Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 70 (всего у книги 91 страниц)
• С п о м о щ ь ю э т и х и н с т р у м е н т о в о т к р о й т е и п р о с м о т р и т е с о д е р ж и м о е эк-
з е м п л я р а . В ы . т а к ж е м о ж е т е п о п р а к т и к о в а т ь с я в с о з д а н и и объектов внутри
э к з е м п л я р а . Н а п р и м е р , с о з д а й т е п о д р а з д е л е н и е и добавьте в него группу
и п о л ь з о в а т е л я .
Пробный экзамен
Н а п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о вариантов
т р е н и р о в о ч н ы х т е с т о в . П р о в е р к а з н а н и й в ы п о л н я е т с я и л и только п о одной теме
с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м темам.
Т е с т и р о в а н и е м о ж н о о р г а н и з о в а т ь т а к и м о б р а з о м , ч т о б ы оно проводилось как
э к з а м е н , л и б о н а с т р о и т ь н а р е ж и м о б у ч е н и я . В п о с л е д н е м случае в ы сможете
п о с л е к а ж д о г о с в о е г о о т в е т а н а в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е ответы
и п о я с н е н и я .
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 1 5
Службы сертификации Active Directory
и инфраструктура открытых ключей
З а н я т и е ! Установка служб сертификации Active Directory 736
Занятие 2. Настройка и использование служб с е р т и ф и к а ц и и Active Directory 761
Инфраструктуры открытых к л ю ч е й ( P u b l i c K e y I n f r a s t r u c t u r e , P K I ) о ч е н ь часто
используются современными о р г а н и з а ц и я м и . С е р т и ф и к а т ы о т к р ы т ы х к л ю ч е й
применяют практически в к а ж д о й к о м п а н и и . О р г а н и з а ц и и м о г у т и с п о л ь з о в а т ь
PKI д л я защиты б е с п р о в о д н ы х к о м м у н и к а ц и й , п р е д о с т а в л е н и я б е з о п а с н ы х
коммерческих с л у ж б н а веб-сайтах, и н т е г р а ц и и в и р т у а л ь н ы х ч а с т н ы х с е т е й
(Secure Sockets Layer, SSL) и д а ж е д л я п о д п и с к и на э л е к т р о н н у ю п о ч т у и и д е н -
тификации самих себя в веб-средах.
Д л я сертификатов P K I н е о б х о д и м о с о з д а т ь и к о н т р о л и р о в а т ь и н ф р а с т р у к -
туру. Корпорация M i c r o s o f t е щ е н е с к о л ь к о л е т н а з а д в к л ю ч и л а в о з м о ж н о с т и
генерирования и т е х н и ч е с к о й п о д д е р ж к и P K I н е п о с р е д с т в е н н о в о п е р а ц и о н -
ную систему. В W i n d o w s Server 2 0 0 8 э т и в о з м о ж н о с т и о б е с п е ч и в а е т С л у ж б а
сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s , A D C S ) ,
которая в предыдущих в е р с и я х W i n d o w s п р о с т о н а з ы в а л а с ь с л у ж б о й с е р т и -
фикации (Certificate Services). П о э т о й п р и ч и н е т е п е р ь о р г а н и з а ц и и о т д а ю т
предпочтение р е а л и з а ц и и с о б с т в е н н ы х и н ф р а с т р у к т у р и у п р а в л е н и ю и м и .
К СВЕДЕНИЮ Инфраструктуры открытых ключей
Более подробную информацию о различных аспектах P K I м о ж н о н а й т и в офици-
альном документе PKI по адресу http://www.reso-net.com/articles.asp7m~8 в разделе
«Advanced Public Key Infrastructures».
Однако и н ф р а с т р у к т у р ы P K I о с н о в а н ы н е т о л ь к о н а п р о г р а м м н о м о б е с п е -
чении. Поскольку с е р т и ф и к а т ы P K I п р е д н а з н а ч е н ы д л я и д е н т и ф и к а ц и и с е б я
в среде, необходимо р е а л и з о в а т ь а д м и н и с т р а т и в н ы е п р о ц е с с ы , г а р а н т и р у ю щ и е
четкую и д е н т и ф и к а ц и ю л и ц а с п о м о щ ь ю с е р т и ф и к а т а . П р е д о с т а в и в с е р т и ф и -
каты всем сотрудникам в о р г а н и з а ц и и , вы з а д е й с т в у е т е и н с т р у м е н т , г а р а н т и р у -
ющий подлинность каждого и з них. Т а к и м о б р а з о м , и н ф р а с т р у к т у р ы о т к р ы т ы х
ключей предназначены д л я о б е с п е ч е н и я д о в е р и я в н е н а д е ж н ы х средах.
Глава 15
Службы сертификации Active Directory 7 3 1
И н ф р а с т р у к т у р ы P K I м о ж н о и с п о л ь з о в а т ь д л я р а с ш и р е н и я в л и я н и я ор-
г а н и з а ц и и з а п р е д е л ы с е т и , к о т о р о й о н а у п р а в л я е т . В т о в р е м я к а к д о м е н н ы е
с л у ж б ы A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n Services, A D D S ) , будучи
к а т а л о г о м с е т е в о й о п е р а ц и о н н о й с и с т е м ы ( N e t w o r k O p e r a t i n g System, N O S ) ,
и з н а ч а л ь н о п р е д н а з н а ч е н ы д л я п р о в е р к и п о д л и н н о с т и и а в т о р и з а ц и и в пре-
д е л а х к о р п о р а т и в н о й с е т и , с л у ж б ы A D C S , к а к и о с т а л ь н ы е т р и технологии
A c t i v e D i r e c t o r y , п р е д о с т а в л я ю т э т и с л у ж б ы в о в н у т р е н н е й и в н е ш н е й сетях.
О д н а к о п р и р а с ш и р е н и и в л и я н и я о р г а н и з а ц и и з а п р е д е л ы сети с п о м о щ ь ю A D
C S н е о б х о д и м о и с п о л ь з о в а т ь с т о р о н н и й к о м м е р ч е с к и й ц е н т р с е р т и ф и к а ц и и
( C e r t i f i c a t e A u t h o r i t y , С А) д л я п Ъ д д е р ж к и у т в е р ж д е н и й в п у б л и к у е м ы х сер-
т и ф и к а т а х ( р и с . 1 5 – 1 ) .
I * 1
«5 1 AD FS
Клиенты
Рис. 15-1. Службы сертификации Active Directory могут предоставлять возможности проверки
подлинности и авторизации внутри и вне сети организации
[. 7 3 2 Службы сертификации Active Directory
Глава 15
Например, при переходе на веб-сайт с п о м о щ ь ю п р о т о к о л а H T T P S ( S e c u r e
Hypertext Transfer Protocol) с с е р т и ф и к а т о м SSL этот с е р т и ф и к а т г а р а н т и р у е т ,
что вы попадете именно на тот сайт, к о т о р ы й с о б и р а л и с ь посетить. С е р т и ф и к а т
содержит имя сервера, название о р г а н и з а ц и и и ц е н т р а с е р т и ф и к а ц и и , к о т о -
рый выдал сертификат. С е р т и ф и к а т р а б о т а е т с б р а у з е р о м , п о с к о л ь к у т а к и е
обозреватели, как Microsoft I n t e r n e t Explorer и Firefox, у ж е с о д е р ж а т с п и с о к
доверенных центров сертификации, к о т о р ы е у п р а в л я ю т п р о ц е с с о м с е р т и ф и -
кации (рис. 15-2).
Certificate Manage
e
r
'У'ГоЗРэ" h S
Your Certificate} Other People"; ! Web Sites Authonties
You have certificates on file that identify these certificate authorities:
Certificate Name
Secunty Device
a
r TDC Internet
-
TDC Internet Root CA
Builtin Object Token
te Thawte
Thawte Time stamping CA
Builtin Object Token
– Thawte Consulting
Thawte Personal Basic CA
Builtin Object Token
Thawte Personal Premium CA
Builtin Object Token
Thawte Personal Freemail CA
Builtin Object Token
– Thawte Consulting cc
Thawte Server CA
Builtin Object Token
Thiwte Premium Server CA
Builtin Object Token
–
Import J j
L OK j
Рис. 15-2. Такие браузеры, как Internet Explorer и Firefox,
содержат список доверенных центров сертификации
Список доверенных центров с е р т и ф и к а ц и и а в т о м а т и ч е с к и о б н о в л я е т с я
механизмами обновления операционной системы. В W i n d o w s Vista и W i n d o w s
Server 2008 это обновление у п р а в л я е т с я п а р а м е т р о м , г р у п п о в о й п о л и т и к и ,
который по умолчанию отключен. В п р е д ы д у щ и х в е р с и я х о п е р а ц и о н н о й сис-
темы Windows обновление Д о в е р е н н ы е к о р н е в ы е с е р т и ф и к а т ы ( T r u s t e d R o o t
Certificates) являлось компонентом Windows, д о с т у п к к о т о р о м у м о ж н о б ы л о
получить через панель управления.
К СВЕДЕНИЮ Поддержка сертификатов в Windows Vista
Информацию о поддержке сертификатов в Windows Vista можно найти по адре-
су http://technet2.microsoft.com/WindowsVista/en/library/5b350eae-8b08-4f2c-a09e-
a17b1c93f3d01033.mspx?mfr=true, а список доверенных корневых сертификатов
в Windows – по адресу http://support.microsoft.com/kb/931125.
При выдаче собственных сертификатов (не из внешних центров с е р т и ф и к а -
ции) на компьютеры пользователей, которые будут их п р и м е н я т ь , н е о б х о д и м о
включить вашу организацию в качестве доверенного центра с е р т и ф и к а ц и и . Это
Глава 15
С л у ж б ы с е р т и ф и к а ц и и Active Directory
7 3 3
м о ж н о с д е л а т ь н а к о м п ь ю т е р а х п о л ь з о в а т е л е й в в а ш е й о р г а н и з а ц и и , п о с к о л ь к у
в ы и м и у п р а в л я е т е , о д н а к о д л я д р у г и х п о л ь з о в а т е л е й в ы п о л н е н и е э т о й з а д а ч и
с т а н о в и т с я п р о б л е м а т и ч н ы м .
В э т о м о д н а и з п р и ч и н с о з д а н и я т а к о й а р х и т е к т у р ы P K I . П о с у т и , к а ж д ы й
ч л е н и н ф р а с т р у к т у р ы о т к р ы т ы х к л ю ч е й н а х о д и т с я в и е р а р х и ч е с к о й ц е п о ч к е ,
к о т о р а я з а к а н ч и в а е т с я ц е н т р о м с е р т и ф и к а ц и и в ы с ш е г о у р о в н я . Э т о т ц е н т р
с е р т и ф и к а ц и и в к о н е ч н о м с ч е т е о т в е ч а е т з а в с е в к л ю ч е н н ы е в ц е п о ч к у с е р -
т и ф и к а т ы . Н а п р и м е р , е с л и в ы п о л у ч а е т е с е р т и ф и к а т о т с в о е й о р г а н и з а ц и и ,
к о т о р а я , в с в о ю о ч е р е д ь , п о л у ч и л а с в о й г л а в н ы й с е р т и ф и к а т о т д о в е р е н н о г о
к о м м е р ч е с к о г о ц е н т р а с е р т и ф и к а ц и и , к а к п о к а з а н о н а р и с . 15-3, в а ш с е р т и ф и -
к а т а в т о м а т и ч е с к и с т а н е т д о в е р е н н ы м , п о с к о л ь к у к а ж д ы й б р а у з е р у ж е д о в е р я е т
э т о м у к о м м е р ч е с к о м у ц е н т р у с е р т и ф и к а ц и и . С л е д о в а т е л ь н о , в н е ш н и й ц е н т р
с е р т и ф и к а ц и и д о л ж е н и с п о л ь з о в а т ь с т р о г у ю п р о г р а м м у п о д т в е р ж д е н и я п о д – ]
л и н н о с т и . В п р о т и в н о м с л у ч а е о н н е д о л г о п р о д е р ж и т с я н а р ы н к е .
Certlkate Hierarchy
• Корневой сертификат
.
T
R
U
S
T
E
D
C
E
R
T
F
C
A
T
C
«
A
U
T
H
O
R
I
T
Y 4
.– External CorretcuJCA I
• Промежуточный сертификат
CotvoiocMi )
• Клиентский сертификат
Certificate Field,
• Varilen
Serial
CertJteata •>' > – Algceithm
VaUty
Not MOT
ШХ Alter
HeM Value
Рис. 15-3. Цепочка доверенных сертификатов
С е р т и ф и к а т ы P K I и с п о л ь з у ю т с я н е с к о л ь к и м и т е х н о л о г и я м и , о д н о й и з
к о т о р ы х я в л я е т с я M i c r o s o f t E x c h a n g e S e r v e r 2 0 0 7 . П о с к о л ь к у E x c h a n g e S e r v e r
с о с т о и т и з н е с к о л ь к и х р о л е й ( H u b T r a n s p o r t , C l i e n t Access, M a i l b o x и т . д . ) и
п е р е д а е т к о н ф и д е н ц и а л ь н у ю и н ф о р м а ц и ю ч е р е з п о д к л ю ч е н и я T C P / I P , к а ж д ы й
с е р в е р п р и у с т а н о в к е а в т о м а т и ч е с к и г е н е р и р у е т с а м о з а в е р я ю щ и й с я с е р т и ф и -
кат. З а т е м э л е к т р о н н а я п о ч т а с п о м о щ ь ю э т и х с е р т и ф и к а т о в т р а н с п о р т и р у е т с я
ч е р е з б е з о п а с н ы е п о д к л ю ч е н и я . Э т и м е т о д ы п р е к р а с н о п о д х о д я т д л я в н у т р е н -
н и х к о м м у н и к а ц и й , о д н а к о п р и о т к р ы т и и к о м м у н и к а ц и й с в н е ш н и м м и р о м ,
н а п р и м е р , п у т е м п р е д о с т а в л е н и я д о с т у п а M i c r o s o f t O W A ( O u t l o o k W e b Access)
с л у ж а щ и м в н е в н у т р е н н е й с е т и с а м о з а в е р я ю щ и й с я с е р т и ф и к а т н е о б х о д и м о
з а м е н и т ь с е р т и ф и к а т о м п о д л и н н о г о п о с т а в щ и к а . В п р о т и в н о м с л у ч а е п о л ь -
з о в а т е л и н е с м о г у т п о л у ч а т ь д о с т у п O W A и з И н т е р н е т а .
[. 7 3 4 Службы сертификации Active Directory
Глава 15
К СВЕДЕНИЮ Exchange Server 2007
Более подробную информацию о технологии Exchange Server 2007 и принципах
ее работы можно найти в книге «МСГГР Self-Paced Training Kit (Exam 70-238):
Deploying Messaging Solutions with Microsoft Exchange Server 2007», авторами ко-
торой являются Даниэль Реет и Нельсон Реет (Microsoft Press, 2008).
В некоторых случаях д л я с а м о и д е н т и ф и к а ц и и и м е е т с м ы с л р е а л и з о в а т ь
лишь внутреннюю структуру P K I , о д н а к о с и т у а ц и я н а м н о г о у с л о ж н я е т с я п р и
работе с Интернетом. Как убедить д р у г и х в том, ч т о вы и м е н н о тот, к т о е с т ь ?
Если вы сами выдаете с е р т и ф и к а т ы , к о т о р ы е и с п о л ь з у е т е д л я э л е к т р о н н о й
коммерции, вам никто не будет д о в е р я т ь . П о м н и т е об э т о м п р и р е а л и з а ц и и
AD CS.
Темы экзамена:
• Настройка служб с е р т и ф и к а ц и и Active Directory.
• Установка служб с е р т и ф и к а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y C e r -
tificate Services).
• Настройка параметров сервера с ц е н т р о м с е р т и ф и к а ц и и ( С А ) .
• Управление шаблонами с е р т и ф и к а т о в .
• Управление подачей заявок.
• Управление отзывом с е р т и ф и к а т о в .
Прежде всего
Для выполнения упражнений в этой главе п о т р е б у е т с я с л е д у ю щ е е о б о р у д о -
' вание.
• Физический или в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008: М а ш и н е
следует присвоить имя S E R V E R 0 1 и н а з н а ч и т ь ее к о н т р о л л е р о м д о м е н а
corUoso.com. Инструкции по установке о п и с а н ы в г л а в а х 1 и 2.
• Физический или виртуальный к о м п ь ю т е р W i n d o w s Server 2 0 0 8 E n t e r p r i s e
Edition с именем S E R V E R 0 3 , я в л я ю щ и й с я р я д о в ы м с е р в е р о м в д о м е н е
contoso.com. Эта машина будет у п р а в л я т ь ц е н т р а м и с е р т и ф и к а ц и и AD CS,
которые вы установите в ходе в ы п о л н е н и я п р а к т и ч е с к и х з а н я т и й э т о й гла-
вы. В идеале, на компьютер т а к ж е следует д о б а в и т ь д и с к D д л я х р а н е н и я
данных AD CS. Рекомендуется в ы д е л и т ь д л я этого д и с к а 10 Гбайт.
• Физический или виртуальный к о м п ь ю т е р W i n d o w s Server 2 0 0 8 E n t e r p r i s e
Edition с именем S E R V E R 0 4 , я в л я ю щ и й с я р я д о в ы м с е р в е р о м в д о м е н е
contoso.com. Эта машина будет у п р а в л я т ь в ы д а ч е й с е р т и ф и к а т о в AD CS.
На компьютер также следует добавить д и с к D д л я х р а н е н и я д а н н ы х AD
CS. Рекомендуется выделить д л я этого д и с к а 10 Гбайт.
Этих машин будет достаточно д л я э ф ф е к т и в н о г о т е с т и р о в а н и я б а з о в о й
установки и конфигурации AD CS. Д л я т е с т и р о в а н и я всех в о з м о ж н о с т е й AD
CS требуется пять компьютеров, но б о л ь ш и н с т в о ч и т а т е л е й не р а с п о л а г а ю т
такими возможностями.
Прежде всего 7 3 5
История из жизни
Даниэль Реет и Нельсон Реет
В 2003 году п р а в и т е л ь с т в о К а н а д ы п р и н я л о постановление, касающееся не-
совершеннолетних преступников. Во время судебных слушаний по их делам
выносились некорректные решения, поскольку некоторые представители закона,
включая федеральную, местную и муниципальную полицию, полицейские над-
зиратели, а также чиновники из министерства по делам молодежи и социальных
служб располагали и н ф о р м а ц и е й , недоступной судейской стороне. В связи с
этим правительство п р и н я л о закон, требующий, чтобы все стороны, работающие
с малолетними преступниками, имели равный доступ к информации, на основе
которой судьи могли бы выносить корректные решения.
Будучи архитекторами инфраструктуры, мы должны были разработать систе-
му, упрощающую совместное использование данных. Поскольку стороны не дове-
ряли друг другу, задача усложнилась. В частности, полиция не хотела передавать
свою и н ф о р м а ц и ю через Интернет. Кроме того, каждая сторона использовала
разные технологии для хранения данных. Нам нужно было разработать решение,
обеспечивающее п о л н у ю безопасность передачи информации и гарантирующее,
что эти данные не будут взломаны.
В то же время самые разные государственные институты Канады для обеспе-
чения процесса безопасной идентификации служащих и поставщиков, с которы-
ми работали, реализовали инфраструктуры PKI. Мы решили тоже использовать
эту инфраструктуру. Таким образом, наши клиенты оказались среди первых, кто
использовал преимущества этой новой реализации PKI.
Разработчикам указано использовать Microsoft SQL Server и .NET Framework
для создания приложения, которое будет играть роль центрального репозитория
всей собранной информации. Затем для регулярного извлечения информации мы
создали процедуры в каждом локальном репозитории данных. Вот здесь и была
использована структура P K I . Поскольку мы хотели создавать файлы выборки,
а затем пересылать их через Интернет, для каждого партнера требовались два
сертификата PKI: личный сертификат, используемый для идентификации каждо-
го партнера, и сертификат проверки подлинности сервера, предназначенный для
идентификации начальных и конечных точек коммуникаций. Чтобы получить
эти сертификаты, каждый партнер должен был пройти учебную программу госу-
дарственного ведомства P K I с целыо изучить свои обязанности, а затем пройти
в государственном ведомстве процесс проверки подлинности.
Когда все получили сертификаты, мы реализовали их в решении. Вначале
мы использовали открытые и частные ключи для цифрового подписания сжа-
тых файлов выборки. Каждый партнер подписывает сжатый файл с помощью
своего частного ключа, после чего другие партнеры используют открытый ключ
подписавшего ф а й л партнера для расшифровки этого файла. Подписанный и
зашифрованный ф а й л транспортируется через Интернет по туннелю IP Security
(IPSec), который создается с помощью сертификатов проверки подлинности
сервера. Каждый сертификат подтверждался в соответствии со списками отзыва
сертификатов (Certificate Revocation Lists), поддерживаемыми государственным
ведомством PKI. Все недействительные сертификаты автоматически сбрасыва-
лись приложением.
{см. след. стр.)
[. 736 Службы сертификации Active Directory
Глава 15
В результате было разработано веб-приложение .NET. Поскольку решение
было основано на PKI, а ведомство PKI располагало доверенным центром, каж-
дый партнер теперь мог доверять другим партнерам. В этом состоит суть PKI и
служб сертификации: они обеспечивают основу доверия в ненадежных средах.
Пять лет спустя это приложение по-прежнему использовалось.
Занятие 1. Установка служб сертификации
Active Directory
Службы сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e Services)
обеспечивают сервис, с в я з а н н ы й с и н ф р а с т р у к т у р о й о т к р ы т ы х к л ю ч е й и ис-
пользованием сертификатов в целом. С п о м о щ ь ю AD CS в W i n d o w s Server 2008
можно поддерживать следующие с ц е н а р и и с и с п о л ь з о в а н и е м с е р т и ф и к а т о в .
• Возможность ш и ф р о в а т ь все ф а й л ы д а н н ы х С е г о д н я о д н а и з р а с п р о -
страненных проблем в области I T – т е х н о л о г и й с о с т о и т в утере и л и х и щ е н и и
мобильных компьютерных систем. Е с л и д а н н ы е з а ш и ф р о в а н ы , и х у т е р я
не повлечет за собой серьезных п о с л е д с т в и й , о д н а к о е с л и д а н н ы е не за-
шифрованы, бизнес организации м о ж е т о к а з а т ь с я п о д у г р о з о й . В W i n d o w s
Server 2008 и Windows Vista все ф а й л ы д а н н ы х п о л ь з о в а т е л е й м о ж н о ш и ф -
ровать автоматически посредством о б ъ е к т о в г р у п п о в о й п о л и т и к и и внед-
рить строгие пароли д л я д а л ь н е й ш е й з а щ и т ы д а н н ы х . Д л я б л о к и р о в к и и
разблокировки зашифрованных ф а й л о в с е р т и ф и к а т ы и с п о л ь з у ю т ш и ф р у -
ющую файловую систему ( E n c r y p t i n g File S y s t e m , E F S ) .
• В о з м о ж н о с т ь ш и ф р о в а т ь в с е у д а л е н н ы е п о д к л ю ч е н и я В W i n d o w s
Server 2008 добавлены п о д к л ю ч е н и я в и р т у а л ь н о й ч а с т н о й с е т и I P S e c и
SSTP (Secure Sockets Tunnelling P r o t o c o l ) . О б а т и п а п о д к л ю ч е н и й исполь-
зуют сертификаты для проверки п о д л и н н о с т и н а ч а л ь н о й и к о н е ч н о й точек
коммуникации.
• Возможность защитить в с е с о о б щ е н и я э л е к т р о н н о й п о ч т ы В W i n d o w s
Server 2008 включена п о д д е р ж к а с т а н д а р т н о г о п р о т о к о л а б е з о п а с н о с т и
электронной почты (Secure Multipurpose I n t e r n e t Mail Extensions, S / M I M E ) .
Подписанные сообщения з а щ и щ е н ы от п о д д е л к и и г а р а н т и р у ю т , что их ис-
точником является доверенное лицо.
• Возможность защитить все с ц е н а р и и в х о д а в с е т ь П р и и с п о л ь з о в а н и и
смарт-карт сертификаты п о з в о л я ю т п о д д е р ж и в а т ь п р о ц е с с входа и гаран-
тируют, что все пользователи, особенно а д м и н и с т р а т о р ы , я в л я ю т с я и м е н н о
теми, кем они себя представляют.
• Возможность защитить в с е в е б – с а й т ы С п о м о щ ь ю I n t e r n e t I n f o r m a t i o n
Services (IIS) 7.0 в W i n d o w s Server 2 0 0 8 м о ж н о з а щ и т и т ь все к о м м у н и -
кации с веб-сайтами, гарантируя п р и этом б е з о п а с н о с т ь всех к л и е н т с к и х
транзакций.
• Возможность защитить с е р в е р ы д л я гарантии их п о д л и н н о с т и Например,
при назначении сертификатов серверам в и н ф р а с т р у к т у р е N A P ( N e t w o r k
Access Protection) и л и другой безопасной с л у ж б е к о м п ь ю т е р ы в сети бу-
Занятие 1
Установка служб сертификации Active Directory 75-]
дут знать, что они работают с вашими серверами, и не будут связываться
с серверами, п ы т а ю щ и м и с я олицетворить ваши серверы.
• В о з м о ж н о с т ь з а щ и т и т ь в с е б е с п р о в о д н ы е коммуникации С помощью
Windows Server 2008 и Windows Vista можно гарантировать инициирование
всех б е с п р о в о д н ы х подключений из доверенных конечных точек.
• В о з м о ж н о с т ь защитить все данные от фальсификации С помощью служб
у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights Management
Services, AD R M S ) в W i n d o w s Server 2008 можно защитить от подделки и
несоответствующего и с п о л ь з о в а н и я всю генерируемую информацию.
К р о м е того, всем сотрудникам можно выдать сертификат, чтобы они могли
с е р т и ф и ц и р о в а т ь себя во всех транзакциях через Интернет. Помните, что для
а в т о м а т и ч е с к о й р а б о т ы с л ю б ы м обозревателем все внешние сертификаты
д о л ж н ы в ы д а в а т ь с я д о в е р е н н ы м центром сертификации.
Изучив материал этого занятия, вы сможете:
V Понять принципы использования AD CS.
V Установить AD CS.
V Установить Сетевой ответчик (Online Responder).
V Локализовать и просмотреть данные установки AD CS.
Продолжительность занятия – около 30 мин.
Службы AD CS
С л у ж б а с е р т и ф и к а ц и и Active Directory (Active Directory Certificate Services)
п р е д с т а в л я е т собой д в и ж о к Windows Server 2008 и используется для управле-
н и я с е р т и ф и к а т а м и о т к р ы т ы х ключей. С помощью AD CS можно построить
п о л н у ю и е р а р х и ю P K I , которую затем использовать для выдачи и управления
с е р т и ф и к а т а м и в н у т р и организации. Службы AD CS состоят из нескольких
к о м п о н е н т о в .
• Ц е н т р ы с е р т и ф и к а ц и и Серверы, используемые для выдачи сертификатов
и у п р а в л е н и я и м и . Поскольку структура P K I построена в виде иерархии,
с л у ж б ы AD CS п о д д е р ж и в а ю т корневые и подчиненные, или дочерние,
ц е н т р ы с е р т и ф и к а ц и и СА (Certification Authority). Корневой центр серти-
ф и к а ц и и в ы д а е т с е р т и ф и к а т ы подчиненным центрам сертификации, поз-
в о л я я им выдавать с е р т и ф и к а т ы пользователям, компьютерам и службам.
П о д ч и н е н н ы й центр с е р т и ф и к а ц и и может выдавать сертификаты только в
случае подлинности своего собственного сертификата. По истечении срока
действия этого сертификата подчиненный СА должен запросить обновление
сертификата в своем корневом СА. В связи с этим сроки действия корневых
СА часто намного больше, чем у подчиненных СА. В свою очередь, срок
действия сертификатов подчиненных центров сертификации обычно боль-
ше, чем сроки действия сертификатов пользователей, компьютеров н служб.
• П о д а ч а з а я в о к АС в В е б С помощью подачи заявок в Веб пользователи
могут подключаться к СА через веб-обозреватель для запроса сертификатов,
[. 7 3 8 Службы сертификации Active Directory
Глава 15
подачи заявок для смарт-карт и п о л у ч е н и я с п и с к о в о т з ы в а с е р т и ф и к а т о в
(Certificate Revocation List, C L R ) . В списках C L R с о д е р ж а т с я с е р т и ф и к а т ы ,
которые являются недействительными и л и о т о з в а н ы о р г а н и з а ц и е й . С и с т е -
мы, использующие PKI, о п р а ш и в а ю т с е р в е р ы С А д л я п о л у ч е н и я с п и с к о в
C R L каждый раз при п р е д ъ я в л е н и и с е р т и ф и к а т а . Е с л и п р е д с т а в л е н н ы й
сертификат присутствует в этом списке, он а в т о м а т и ч е с к и о т к л о н я е т с я .
• Сетевой ответчик Эта с л у ж б а п р е д н а з н а ч е н а д л я о б р а б о т к и з а п р о с о в
подтверждения с е р т и ф и к а т о в через п р о т о к о л O C S P ( O n l i n e C e r t i f i c a t e
Status Protocol). С помощью сетевого о т в е т ч и к а с и с т е м е , п р и м е н я ю щ е й
PKI, нет необходимости получать п о л н ы й с п и с о к C L R д л я з а п р о с а п о д -
тверждения конкретного сертификата. С е т е в о й о т в е т ч и к ш и ф р у е т з а п р о с
подтверждения и определяет п о д л и н н о с т ь с е р т и ф и к а т а . П р и о п р е д е л е н и и
состояния запрошенного сертификата о т в е т ч и к п е р е с ы л а е т о б р а т н о з а ш и ф -
рованный ответ, содержащий и н ф о р м а ц и ю д л я з а п р а ш и в а ю щ е й с т о р о н ы .
Сетевые ответчики работают намного б ы с т р е й и э ф ф е к т и в н е й , ч е м с п и с к и
CLR. Сетевые ответчики в AD CS я в л я ю т с я н о в ы м к о м п о н е н т о м W i n d o w s
Server 2008.
К СВЕДЕНИЮ Сетевые ответчики
Сетевые ответчики часто являются альтернативой или д о п о л н е н и е м к спискам
CLR, которые поддерживают процесс отзыва сертификатов. Сетевые ответчики
Microsoft соответствуют стандартам RFC 2560 для OCSP. Более подробную ин-
формацию об этих стандартах RFC можно найти по адресу http://go.microsoft.com/
fwlink/?LinkID-67082.
• Служба подачи з а я в о к с е т е в ы х у с т р о й с т в Устройства, к о т о р ы е и с п о л ь -
зуют низкоуровневые операционные системы, н а п р и м е р м а р ш р у т и з а т о р ы и
коммутаторы, также могут п р и н и м а т ь участие в и н ф р а с т р у к т у р е P K I через
службу N D E S (Network Device E n r o l l m e n t Service) с п о м о щ ь ю п р о т о к о л а
SCEP (Simple Certificate E n r o l l m e n t P r o t o c o l ) , р а з р а б о т а н н о г о к о м п а н и е й
Cisco Systems, Inc. Эти устр о й с т ва о б ы ч н о не у ч а с т в у ю т в к а т а л о г е AD DS
и поэтому не располагают у ч е т н ы м и з а п и с я м и AD D S . О д н а к о с п о м о щ ь ю
службы NDES и протокола C S E P их т а к ж е м о ж н о сделать ч а с т ь ю и е р а р х и и
PKI, которая поддерживается и у п р а в л я е т с я с л у ж б а м и AD C S .
Эти четыре компонента ф о р м и р у ю т я д р о с л у ж б ы A D C S в W i n d o w s
Server 2008.
К СВЕДЕНИЮ Новые компоненты AD CS
Более подробную информацию о новых компонентах, поддерживаемых службами
AD CS в Windows Server 2008, можно найти по адресу http://technet2.microsoft.com/
windowsserver2008/en/library/171362c0-3773-498d-8cc3-0ddcd8082bf51033.mspx.
Независимые СА и центры с е р т и ф и к а ц и и п р е д п р и я т и я
При подготовке к развертыванию AD CS особое в н и м а н и е с л е д у е т у д е л и т ь
структурированию основных четырех с л у ж б AD CS. П р е ж д е всего н у ж н о за-
Занятие 1
Установка служб сертификации Active Directory 75-]
няться первой ролыо: центрами сертификации, которые необходимо развер-
нуть. Службы AD CS поддерживают два типа СА.
• Автономные СА Центр сертификации, который необязательно интегри-
ровать в службу ее каталогов. Независимые центры сертификации уста-
навливаются на рядовых или независимых серверах (в рабочей группе).
Автономные центры сертификации часто используются в качестве внутрен-
них корневых СА, и после генерирования сертификатов для подчиненных
серверов их часто отключают от сети из соображений безопасности. Выдача
и подтверждение сертификатов выполняются вручную, а сами сертифика-
ты основаны на стандартных шаблонах, которые нельзя модифицировать.
Клиентами независимого СА могут быть члены каталога AD DS, однако
членство в каталоге AD DS необязательно. Независимые СА можно уста-
новить в системах Windows Server 2008 Standard Edition, Windows Server
2008 Enterprise Edition и Windows Server 2008 Datacenter Edition.
• CA предприятия Центр сертификации, интегрируемый в службу катало-
гов AD DS. Центры сертификации предприятия обычно устанавливаются
на рядовых серверах и часто используются в иерархии как подчиненные
еще одному СА, предоставляя сертификаты конечным пользователям
и устройствам. Поскольку центры сертификации интегрируются в каталоги
AD DS, центры сертификации предприятия автоматически выпускают и
подтверждают сертификаты, запрашиваемые членами каталога. Расширен-
ные шаблоны таких сертификатов можно редактировать в соответствии
с требованиями. Все ключи шифрования защищены с помощью интеграции
каталогов. Центры сертификации предприятия можно установить только
в системах Windows Server 2008 Enterprise Edition и Windows Server 2008
Datacenter Edition.
В табл. 15-1 описаны различные компоненты, поддерживаемые независимы-
ми центрами сертификации, а также центрами сертификации предприятий.
Как описано в табл. 15-1, независимые центры сертификации сфокуси-
рованы на предоставлении конкретных служб и должны устанавливаться в
автономных средах, где не нужно использовать автоматику. В качестве приме-
ров можно привести корневые центры сертификации и СА, локализованные
