Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 71 (всего у книги 91 страниц)
в периметре сети и предоставляющие услуги в Интернете.
Центры сертификации предприятия следует использовать в основном для
выдачи сертификатов СА во внутренних сетях, включая структуры лесов AD
DS. Центры сертификации предприятия автоматизируют процесс выдачи сер-
тификатов. Их удобно использовать для выдачи сертификатов устройствам
беспроводных сетей и пользователям с целью интеграции смарт-карт. Пред-
ставьте себе управление целым лесом с процессом подтверждения, выполняе-
мым вручную для тысяч пользователей и устройств.
СОВЕТ К ЭКЗАМЕНУ
Изучите различия между независимым СА и центром сертификации предприятия,
поскольку эти вопросы включены в темы сертификационного экзамена, связанные
с тематикой AD CS.
[. 7 4 0 Службы сертификации Active Directory
Глава 15
Табл. 15-1. Сравнение независимых СА и центров сертификации предприятий
Компонент
Независимый
Предприятие
Публикация конфигурации СА
Опциональная
Обязательная
в каталогах доменных служб
Active Directory
Интеграция данных сертификатов Опциональная (вы-
Обязательная и автома-
СА с лесами AD DS
полняется вручную)
тическая
Публикация списка отзыва серти-
Опциональная (вы-
Обязательная и.автома-
фикатов (CLR) в лесах AD DS
полняется вручную)
тическая, с включением
списков Delta CLR
Публикация леса AD DS, назна-
Нет данных
Поддерживается
чаемая на уровне шаблона как его
атрибут
Подача заявок в Веб для запроса
Поддерживается
Поддерживается
и подтверждения сертификатов
ММС-консоль управления сер-
Нет данных
Поддерживается
тификатами (Certificate Microsoft
Management Console) для запроса
и подтверждения сертификатов
Запросы сертификатов через
Поддерживается
Поддерживается
HTTP и HTTPS
Запросы сертификатов через уда-
Нет данных
Р е ж и м по умолчанию
ленный вызов процедур (Remote
Procedure Call, RPC) в модели
DCOM (Distributed Component
Object Model)
Шаблоны V i c настраиваемы-
По умолчанию
Н е т данных
ми идентификаторами объектов
(Object Identifier, OID) в качестве
источника сертификатов
Настраиваемые шаблоны V2 и V3
Нет данных
По умолчанию
как источник сертификатов. Шаб-
лоны также можио дублировать
Ввод данных пользователем в про-
Вручную
Данные извлекаются из
цессе создания сертификата
A D DS .
Поддерживаемые методы подачи
Автоматически или в Автоматически или в ре-
заявок
режиме очереди для
ж и м е очереди и применя-
всех шаблонов
ется на основе шаблона
Процесс подтверждения сертифи-
Вручную
Вручную или автома-
ката
тически проверяются
подлинность и контроль
доступа AD DS
Публикация сертификатов
Вручную для клиен-
Зависит от типа серти-
та или СА. Можно
фиката и параметров
выполнять в AD DS,
шаблона, однако может
но только через на-
выполняться автома-
страиваемый модуль тически в хранилищах
политики
сертификатов клиента
и публиковаться в AD DS
Занятие 1
Установка служб сертификации Active Directory 75-]
Табл. 15-1 (окончание)
Компонент
Независимый
Предприятие
Публикация сертификатов
Нет даииых
Поддерживается
и управление с помощью AD DS
Параметры развертывания
Контроллер домена, Только контроллер доме-
рядовой и независи– на или рядовой сервер
мый сервер
С о з д а н и е и е р а р х и и ц е н т р о в с е р т и ф и к а ц и и
В т о р ы м в а ж н ы м аспектом п л а н и р о в а н и я иерархии СА является безопасность.
Поскольку и е р а р х и я СА основана на цепочке сертификатов, при взломе любого
корневого СА и л и центра сертификации высшего уровня автоматически взламы-
ваются все его с е р т и ф и к а т ы . По этой причине корневые центры сертификации
нужно максимально защитить. Обычно для этого создается связанная иерархия
СА и ч л е н ы в ы с ш е г о у р о в н я с в я з а н н о й архитектуры отключаются от сети.
С м ы с л в том, что если сервер отключен от сети, он защищен от сетевых атак.
О д н а к о определение количества уровней архитектуры AD CS также зависит
от н е к о т о р ы х других ф а к т о р о в . Следует учесть размер и географическое рас-
п р е д е л е н и е сети. К р о м е того, необходимо идентифицировать доверительную
связь м е ж д у центрами с е р т и ф и к а ц и и и обладателями сертификатов. Помните,
что с е р т и ф и к а т к а ж д ы й раз необходимо подтверждать с помощью списка CLR
и л и сетевого ответчика. П о э т о м у для использования сертификатов требуются
сетевые к о м м у н и к а ц и и .
Учтите т а к ж е п о т е н ц и а л ь н ы е сценарии развертывания AD CS. Будете ли
вы в з а и м о д е й с т в о в а т ь с партнерами вне вашей сети? Будут ли использоваться
с м а р т – к а р т ы ? Б у д у т ли задействованы беспроводные сети? Будет ли исполь-
зоваться I P S e c и л и н о в ы й S S T P ? Д л я сертификации подлинности устройства,
п р и л о ж е н и я и л и п о л ь з о в а т е л я необходимо использовать AD CS и, возможно,
сторонние к о м м е р ч е с к и е центры сертификации.
П о л у ч и в о т в е т ы на эти вопросы, можно переходить к планированию ие-
р а р х и и AD CS. П р и этом необходимо учесть следующее.
• Е д и н а я с в я з а н н а я и е р а р х и я с одним корневым центром сертификации со-
здается т о л ь к о в тех случаях, когда корневые СА нельзя взломать ни при
каких обстоятельствах.
• И е р а р х и я их двух уровней с корневым центром сертификации и подчи-
н е н н ы м и СА д л я з а щ и т ы корневого СА создается, когда для организации
не н у ж н о с о з д а в а т ь более с л о ж н у ю иерархию. В этой модели корневой
центр с е р т и ф и к а ц и и можно отключить от сети для защиты, как показано
на рис. 15-4.
• И е р а р х и я из трех у р о в н е й с корневым СА, промежуточными СА и СА
в ы д а ч и с е р т и ф и к а т о в создается в тех случаях, когда для СА выдачи сер-
т и ф и к а т о в требуется более высокий уровень безопасности и готовности,
а административная модель, популяция пользователей и географическая об-
ласть требуют создания дополнительного уровня. Часто в этой модели для
поддержки р а з л и ч н ы х политик в разных средах используется множество
[. 765 Службы сертификации Active Directory
Глава 15
промежуточных центров сертификации. При использовании этой модели
отключите от сети корневой и промежуточные центры сертификации для
обеспечения их безопасности, как показано на рис. 15-5.
Реализация иерархии
из двух уровней
Службы сертификации Active Directory
Центры сертификации предприятия
Легенда
В сети
Не в сети i
Рис. 15-4. Иерархия из двух уровней
ш Более трех уровней рекомендуется создавать только в очень сложных сре-
дах, где требуются самый высокий уровень безопасности и постоянная
защита инфраструктуры СА.
Как видите, чем больше уровней в иерархии, тем выше уровень сложности
процессов управления и администрирования. Однако по мере усложнения ие-
рархии также нужно повышать уровень безопасности. Кроме того, нужно учесть
тип СА, который будет развернут на каждом уровне. Типы СА в зависимости
от количества уровней в этой модели описаны в табл. 15-2.
Табл. 15-2. Назначение типа СА в зависимости от числа уровней в модели
Тип СА
Один уровень
Два уровня
Три уровня
Корневой СА
СА предприятия Автономный С А
Автономный СА
(в сети)
(не в сети)
(не в сети)
Промежуточный СА
–
–
Автономный СА
(не в сети)
СА выдачи сертификатов -
СА предприятия СА предприятия
(в сети)
(в сети)
Занятие 1 У с т а н о в к а с л у ж б с е р т и ф и к а ц и и Active Directory 75-]
Реализация из,трёхтуровней
Службы сертификации Active Directory
<4
' i j p
Независимый корневой центр сертификации
Л '
и
Независимые промежуточные центры сертификации
Центры сертификации предприятия для выдачи сертификатов
Легенда
В сети
I Не в сети
Рис. 15-5. Иерархия из трех уровней в географическом развертывании
СОВЕТ К Э К З А М Е Н У
З а п о м н и т е э т и и е р а р х и и в п р о ц е с с е п о д г о т о в к и к сертификационному экзамену.
И е р а р х и и С А я в л я ю т с я в а ж н ы м а с п е к т о м л ю б о г о развертывания A D CS.
Рекомендации по развертыванию AD CS
Ч а щ е в с е г о д л я р а з в е р т ы в а н и я A D C S и с п о л ь з у е т с я а р х и т е к т у р а и з д в у х и л и
н е с к о л ь к и х у р о в н е й . П р и п л а н и р о в а н и и и н ф р а с т р у к т у р ы A D C S п р и м и т е в о
в н и м а н и е с л е д у ю щ и е р е к о м е н д а ц и и .
• С т а р а й т е с ь н е и с п о л ь з о в а т ь и е р а р х и и и з о д н о г о у р о в н я , п о с к о л ь к у и х очень
с л о ж н о з а щ и т и т ь .
• К о р н е в ы е и п р о м е ж у т о ч н ы е ц е н т р ы с е р т и ф и к а ц и и ( е с л и о н и р е а л и з о в а н ы )
с л е д у е т о т к л ю ч а т ь о т с е т и с р а з у ж е п о с л е р а з м е щ е н и я инфраструктуры.
[. 7 4 4 Службы сертификации Active Directory
Глава 15
П о этой причине данные СА я в л я ю т с я о т л и ч н ы м и к а н д и д а т а м и н а в и р т у а -
лизацию с помощью Hyper-V в W i n d o w s Server 2008. С о з д а й т е в и р т у а л ь н у ю
машину, установите в ней р о л ь н е з а в и с и м о г о ц е н т р а с е р т и ф и к а ц и и AD CS
и сохраните состояние маши н ы .
• Рассмотрите возможность у д а л е н и я ф а й л о в в и р т у а л ь н о й м а ш и н ы к о р н е -
вого центра сертификации с хост-сервера сразу п о с л е его о т к л ю ч е н и я от
сети. Храните з а щ и щ е н н у ю в и р т у а л ь н у ю м а ш и н у в б е з о п а с н о м месте.
• Максимально защитите в и р т у а л ь н ы е м а ш и н ы , е с л и д л я п о д д е р ж к и р а з -
вертывания A D C S и с п о л ь з у е т с я в и р т у а л и з а ц и я . У к р а с т ь в и р т у а л ь н у ю
машину так же просто, как и ф и з и ч е с к и й сервер.
• Создайте виртуальные м а ш и н ы без п о д к л ю ч е н и я и л и с о т к л ю ч е н н ы м со-
единением для корневых и промежуточных СА. Т а к и м о б р а з о м вы п о в ы с и т е
уровень защиты. С е р т и ф и к а т ы п е р е н о с я т с я с э т и х с е р в е р о в на у с т р о й с т в а
USB или гибкие диски.
• Управляйте с ъ е м н ы м и у с т р о й с т в а м и в к о р н е в ы х и п р о м е ж у т о ч н ы х СА
с помощью параметров з а щ и т ы у с т р о й с т в в к о н с о л и Л о к а л ь н а я п о л и т и к а
безопасности (Local Security Policy). Т а к и м о б р а з о м б у д е т д о б а в л е н е щ е
один уровень защиты.
• Ваши администраторы СА д о л ж н ы б ы т ь д о в е р е н н ы м и л и ц а м и . О н и у п р а в -
ляют целой иерархией СА и поэтому д о л ж н ы р а с п о л а г а т ь о ч е н ь в ы с о к о й
степенью доверия.
• Обеспечьте безопасность центра д а н н ы х , у п р а в л я ю щ и х ц е н т р а м и с е р т и -
фикации. Контролируйте доступ к ц е нт р у д а н н ы х и, по в о з м о ж н о с т и , и с -
пользуйте смарт-карты д л я входа а д м и н и с т р а т о р о в в сеть.
• Используйте единый корневой СА и добавьте множество установок СА, ч т о б ы
создать промежуточные уровни и уровни выдачи с е р т и ф и к а т о в в и е р а р х и и .
• Тщательно планируйте имена серверов, поскольку после у с т а н о в к и с л у ж б ы
AD CS эти имена изменить нельзя, а использоваться о н и д л и т е л ь н о е в р е м я .
• Тщательно планируйте центры с е р т и ф и к а ц и и , так к а к п о с л е у с т а н о в к и СА
независимый центр сертификации нельзя преобразовать в СА п р е д п р и я т и я ,
и наоборот.
• Рекомендуется не устанавливать AD CS на к о н т р о л л е р е домена. С т а р а й т е с ь
хранить роль сервера AD CS отдельно от всех о с т а л ь н ы х р о л е й , за и с к л ю -
чением роли D N S ( D o m a i n Name System).
Эти рекомендации помогут вам на с т а д и и п л а н и р о в а н и я р а з в е р т ы в а н и я
A D C S .
К СВЕДЕНИЮ Рекомендации по развертыванию PKI
Дополнительную информацию о развертывании PKI в инфраструктуре Windows мож-
но найти в книге «Best Practices For Implementing A Microsoft Windows Server 2003
Public Key Infrastructure» по адресу http://technet2.microsoft.com/windowsserver/en/
Iibrary/091cda67-79ec-481d-8a96-03e0be7374ed1033.mspx?mfr-true. Эта книга посвя-
щена версии Windows Server 2003, а не Windows Server 2008, однако инструкции
в ней можно использовать для любой версии Windows.
Занятие 1
Установка служб сертификации Active Directory 75-]
Д о п о л н и т е л ь н ы е т р е б о в а н и я п л а н и р о в а н и я
К а к м ы у ж е г о в о р и л и , п л а н и р о в а н и е и р а з в е р т ы в а н и е и е р а р х и и С А – это
н е т о л ь к о т е х н и ч е с к а я з а д а ч а . Д л я п о д д е р ж к и и с п о л ь з о в а н и я с е р т и ф и к а т о в
в с е т и п о т р е б у ю т с я с о о т в е т с т в у ю щ и е а д м и н и с т р а т и в н ы е процессы. П р е ж д е
ч е м п р и с т у п а т ь к у с т а н о в к е A D D S , с л е д у е т у ч е с т ь т р и д о п о л н и т е л ь н ы х со-
о б р а ж е н и я :
• п о д д е р ж к а п о д а ч и з а я в о к н а п о л у ч е н и е с е р т и ф и к а т о в ;
• о б н о в л е н и е с е р т и ф и к а т о в ;
ш с о з д а н и е п р а в и л и т р е б о в а н и й с е р т и ф и к а ц и и (Certificate Practice Statement,
C P S ) .
П е р в ы й а с п е к т с в я з а н с п л а н и р о в а н и е м п о д д е р ж к и з а п р о с о в и распро-
с т р а н е н и я с е р т и ф и к а т о в . К а к м ы у ж е г о в о р и л и , с е р т и ф и к а т используется д л я
и д е н т и ф и к а ц и и его о б л а д а т е л я – п о л ь з о в а т е л я , м а ш и н ы и л и п р и л о ж е н и я ,
п о э т о м у н е о б х о д и м п р о ц е с с и д е н т и ф и к а ц и и з а п р а ш и в а ю щ е й стороны. В ы
н е с т а н е т е в ы д а в а т ь с е р т и ф и к а т Д ж о н у Кейну, п о к а н е будете уверены, что
с е р т и ф и к а т з а п р а ш и в а е т с я и м е н н о Д ж о н о м К е й н о м . С т о р о н н и е центры сер-
т и ф и к а ц и и д л я т а к о й и д е н т и ф и к а ц и и и с п о л ь з у ю т н е с к о л ь к о типов процессов,
в с а м о м с т р о г о м из к о т о р ы х о ф и ц и а л ь н ы й п р е д с т а в и т е л ь СА должен посетить
л и ц о , з а п р а ш и в а ю щ е е с е р т и ф и к а т . Э т о означает необходимость в персональной
в с т р е ч е , п р и к о т о р о й п о д т в е р ж д а е т с я л и ч н о с т ь , з а п р а ш и в а ю щ а я сертификат,
н а чье и м я о н и в ы д а е т с я . Д л я д а л ь н е й ш е й з а щ и т ы с е р т и ф и к а т можно хранить
на с м а р т – к а р т е . З а т е м о т в е т с т в е н н о с т ь за безопасность сертификата несет лицо,
к о т о р о м у п е р е д а е т с я м а р к е р б е з о п а с н о с т и н а смарт-карте.
О д н а к о в с л у ч а е п л а н и р о в а н и я а в т о м а т и ч е с к о й подачи з а я в о к в центры
с е р т и ф и к а ц и и п р е д п р и я т и я н е о б х о д и м о гарантировать соответствующую иден-
т и ф и к а ц и ю п о л ь з о в а т е л е й п е р е д п р е д о с т а в л е н и е м им доступа в сеть. Исполь-
з у й т е о ф и ц и а л ь н у ю п р о в е р к у п о д л и н н о с т и , н а п р и м е р п а с п о р т или другой
м е х а н и з м и д е н т и ф и к а ц и и , к о т о р ы й к о м п а н и я д о л ж н а использовать при работе
с к а д р а м и .
В т о р о е с о о б р а ж е н и я с в я з а н о с в р е м е н е м ж и з н и с е р т и ф и к а т о в . О б ы ч н о
с е р т и ф и к а т ы с о д е р ж а т по два к л ю ч а – о т к р ы т ы й и частный. Последний ис-
п о л ь з у е т с я д л я ш и ф р о в а н и я д а н н ы х .
С т о р о н н и е л и ц а д л я р а с ш и ф р о в к и д а н н ы х о б ы ч н о пользуются открытым
к л ю ч о м . Ч е м д о л ь ш е п а р а к л ю ч е й с е р т и ф и к а т а находится в употреблении, тем
в ы ш е в е р о я т н о с т ь а т а к и н а н е г о и л и в з л о м а . П р и о б н о в л е н и и сертификата
г е н е р и р у е т с я н о в а я п а р а к л ю ч е й , п о э т о м у н е о б х о д и м о распланировать время
ж и з н и с е р т и ф и к а т о в и р е г у л я р н о о б н о в л я т ь их.
К р о м е того, в а ш а и е р а р х и я из у р о в н е й т а к ж е обязана включать сроки дейс-
т в и я н а о с н о в е у р о в н я . К о р н е в ы е ц е н т р ы с е р т и ф и к а ц и и д о л ж н ы использовать
м а к с и м а л ь н ы й с р о к ж и з н и , у п р о м е ж у т о ч н ы х СА он д о л ж е н быть несколько
м е н ь ш е , а у СА в ы д а ч и с е р т и ф и к а т о в – еще м е н ь ш е и т. д. Н а п р и м е р , вы
м о ж е т е и с п о л ь з о в а т ь и н т е р в а л 10 л е т д л я всех у р о в н е й архитектуры, то есть
назначить 10 лет на к а ж д о м уровне. В архитектуре из трех уровней используйте
30 л е т д л я к о р н е в о г о СА, 20 – д л я п р о м е ж у т о ч н ы х и 10 – д л я СА выдачи
2 5 З а к . 3 3 9 9
[. 7 4 6 Службы сертификации Active Directory
Глава 15
сертификатов. Затем выдаваемым с е р т и ф и к а т а м м о ж н о н а з н а ч и т ь срок дейс-
твия год или два. Установка именно такого времени ж и з н и с е р т и ф и к а т о в в ие-
рархии обусловливается тем, что по и с т е ч е н и и срока д е й с т в и я с е р т и ф и к а т а
сервера также заканчивается время ж и з н и всех п о д ч и н е н н ы х с е р т и ф и к а т о в .
Поэтому сертификатам серверов следует н а з н а ч а т ь самое д л и т е л ь н о е вре-
мя жизни.
И наконец, вы должны распланировать и подготовить правила и требования
сертификации (Certificate Practice Statement, C P S ) , к о т о р ы е о с н о в ы в а ю т с я на
политиках сертификации. П о л и т и к и о п р е д е л я ю т о б я з а н н о с т и о р г а н и з а ц и и
по выдаче всех типов сертификатов. О р г а н и з а ц и я , в ы д а в ш а я с е р т и ф и к а т ы ,
в конечном счете отвечает за злонамеренное и л и н е к о р р е к т н о е их использова-
ние. Поэтому для определения п о л и т и к в о р г а н и з а ц и и и с п о л ь з у й т е традици-
онные отделы кадров и безопасности и на их основе г е н е р и р у й т е т р е б о в а н и я
CPS. Правила CPS должны включать н е с к о л ь к о элементов, н а п р и м е р : четкую
идентификацию создавшего их лица, список п о л и т и к с е р т и ф и к а ц и и , о б щ у ю
инструкцию процедур выдачи и отзыва с е р т и ф и к а т о в , метод з а щ и т ы центров
сертификации и т. д.
Правила CPS также д о л ж н ы о т р а ж а т ь п о л и т и к у о т з ы в а с е р т и ф и к а т о в .
Отзыв осуществляется для отмены д е й с т в и я с е р т и ф и к а т а , если, к примеру,
некое лицо не придерживается правил п о л и т и к и этого о т д е л ь н о г о т и п а серти-
фиката. Помните, что отзыв сертификата – всего л и ш ь метод а н н у л и р о в а н и я
некорректно используемого сертификата.
Правила CPS должны быть общедоступны д л я в н у т р е н н и х и внешних поль-
зователей СА. Обычно доступ к правилам п р е д о с т а в л я е т с я в И н т е р н е т е и л и
интрасетях.
К СВЕДЕНИЮ Правила и требования сертификации CPS
Более подробную информацию об определении правил и требований сертификации
CPS можно найти по адресу http://technet2.microsoft.com/z0indoz0sserver/en/library/
78c89e0f-44f8-452a-922c-5dd5b8eaa63b1033.mspx?mfr-*true.
СОВЕТ К ЭКЗАМЕНУ
Ознакомьтесь с политиками сертификации и правилами CPS, поскольку они явля-
ются важной темой экзамена 70-640.
Контрольные вопросы
1. Опишите различные типы центров сертификации, поддерживаемые в AD CS.
2. Вы планируете установить корневой центр сертификации в двухъярусной
архитектуре. Какой тип СА следует установить?
3. Каким образом обновляется список доверенных центров сертификации
в Windows Vista и Windows Server 2008?
Занятие 1
Установка служб сертификации Active Directory 75-]
Ответы на контрольные вопросы
1. Службы AD CS поддерживают два типа центров сертификации. Независи-
мый СА используется в средах, где не поддерживается интеграция с домен-
ными службами Active Directory (AD DS), поскольку по умолчанию он не
взаимодействует с AD DS. Центры сертификации предприятия (Enterprise
СА) непосредственно интегрируются в каталог AD DS и могут обеспечить
автоматизированный процесс подачи заявок пользователей или устройств.
2. Следует использовать независимый СА. Корневые центры сертификации
обычно отключаются от сети сразу после развертывания инфраструктуры
открытых ключей. Поэтому имеет смысл использовать самый простой тип
СА, поддерживаемый в AD CS.
3. Список доверенных центров сертификации в Windows Vista и Windows
Server 2008 обновляется параметрами групповой политики, которые вклю-
чены по умолчанию. В предыдущих версиях Windows список доверенных
СА я в л я л с я компонентом Windows, управление которым осуществлялось
в панели управления (Control Panel).
Установка AD CS
П р о ц е с с у с т а н о в к и A D C S б о л е е с л о ж н ы й , чем и н с т а л л я ц и я служб Active
D i r e c t o r y о б л е г ч е н н о г о д о с т у п а к каталогам ( A D LDS). Причина заключает-
ся в в ы б о р е м е ж д у н е з а в и с и м ы м АС и центром сертификации предприятия
( E n t e r p r i s e С А) и п о с л е д у ю щ е м в ы б о р е на основе исходного.
В б о л ь ш и н с т в е с л у ч а е в у с т а н а в л и в а е т с я структура из двух уровней, где
в н а ч а л е и н с т а л л и р у е т с я н е з а в и с и м ы й СА, а затем СА предприятия. В более
к р у п н ы х о р г а н и з а ц и я х развертываются несколько уровней и на каждом уровне,
за и с к л ю ч е н и е м к о р н е в о г о , у с т а н а в л и в а е т с я несколько серверов.
С е р в е р ы , у п р а в л я ю щ и е р о л ь ю AD CS, в качестве которых можно исполь-
з о в а т ь ф и з и ч е с к и е к о м п ь ю т е р ы и виртуальные машины, следует отконфигу-
р и р о в а т ь с о с л е д у ю щ и м и параметрами.
• М у л ь т и п р о ц е с с о р н ы е системы, поскольку они ускоряют процесс распро-
с т р а н е н и я с е р т и ф и к а т о в .
• М и н и м а л ь н ы й объем о п е р а т и в н о й памяти, поскольку RAM практически
не в л и я е т на о б р а б о т к у с е р т и ф и к а т о в . Д л я виртуальной машины можно
в ы д е л и т ь 512 М б а й т п а м я т и .
• О т д е л ь н ы е д и с к и д л я х р а н и л и щ а сертификатов. В идеале, нужен хотя бы
о д и н д и с к д а н н ы х , на к о т о р о м будет храниться база данных. Серверы, из-
д а ю щ и е с е р т и ф и к а т ы д л я к р у п н ы х сообществ, также должны располагать
ж е с т к и м и д и с к а м и д л я ф а й л о в журналов.
• Д л и н а к л ю ч а в л и я е т на и с п о л ь з о в а н и е процессоров и диска. Д л я коротких
к л ю ч е й т р е б у е т с я более в ы с о к а я нагрузка диска, для длинных – больше
р е с у р с о в п р о ц е с с о р о в и меньше диска. Используйте ключи средних разме-
р о в д л я о б е с п е ч е н и я о п т и м а л ь н о й производительности серверов.
[. 748 Службы сертификации Active Directory
Глава 15
В случае использования физических систем применяйте уровень RAID
(Redundant Array Of Inexpensive Disks) с целью балансировки между стабиль-
ностью и производительностью.
ВНИМАНИЕ! Установка AD CS в Windows Server 2008
Роль AD CS нельзя установить на машине с ядром сервера (Server Core), поскольку
для ее функционирования требуется полная установка Windows Server 2008. Это
означает, что при установке центров сертификации в периметре сети сервер следует
блокировать с помощью мастера настройки безопасности (Security Configuration
Wizard). Кроме того, службы AD CS нельзя установить в системах Itanium.
В различных выпусках Windows Server 2008 для поддержки AD CS пре-
доставляются различные компоненты. В табл. 15-3 описаны поддерживаемые
компоненты в каждом выпуске Windows Server 2008.
Табл. 15-3. Компоненты AD CS в каждом выпуске Windows Server 2008
f y y u n p ' M M W f l компоненты и возможности
Web Standard Enterprise Datacenter
Независимый центр сертификации
•
0
0
Центр сертификации предприятия
• •
0
0
Служба подачи заявок на регистрацию сетевых
• •
121
0
устройств (Network Device Enrollment Service,
NDES)
Служба сетевого ответчика
• •
121
0
Архивация ключей
• •
121
0
Разделение ролей
• •
0
0
Ограничения диспетчера сертификации
• •
0
0
(Certificate Manager)
Ограничения делегированного агента подачи
• •
0
0
заявок
Подготовка к установке АО CS
Перед установкой AD CS нужно подготовить среду. Далее описаны предвари-
тельные условия установки AD CS.
• Лес AD DS как минимум с корневым доменом. Рекомендуется также до-
бавить дочерний производственный домен.
• Компьютеры для запуска центров сертификации, используемых в иерар-
хии. В самом простом сценарии развертывания это означает наличие хотя
бы двух компьютеров: для корневого СА и для СА выдачи сертификатов.
Компьютер СА выдачи сертификатов также может содержать службу сете-
вого ответчика и службу NDES. На компьютере с СА выдачи сертификатов
необходимо установить IIS, однако процесс установки AD CS автомати-
чески добавляет веб-сервер (IIS). Оба компьютера должны быть членами
производственного домена.
о Помните, что корневой центр сертификации можно установить
в Windows Server 2008 Standard Edition. Кроме того, из соображений
безопасности после установки СА сервер следует отключить от сети.
Занятие 1
У с т а н о в к а с л у ж б с е р т и ф и к а ц и и Active Directory 75-]
• Ц е н т р С Л в ы д а ч и с е р т и ф и к а т о в с л е д у е т у с т а н о в и т ь в W i n d o w s S e r -
v e r 2 0 0 8 E n t e r p r i s e E d i t i o n и л и W i n d o w s S e r v e r 2 0 0 8 D a t a c e n t e r E d i t i o n .
• К о р н е в о м у С А т р е б у ю т с я к а к м и н и м у м д в а д и с к а , а С А в ы д а ч и с е р т и -
ф и к а т о в – т р и : д л я х р а н е н и я б а з ы д а н н ы х с е р т и ф и к а т о в и е е ж у р н а л о в .
• Д л я у с т а н о в к и с л у ж б ы N D E S п о т р е б у е т с я о с о б а я у ч е т н а я з а п и с ь п о л ь з о -
в а т е л я . С о з д а й т е у ч е т н у ю з а п и с ь д о м е н а и д о б а в ь т е е е в г р у п п у I I S _ I U S R S
н а к а ж д о м с е р в е р е , к о т о р ы й у п р а в л я е т э т о й с л у ж б о й . Н а п р и м е р , в ы м о ж е т е
з а д а т ь д л я э т о й у ч е т н о й з а п и с и и м я N D E S S e r v i c e .
• К л и е н т с к и е к о м п ь ю т е р ы ( в и д е а л е – W i n d o w s V i s t a ) д л я з а п р о с а и п о л у -
ч е н и я с е р т и ф и к а т о в .
К С В Е Д Е Н И Ю Развертывание AD CS
Б о л е е п о д р о б н у ю и н ф о р м а ц и ю о р а з в е р т ы в а н и и AD CS м о ж н о найти по адресу
http://technet2Microsoft.com/windowsserver2008/en/library/a8/53a9b-f3/6-4b13-8253-
dbf183a5aa621033.mspx?mfr-true.
Т е п е р ь м о ж е т е п е р е х о д и т ь к с а м о м у п р о ц е с с у у с т а н о в к и . Д л я у с т а н о в к и
н е з а в и с и м о г о к о р н е в о г о ц е н т р а с е р т и ф и к а ц и и и с п о л ь з у й т е и н с т р у к ц и и , п р и -
в е д е н н ы е в м а т е р и а л а х п р а к т и ч е с к и х з а н я т и й .
Практические занятия. Установка иерархии центров
сертификации
В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х в ы с о з д а д и т е д в у х ъ я р у с н у ю а р х и т е к т у р у
A D C S и у с т а н о в и т е к о м п о н е н т N D E S . Д л я в ы п о л н е н и я у п р а ж н е н и й н у ж н о
п о д г о т о в и т ь х о т я б ы т р и в и р т у а л ь н ы х с е р в е р а , к а к о п и с а н о в п о д р а з д е л е «Пре-
ж д е в с е г о » в н а ч а л е э т о й г л а в ы .
Упражнение 1. Установка AD CS в качестве независимого центра
сертификации
В э т о м у п р а ж н е н и и в ы с о з д а д и т е н е з а в и с и м ы й к о р н е в о й ц е н т р с е р т и ф и к а ц и и ,
к о т о р ы й б у д е т и с п о л ь з о в а т ь с я в и е р а р х и и С А . У п р а ж н е н и е н у ж н о в ы п о л -
н и т ь н а м а ш и н е S E R V E R 0 3 . Д л я в ы п о л н е н и я у п р а ж н е н и я т а к ж е т р е б у е т с я
з а п у с т и т ь к о н т р о л л е р S E R V E R 0 1 д о м е н а , р я д о в ы м ч л е н о м к о т о р о г о я в л я е т с я
м а ш и н а S E R V E R 0 3 .
1 . В о й д и т е н а м а ш и н у S E R V E R 0 3 к а к а д м и н и с т р а т о р д о м е н а .
Н а с а м о м д е л е в а м н у ж н ы л и ш ь п р а в а д о с т у п а л о к а л ь н о г о а д м и н и с т р а -
т о р а , о д н а к о д л я в ы п о л н е н и я д а н н о г о у п р а ж н е н и я с л е д у е т и с п о л ь з о в а т ь
р а з р е ш е н и я д о с т у п а а д м и н и с т р а т о р а д о м е н а . Н а с е р в е р е м о ж н о и с п о л ь з о -
в а т ь с и с т е м ы W i n d o w s S e r v e r 2 0 0 8 S t a n d a r d E d i t i o n , W i n d o w s Server 2 0 0 8
E n t e r p r i s e E d i t i o n и л и W i n d o w s S e r v e r 2 0 0 8 D a t a c e n t e r E d i t i o n .
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) запустите
Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) .
3 . Н а п а н е л и д е р е в а щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л Р о л и ( R o l e s ) и вы-
п о л н и т е к о м а н д у Д о б а в и т ь р о л и ( A d d R o l e s ) .
[. 7 5 0 Службы сертификации Active Directory
Глава 15
4 . П р о с м о т р и т е с в е д е н и я н а с т р а н и ц е П е р е д н а ч а л о м р а б о т ы ( B e f o r e You
Begin) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
5. На странице Выбор ролей сервера (Select Server Roles) в ы б е р и т е р о л ь С л у ж -
б ы с е р т и ф и к а ц и и Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s )
и щелкните к н о п к у Д а л е е ( N e x t ) .
6 . Н а с т р а н и ц е З н а к о м с т в о с о с л у ж б а м и с е р т и ф и к а ц и и A c t i v e D i r e c t o r y
(Active Directory C e r t i f i c a t e Services) п р о с м о т р и т е с в е д е н и я о в ы б р а н н о й
роли и щелкните к н о п к у Д а л е е ( N e x t ) .
7. На странице Выбор служб ролей (Select Role Services) в ы б е р и т е с л у ж б у Ц е н т р
с е р т и ф и к а ц и и ( C e r t i f i c a t i o n A u t h o r i t y ) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
Поскольку в ы у с т а н а в л и в а е т е к о р н е в о й СА, к о т о р ы й б у д е т о т к л ю ч е н о т
сети сразу после с о з д а н и я С А в ы д а ч и с е р т и ф и к а т о в , н е н а з н а ч а й т е э т о м у
серверу д о п о л н и т е л ь н ы е р о л и и с л у ж б ы .
8 . Н а странице З а д а н и е т и п а у с т а н о в к и ( S p e c i f y S e t u p Т у р е ) в ы б е р и т е т и п
Автономный Ц С ( S t a n d a l o n e ) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
9 . Н а странице З а д а н и е т и п а Ц С ( С А Т у р е ) в ы б е р и т е т и п К о р н е в о й Ц С ( R o o t
СА) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
