф р а с т р у к т у р ы о т к р ы т ы х к л ю ч е й н а х о д и т с я в и е р а р х и ч е с к о й ц е п о ч к е ,

к о т о р а я з а к а н ч и в а е т с я ц е н т р о м с е р т и ф и к а ц и и в ы с ш е г о у р о в н я . Э т о т ц е н т р

с е р т и ф и к а ц и и в к о н е ч н о м с ч е т е о т в е ч а е т з а в с е в к л ю ч е н н ы е в ц е п о ч к у с е р -

т и ф и к а т ы . Н а п р и м е р , е с л и в ы п о л у ч а е т е с е р т и ф и к а т о т с в о е й о р г а н и з а ц и и ,

к о т о р а я , в с в о ю о ч е р е д ь , п о л у ч и л а с в о й г л а в н ы й с е р т и ф и к а т о т д о в е р е н н о г о

к о м м е р ч е с к о г о ц е н т р а с е р т и ф и к а ц и и , к а к п о к а з а н о н а р и с . 15-3, в а ш с е р т и ф и -

к а т а в т о м а т и ч е с к и с т а н е т д о в е р е н н ы м , п о с к о л ь к у к а ж д ы й б р а у з е р у ж е д о в е р я е т

э т о м у к о м м е р ч е с к о м у ц е н т р у с е р т и ф и к а ц и и . С л е д о в а т е л ь н о , в н е ш н и й ц е н т р

с е р т и ф и к а ц и и д о л ж е н и с п о л ь з о в а т ь с т р о г у ю п р о г р а м м у п о д т в е р ж д е н и я п о д – ]

л и н н о с т и . В п р о т и в н о м с л у ч а е о н н е д о л г о п р о д е р ж и т с я н а р ы н к е .

Certlkate Hierarchy

• Корневой сертификат

.

T

R

U

S

T

E

D

C

E

R

T

F

C

A

T

C

«

A

U

T

H

O

R

I

T

Y 4

.– External CorretcuJCA I

• Промежуточный сертификат

CotvoiocMi )

• Клиентский сертификат

Certificate Field,

• Varilen

Serial

CertJteata •>' > – Algceithm

VaUty

Not MOT

ШХ Alter

HeM Value

Рис. 15-3. Цепочка доверенных сертификатов

С е р т и ф и к а т ы P K I и с п о л ь з у ю т с я н е с к о л ь к и м и т е х н о л о г и я м и , о д н о й и з

к о т о р ы х я в л я е т с я M i c r o s o f t E x c h a n g e S e r v e r 2 0 0 7 . П о с к о л ь к у E x c h a n g e S e r v e r

с о с т о и т и з н е с к о л ь к и х р о л е й ( H u b T r a n s p o r t , C l i e n t Access, M a i l b o x и т . д . ) и

п е р е д а е т к о н ф и д е н ц и а л ь н у ю и н ф о р м а ц и ю ч е р е з п о д к л ю ч е н и я T C P / I P , к а ж д ы й

с е р в е р п р и у с т а н о в к е а в т о м а т и ч е с к и г е н е р и р у е т с а м о з а в е р я ю щ и й с я с е р т и ф и -

кат. З а т е м э л е к т р о н н а я п о ч т а с п о м о щ ь ю э т и х с е р т и ф и к а т о в т р а н с п о р т и р у е т с я

ч е р е з б е з о п а с н ы е п о д к л ю ч е н и я . Э т и м е т о д ы п р е к р а с н о п о д х о д я т д л я в н у т р е н -

н и х к о м м у н и к а ц и й , о д н а к о п р и о т к р ы т и и к о м м у н и к а ц и й с в н е ш н и м м и р о м ,

н а п р и м е р , п у т е м п р е д о с т а в л е н и я д о с т у п а M i c r o s o f t O W A ( O u t l o o k W e b Access)

с л у ж а щ и м в н е в н у т р е н н е й с е т и с а м о з а в е р я ю щ и й с я с е р т и ф и к а т н е о б х о д и м о

з а м е н и т ь с е р т и ф и к а т о м п о д л и н н о г о п о с т а в щ и к а . В п р о т и в н о м с л у ч а е п о л ь -

з о в а т е л и н е с м о г у т п о л у ч а т ь д о с т у п O W A и з И н т е р н е т а .

[. 7 3 4 Службы сертификации Active Directory

Глава 15

К СВЕДЕНИЮ Exchange Server 2007

Более подробную информацию о технологии Exchange Server 2007 и принципах

ее работы можно найти в книге «МСГГР Self-Paced Training Kit (Exam 70-238):

Deploying Messaging Solutions with Microsoft Exchange Server 2007», авторами ко-

торой являются Даниэль Реет и Нельсон Реет (Microsoft Press, 2008).

В некоторых случаях д л я с а м о и д е н т и ф и к а ц и и и м е е т с м ы с л р е а л и з о в а т ь

лишь внутреннюю структуру P K I , о д н а к о с и т у а ц и я н а м н о г о у с л о ж н я е т с я п р и

работе с Интернетом. Как убедить д р у г и х в том, ч т о вы и м е н н о тот, к т о е с т ь ?

Если вы сами выдаете с е р т и ф и к а т ы , к о т о р ы е и с п о л ь з у е т е д л я э л е к т р о н н о й

коммерции, вам никто не будет д о в е р я т ь . П о м н и т е об э т о м п р и р е а л и з а ц и и

AD CS.

Темы экзамена:

• Настройка служб с е р т и ф и к а ц и и Active Directory.

• Установка служб с е р т и ф и к а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y C e r -

tificate Services).

• Настройка параметров сервера с ц е н т р о м с е р т и ф и к а ц и и ( С А ) .

• Управление шаблонами с е р т и ф и к а т о в .

• Управление подачей заявок.

• Управление отзывом с е р т и ф и к а т о в .

Прежде всего

Для выполнения упражнений в этой главе п о т р е б у е т с я с л е д у ю щ е е о б о р у д о -

' вание.

• Физический или в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008: М а ш и н е

следует присвоить имя S E R V E R 0 1 и н а з н а ч и т ь ее к о н т р о л л е р о м д о м е н а

corUoso.com. Инструкции по установке о п и с а н ы в г л а в а х 1 и 2.

• Физический или виртуальный к о м п ь ю т е р W i n d o w s Server 2 0 0 8 E n t e r p r i s e

Edition с именем S E R V E R 0 3 , я в л я ю щ и й с я р я д о в ы м с е р в е р о м в д о м е н е

contoso.com. Эта машина будет у п р а в л я т ь ц е н т р а м и с е р т и ф и к а ц и и AD CS,

которые вы установите в ходе в ы п о л н е н и я п р а к т и ч е с к и х з а н я т и й э т о й гла-

вы. В идеале, на компьютер т а к ж е следует д о б а в и т ь д и с к D д л я х р а н е н и я

данных AD CS. Рекомендуется в ы д е л и т ь д л я этого д и с к а 10 Гбайт.

• Физический или виртуальный к о м п ь ю т е р W i n d o w s Server 2 0 0 8 E n t e r p r i s e

Edition с именем S E R V E R 0 4 , я в л я ю щ и й с я р я д о в ы м с е р в е р о м в д о м е н е

contoso.com. Эта машина будет у п р а в л я т ь в ы д а ч е й с е р т и ф и к а т о в AD CS.

На компьютер также следует добавить д и с к D д л я х р а н е н и я д а н н ы х AD

CS. Рекомендуется выделить д л я этого д и с к а 10 Гбайт.

Этих машин будет достаточно д л я э ф ф е к т и в н о г о т е с т и р о в а н и я б а з о в о й

установки и конфигурации AD CS. Д л я т е с т и р о в а н и я всех в о з м о ж н о с т е й AD

CS требуется пять компьютеров, но б о л ь ш и н с т в о ч и т а т е л е й не р а с п о л а г а ю т

такими возможностями.

Прежде всего 7 3 5

История из жизни

Даниэль Реет и Нельсон Реет

В 2003 году п р а в и т е л ь с т в о К а н а д ы п р и н я л о постановление, касающееся не-

совершеннолетних преступников. Во время судебных слушаний по их делам

выносились некорректные решения, поскольку некоторые представители закона,

включая федеральную, местную и муниципальную полицию, полицейские над-

зиратели, а также чиновники из министерства по делам молодежи и социальных

служб располагали и н ф о р м а ц и е й , недоступной судейской стороне. В связи с

этим правительство п р и н я л о закон, требующий, чтобы все стороны, работающие

с малолетними преступниками, имели равный доступ к информации, на основе

которой судьи могли бы выносить корректные решения.

Будучи архитекторами инфраструктуры, мы должны были разработать систе-

му, упрощающую совместное использование данных. Поскольку стороны не дове-

ряли друг другу, задача усложнилась. В частности, полиция не хотела передавать

свою и н ф о р м а ц и ю через Интернет. Кроме того, каждая сторона использовала

разные технологии для хранения данных. Нам нужно было разработать решение,

обеспечивающее п о л н у ю безопасность передачи информации и гарантирующее,

что эти данные не будут взломаны.

В то же время самые разные государственные институты Канады для обеспе-

чения процесса безопасной идентификации служащих и поставщиков, с которы-

ми работали, реализовали инфраструктуры PKI. Мы решили тоже использовать

эту инфраструктуру. Таким образом, наши клиенты оказались среди первых, кто

использовал преимущества этой новой реализации PKI.

Разработчикам указано использовать Microsoft SQL Server и .NET Framework

для создания приложения, которое будет играть роль центрального репозитория

всей собранной информации. Затем для регулярного извлечения информации мы

создали процедуры в каждом локальном репозитории данных. Вот здесь и была

использована структура P K I . Поскольку мы хотели создавать файлы выборки,

а затем пересылать их через Интернет, для каждого партнера требовались два

сертификата PKI: личный сертификат, используемый для идентификации каждо-

го партнера, и сертификат проверки подлинности сервера, предназначенный для

идентификации начальных и конечных точек коммуникаций. Чтобы получить

эти сертификаты, каждый партнер должен был пройти учебную программу госу-

дарственного ведомства P K I с целыо изучить свои обязанности, а затем пройти

в государственном ведомстве процесс проверки подлинности.

Когда все получили сертификаты, мы реализовали их в решении. Вначале

мы использовали открытые и частные ключи для цифрового подписания сжа-

тых файлов выборки. Каждый партнер подписывает сжатый файл с помощью

своего частного ключа, после чего другие партнеры используют открытый ключ

подписавшего ф а й л партнера для расшифровки этого файла. Подписанный и

зашифрованный ф а й л транспортируется через Интернет по туннелю IP Security

(IPSec), который создается с помощью сертификатов проверки подлинности

сервера. Каждый сертификат подтверждался в соответствии со списками отзыва

сертификатов (Certificate Revocation Lists), поддерживаемыми государственным

ведомством PKI. Все недействительные сертификаты автоматически сбрасыва-

лись приложением.

{см. след. стр.)

[. 736 Службы сертификации Active Directory

Глава 15

В результате было разработано веб-приложение .NET. Поскольку решение

было основано на PKI, а ведомство PKI располагало доверенным центром, каж-

дый партнер теперь мог доверять другим партнерам. В этом состоит суть PKI и

служб сертификации: они обеспечивают основу доверия в ненадежных средах.

Пять лет спустя это приложение по-прежнему использовалось.

Занятие 1. Установка служб сертификации

Active Directory

Службы сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e Services)

обеспечивают сервис, с в я з а н н ы й с и н ф р а с т р у к т у р о й о т к р ы т ы х к л ю ч е й и ис-

пользованием сертификатов в целом. С п о м о щ ь ю AD CS в W i n d o w s Server 2008

можно поддерживать следующие с ц е н а р и и с и с п о л ь з о в а н и е м с е р т и ф и к а т о в .

• Возможность ш и ф р о в а т ь все ф а й л ы д а н н ы х С е г о д н я о д н а и з р а с п р о -

страненных проблем в области I T – т е х н о л о г и й с о с т о и т в утере и л и х и щ е н и и

мобильных компьютерных систем. Е с л и д а н н ы е з а ш и ф р о в а н ы , и х у т е р я

не повлечет за собой серьезных п о с л е д с т в и й , о д н а к о е с л и д а н н ы е не за-

шифрованы, бизнес организации м о ж е т о к а з а т ь с я п о д у г р о з о й . В W i n d o w s

Server 2008 и Windows Vista все ф а й л ы д а н н ы х п о л ь з о в а т е л е й м о ж н о ш и ф -

ровать автоматически посредством о б ъ е к т о в г р у п п о в о й п о л и т и к и и внед-

рить строгие пароли д л я д а л ь н е й ш е й з а щ и т ы д а н н ы х . Д л я б л о к и р о в к и и

разблокировки зашифрованных ф а й л о в с е р т и ф и к а т ы и с п о л ь з у ю т ш и ф р у -

ющую файловую систему ( E n c r y p t i n g File S y s t e m , E F S ) .

• В о з м о ж н о с т ь ш и ф р о в а т ь в с е у д а л е н н ы е п о д к л ю ч е н и я В W i n d o w s

Server 2008 добавлены п о д к л ю ч е н и я в и р т у а л ь н о й ч а с т н о й с е т и I P S e c и

SSTP (Secure Sockets Tunnelling P r o t o c o l ) . О б а т и п а п о д к л ю ч е н и й исполь-

зуют сертификаты для проверки п о д л и н н о с т и н а ч а л ь н о й и к о н е ч н о й точек

коммуникации.

• Возможность защитить в с е с о о б щ е н и я э л е к т р о н н о й п о ч т ы В W i n d o w s

Server 2008 включена п о д д е р ж к а с т а н д а р т н о г о п р о т о к о л а б е з о п а с н о с т и

электронной почты (Secure Multipurpose I n t e r n e t Mail Extensions, S / M I M E ) .

Подписанные сообщения з а щ и щ е н ы от п о д д е л к и и г а р а н т и р у ю т , что их ис-

точником является доверенное лицо.

• Возможность защитить все с ц е н а р и и в х о д а в с е т ь П р и и с п о л ь з о в а н и и

смарт-карт сертификаты п о з в о л я ю т п о д д е р ж и в а т ь п р о ц е с с входа и гаран-

тируют, что все пользователи, особенно а д м и н и с т р а т о р ы , я в л я ю т с я и м е н н о

теми, кем они себя представляют.

• Возможность защитить в с е в е б – с а й т ы С п о м о щ ь ю I n t e r n e t I n f o r m a t i o n

Services (IIS) 7.0 в W i n d o w s Server 2 0 0 8 м о ж н о з а щ и т и т ь все к о м м у н и -

кации с веб-сайтами, гарантируя п р и этом б е з о п а с н о с т ь всех к л и е н т с к и х

транзакций.

• Возможность защитить с е р в е р ы д л я гарантии их п о д л и н н о с т и Например,

при назначении сертификатов серверам в и н ф р а с т р у к т у р е N A P ( N e t w o r k

Access Protection) и л и другой безопасной с л у ж б е к о м п ь ю т е р ы в сети бу-

Занятие 1

Установка служб сертификации Active Directory 75-]

дут знать, что они работают с вашими серверами, и не будут связываться

с серверами, п ы т а ю щ и м и с я олицетворить ваши серверы.

• В о з м о ж н о с т ь з а щ и т и т ь в с е б е с п р о в о д н ы е коммуникации С помощью

Windows Server 2008 и Windows Vista можно гарантировать инициирование

всех б е с п р о в о д н ы х подключений из доверенных конечных точек.

• В о з м о ж н о с т ь защитить все данные от фальсификации С помощью служб

у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights Management

Services, AD R M S ) в W i n d o w s Server 2008 можно защитить от подделки и

несоответствующего и с п о л ь з о в а н и я всю генерируемую информацию.

К р о м е того, всем сотрудникам можно выдать сертификат, чтобы они могли

с е р т и ф и ц и р о в а т ь себя во всех транзакциях через Интернет. Помните, что для

а в т о м а т и ч е с к о й р а б о т ы с л ю б ы м обозревателем все внешние сертификаты

д о л ж н ы в ы д а в а т ь с я д о в е р е н н ы м центром сертификации.

Изучив материал этого занятия, вы сможете:

V Понять принципы использования AD CS.

V Установить AD CS.

V Установить Сетевой ответчик (Online Responder).

V Локализовать и просмотреть данные установки AD CS.

Продолжительность занятия – около 30 мин.

Службы AD CS

С л у ж б а с е р т и ф и к а ц и и Active Directory (Active Directory Certificate Services)

п р е д с т а в л я е т собой д в и ж о к Windows Server 2008 и используется для управле-

н и я с е р т и ф и к а т а м и о т к р ы т ы х ключей. С помощью AD CS можно построить

п о л н у ю и е р а р х и ю P K I , которую затем использовать для выдачи и управления

с е р т и ф и к а т а м и в н у т р и организации. Службы AD CS состоят из нескольких

к о м п о н е н т о в .

• Ц е н т р ы с е р т и ф и к а ц и и Серверы, используемые для выдачи сертификатов

и у п р а в л е н и я и м и . Поскольку структура P K I построена в виде иерархии,

с л у ж б ы AD CS п о д д е р ж и в а ю т корневые и подчиненные, или дочерние,

ц е н т р ы с е р т и ф и к а ц и и СА (Certification Authority). Корневой центр серти-

ф и к а ц и и в ы д а е т с е р т и ф и к а т ы подчиненным центрам сертификации, поз-

в о л я я им выдавать с е р т и ф и к а т ы пользователям, компьютерам и службам.

П о д ч и н е н н ы й центр с е р т и ф и к а ц и и может выдавать сертификаты только в

случае подлинности своего собственного сертификата. По истечении срока

действия этого сертификата подчиненный СА должен запросить обновление

сертификата в своем корневом СА. В связи с этим сроки действия корневых

СА часто намного больше, чем у подчиненных СА. В свою очередь, срок

действия сертификатов подчиненных центров сертификации обычно боль-

ше, чем сроки действия сертификатов пользователей, компьютеров н служб.

• П о д а ч а з а я в о к АС в В е б С помощью подачи заявок в Веб пользователи

могут подключаться к СА через веб-обозреватель для запроса сертификатов,

[. 7 3 8 Службы сертификации Active Directory

Глава 15

подачи заявок для смарт-карт и п о л у ч е н и я с п и с к о в о т з ы в а с е р т и ф и к а т о в

(Certificate Revocation List, C L R ) . В списках C L R с о д е р ж а т с я с е р т и ф и к а т ы ,

которые являются недействительными и л и о т о з в а н ы о р г а н и з а ц и е й . С и с т е -

мы, использующие PKI, о п р а ш и в а ю т с е р в е р ы С А д л я п о л у ч е н и я с п и с к о в

C R L каждый раз при п р е д ъ я в л е н и и с е р т и ф и к а т а . Е с л и п р е д с т а в л е н н ы й

сертификат присутствует в этом списке, он а в т о м а т и ч е с к и о т к л о н я е т с я .

• Сетевой ответчик Эта с л у ж б а п р е д н а з н а ч е н а д л я о б р а б о т к и з а п р о с о в

подтверждения с е р т и ф и к а т о в через п р о т о к о л O C S P ( O n l i n e C e r t i f i c a t e

Status Protocol). С помощью сетевого о т в е т ч и к а с и с т е м е , п р и м е н я ю щ е й

PKI, нет необходимости получать п о л н ы й с п и с о к C L R д л я з а п р о с а п о д -

тверждения конкретного сертификата. С е т е в о й о т в е т ч и к ш и ф р у е т з а п р о с

подтверждения и определяет п о д л и н н о с т ь с е р т и ф и к а т а . П р и о п р е д е л е н и и

состояния запрошенного сертификата о т в е т ч и к п е р е с ы л а е т о б р а т н о з а ш и ф -

рованный ответ, содержащий и н ф о р м а ц и ю д л я з а п р а ш и в а ю щ е й с т о р о н ы .

Сетевые ответчики работают намного б ы с т р е й и э ф ф е к т и в н е й , ч е м с п и с к и

CLR. Сетевые ответчики в AD CS я в л я ю т с я н о в ы м к о м п о н е н т о м W i n d o w s

Server 2008.

К СВЕДЕНИЮ Сетевые ответчики

Сетевые ответчики часто являются альтернативой или д о п о л н е н и е м к спискам

CLR, которые поддерживают процесс отзыва сертификатов. Сетевые ответчики

Microsoft соответствуют стандартам RFC 2560 для OCSP. Более подробную ин-

формацию об этих стандартах RFC можно найти по адресу http://go.microsoft.com/

fwlink/?LinkID-67082.

• Служба подачи з а я в о к с е т е в ы х у с т р о й с т в Устройства, к о т о р ы е и с п о л ь -

зуют низкоуровневые операционные системы, н а п р и м е р м а р ш р у т и з а т о р ы и

коммутаторы, также могут п р и н и м а т ь участие в и н ф р а с т р у к т у р е P K I через

службу N D E S (Network Device E n r o l l m e n t Service) с п о м о щ ь ю п р о т о к о л а

SCEP (Simple Certificate E n r o l l m e n t P r o t o c o l ) , р а з р а б о т а н н о г о к о м п а н и е й

Cisco Systems, Inc. Эти устр о й с т ва о б ы ч н о не у ч а с т в у ю т в к а т а л о г е AD DS

и поэтому не располагают у ч е т н ы м и з а п и с я м и AD D S . О д н а к о с п о м о щ ь ю

службы NDES и протокола C S E P их т а к ж е м о ж н о сделать ч а с т ь ю и е р а р х и и

PKI, которая поддерживается и у п р а в л я е т с я с л у ж б а м и AD C S .

Эти четыре компонента ф о р м и р у ю т я д р о с л у ж б ы A D C S в W i n d o w s

Server 2008.

К СВЕДЕНИЮ Новые компоненты AD CS

Более подробную информацию о новых компонентах, поддерживаемых службами

AD CS в Windows Server 2008, можно найти по адресу http://technet2.microsoft.com/

windowsserver2008/en/library/171362c0-3773-498d-8cc3-0ddcd8082bf51033.mspx.

Независимые СА и центры с е р т и ф и к а ц и и п р е д п р и я т и я

При подготовке к развертыванию AD CS особое в н и м а н и е с л е д у е т у д е л и т ь

структурированию основных четырех с л у ж б AD CS. П р е ж д е всего н у ж н о за-

Занятие 1

Установка служб сертификации Active Directory 75-]

няться первой ролыо: центрами сертификации, которые необходимо развер-

нуть. Службы AD CS поддерживают два типа СА.

• Автономные СА Центр сертификации, который необязательно интегри-

ровать в службу ее каталогов. Независимые центры сертификации уста-

навливаются на рядовых или независимых серверах (в рабочей группе).

Автономные центры сертификации часто используются в качестве внутрен-

них корневых СА, и после генерирования сертификатов для подчиненных

серверов их часто отключают от сети из соображений безопасности. Выдача

и подтверждение сертификатов выполняются вручную, а сами сертифика-

ты основаны на стандартных шаблонах, которые нельзя модифицировать.

Клиентами независимого СА могут быть члены каталога AD DS, однако

членство в каталоге AD DS необязательно. Независимые СА можно уста-

новить в системах Windows Server 2008 Standard Edition, Windows Server

2008 Enterprise Edition и Windows Server 2008 Datacenter Edition.

• CA предприятия Центр сертификации, интегрируемый в службу катало-

гов AD DS. Центры сертификации предприятия обычно устанавливаются

на рядовых серверах и часто используются в иерархии как подчиненные

еще одному СА, предоставляя сертификаты конечным пользователям

и устройствам. Поскольку центры сертификации интегрируются в каталоги

AD DS, центры сертификации предприятия автоматически выпускают и

подтверждают сертификаты, запрашиваемые членами каталога. Расширен-

ные шаблоны таких сертификатов можно редактировать в соответствии

с требованиями. Все ключи шифрования защищены с помощью интеграции

каталогов. Центры сертификации предприятия можно установить только

в системах Windows Server 2008 Enterprise Edition и Windows Server 2008

Datacenter Edition.

В табл. 15-1 описаны различные компоненты, поддерживаемые независимы-

ми центрами сертификации, а также центрами сертификации предприятий.

Как описано в табл. 15-1, независимые центры сертификации сфокуси-

рованы на предоставлении конкретных служб и должны устанавливаться в

автономных средах, где не нужно использовать автоматику. В качестве приме-

ров можно привести корневые центры сертификации и СА, локализованные


    Ваша оценка произведения:

Популярные книги за неделю