Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 72 (всего у книги 91 страниц)
10. Н а странице Установка з а к р ы т о г о к л ю ч а ( S e t U p P r i v a t e K e y ) в ы б е р и т е
параметр Создать н о в ы й з а к р ы т ы й к л ю ч ( C r e a t e A N e w P r i v a t e K e y ) и щ е л к -
ните кнопку Д а л е е ( N e x t ) .
Новый частный ключ н е о б х о д и м , п о с к о л ь к у в ы с о з д а е т е н о в ы й к о р н е в о й
центр сертификации. О д н а к о если в ы п е р е у с т а н а в л и в а е т е С А и з – з а с и с т е м -
ного сбоя, н у ж н о и с п о л ь з о в а т ь с у щ е с т в у ю щ и й к л ю ч , к о т о р ы й б ы л с г е н е -
рирован в о время исходной у с т а н о в к и к о р н е в о г о СА. К р о м е т о г о , е с л и в ы
создавали корневой С А д л я с в я з ы в а н и я с в н е ш н и м с т о р о н н и м С А , с л е д у е т
выбрать последний п а р а м е т р и и с п о л ь з о в а т ь к л ю ч с т о р о н н е г о С А . Ч т о б ы
получить доступ к этой опции, п е р е д и н с т а л л я ц и е й A D C S э т о т к л ю ч н у ж н о
установить н а сервере. Д л я у с т а н о в к и с е р т и ф и к а т а и с п о л ь з у й т е и н с т р у к ц и и
стороннего СА.
11. Н а с т р а н и ц е Н а с т р о й к а ш и ф р о в а н и я д л я Ц С ( C o n f i g u r e C r y p t o g r a p h y
For СА) в ы б е р и т е р е к о м е н д у е м о г о п о с т а в щ и к а с л у ж б ы ш и ф р о в а н и я C S P
( C r y p t o g r a p h i c Service P r o v i d e r ) . В ы б е р и т е д л и н у к л ю ч а 2 0 4 8 . В ы б е р и т е
алгоритм х э ш и р о в а н и я s h a l д л я п о д п и с и с е р т и ф и к а т о в , в ы д а в а е м ы х э т и м
СА. Кроме того, у с т а н о в и т е ф л а ж о к И с п о л ь з о в а т ь н а д е ж н ы е с р е д с т в а з а -
щ и т ы з а к р ы т о г о к л ю ч а , п р е д о с т а в л е н н ы е C S P ( U s e S t r o n g P r i v a t e K e y
Protection Features P r o v i d e d B y T h i s C S P ) .
На этой странице есть н е с к о л ь к о о п ц и й .
• Поставщики служб ш и ф р о в а н и я ( C S P ) п р е д с т а в л я ю т с о б о й м е х а н и з м ы ,
которые будут и с п о л ь з о в а т ь с я п р о г р а м м н ы м A P I – и н т е р ф е й с о м п р и л о -
жения Microsoft C r y p t o д л я г е н е р и р о в а н и я п а р ы к л ю ч е й э т о г о к о р н е -
вого СА. П о с т а в щ и к и CS могут б ы т ь а п п а р а т н ы м и и п р о г р а м м н ы м и .
Например, п о с т а в щ и к R S A # M i c r o s o f t S o f t w a r e K e y S t o r a g e P r o v i d e r
является программным, а п о с т а в щ и к R S A # M i c r o s o f t S m a r t C a r d Key
Storage Provider – а п п а р а т н ы м .
Занятие 1
Установка служб сертификации Active Directory 75-]
. • Д л и н а к л ю ч а в з н а к а х о п р е д е л я е т д л и н у к л ю ч е й в паре. На странице
д о с т у п н ы ч е т ы р е з н а ч е н и я д л и н ы . П о м н и т е : ч е м д л и н н е е ключ, тем
б о л ь ш е м о щ н о с т е й п о т р е б у е т с я с е р в е р у д л я его обработки и р а с ш и ф -
р о в к и .
• А л г о р и т м ы х э ш и р о в а н и я и с п о л ь з у ю т с я д л я г е н е р и р о в а н и я и назначе-
н и я х э ш – з н а ч е н и я к л ю ч е й в паре. П о с к о л ь к у о н и н а з н а ч а ю т с я ключам,
п р и п о д д е л к е к л ю ч а будет и з м е н е н о хэш-значение и ключ станет недейс-
т в и т е л ь н ы м . Х э ш – з н а ч е н и я о б е с п е ч и в а ю т д а л ь н е й ш у ю з а щ и т у ключей.
В ы б и р а е м ы й а л г о р и т м п р о с т о и с п о л ь з у е т другой метод вычисления для
г е н е р и р о в а н и я х э ш – з н а ч е н и я ,
ш П о с л е д н я я о п ц и я н а э т о й с т р а н и ц е обеспечивает д а л ь н е й ш у ю защиту
к о р н е в о г о С А , п о с к о л ь к у д л я его и с п о л ь з о в а н и я необходимы админис-
т р а т и в н ы е п р а в а д о с т у п а . Э т а о п ц и я н у ж н а д л я д а л ь н е й ш е й з а щ и т ы
д а н н о г о к о р н е в о г о СА.
12. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
13. Н а с т р а н и ц е З а д а н и е и м е н и Ц С ( C o n f i g u r e C A N a m e ) введите и м я Contoso-
Root-CA, о с т а в ь т е о б щ е е и м я и с у ф ф и к с по у м о л ч а н и ю и щелкните кнопку
Д а л е е ( N e x t ) .
В ы и с п о л ь з у е т е э т о и м я , п о с к о л ь к у о н о в к л а д ы в а е т с я в к а ж д ы й подчинен-
н ы й с е р т и ф и к а т , в ы д а в а е м ы й п о цепочке.
14. Н а с т р а н и ц е У с т а н о в и т ь с р о к д е й с т в и я ( S e t Validity P e r i o d ) выставьте
з н а ч е н и е 2 0 л е т и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
15. Н а с т р а н и ц е Н а с т р о й к а б а з ы д а н н ы х с е р т и ф и к а т о в (Configure Certificate
D a t a b a s e ) у к а ж и т е м е с т о х р а н е н и я б а з ы данных сертификатов и ее журнала.
П о с к о л ь к у э т о т к о р н е в о й С А н у ж н о о т к л ю ч и т ь о т сети и использовать
т о л ь к о с ц е л ь ю г е н е р и р о в а н и я с е р т и ф и к а т о в д л я СА, выдающих сертифи-
к а т ы по ц е п о ч к е , б а з у д а н н ы х и ее ж у р н а л н у ж н о поместить на диск D.
16. Ч т о б ы у к а з а т ь р а з м е щ е н и е б а з ы данных, щ е л к н и т е кнопку Обзор (Browse),
о т к р о й т е д и с к D , щ е л к н и т е к н о п к у С о з д а т ь п а п к у ( M a k e New Folder) и
з а д а й т е д л я п а п к и и м я C e r t D a t a . Щ е л к н и т е О К . Д л я журналов создайте
на д и с к е D п а п к у с и м е н е м C e r t L o g s . Щ е л к н и т е к н о п к у Далее (Next).
К о р н е в о й ц е н т р с е р т и ф и к а ц и и у с т а н о в л е н .
О т м е т и м , ч т о вы б о л ь ш е не с м о ж е т е и з м е н и т ь и м я этого сервера, пока пред-
в а р и т е л ь н о н е у д а л и т е с л у ж б ы A D CS. П о э т о м у н е следует использовать
и м я с е р в е р а в и м е н и СА в ш а г е 12.
СОВЕТ К ЭКЗАМЕНУ
Изучите эти опции установки, поскольку они являются темой экзамена.
К о р н е в о й ц е н т р с е р т и ф и к а ц и и установлен. Вернитесь к Диспетчеру сервера
( S e r v e r M a n a g e r ) и п р о с м о т р и т е р е з у л ь т а т ы установки. Например, на страни-
ц е р е з у л ь т а т о в у с т а н о в к и р о л и A D C S д о л ж н о быть перечислено событие с
к о д о м 103, к а к п о к а з а н о на р и с . 15-6. В э т о м с о б ы т и и указано, что и м я центра
с е р т и ф и к а ц и и б у д е т д о б а в л е н о в к о н т е й н е р Ц е н т р ы сертификации (Certificate
[. 7 5 2 Службы сертификации Active Directory Глава 15
Authority) домена AD DS. В нем также указана команда, с помощью которой
можно просмотреть информацию в каталоге после добавления имени.
Отключите этот центр сертификации от сети после обновления цикла груп-
повой политики для обеспечения дальнейшей защиты сервера. Теперь можете
приступать к установке первого центра выдачи сертификатов. Д л я обеспечения
высокой готовности инфраструктуры AD CS н у ж н о установить несколько
центров выдачи сертификатов, однако установка каждого СА выполняется
одним и тем же способом.
EES
Общие Подробности j
Службы сертификации Active Directory добавили корневой сертификат цепочки
сертификатов 0 в ыгружениое хранилище доверенных корневых цемтрое сертификации
предприятия на компьютере ЦС Это хранилище будет обновлено И5 контейнера центров
сертификации в Active Directory при следующем применении групповой политики.
Чтобы убедиться, что сертификат ЦС опубликован правильно в Active Directory,
выполните следующую команду: cwtutil -viewstore "ldap:///CN=cootoso-Raat-
CA,CN= Certification Authofities.CN=Public Key j r j
•J
Имя журнала:
Приложение
Подач a:
Certification Authority
Дата:
21Л 2.2008 6:56:35
•J
Кед события;
103
Категория задачи: Отсутствует
Уровень:
Предупреждение
Ключевые слова:
Классический
Пользователь:
S-1-5-1S
Компьютер:
SERVETO1 .contoso.com
Код операции:
Сведения
Подробности:
Веб-справка журнала
Кспиро«ать
Закрыть
Рис. 15-6. Просмотр содержимого сообщения 103
ПРИМЕЧАНИЕ Установки AD CS
Пошаговое руководство по установке AD CS можно найти по адресу http://go.microsoft.
com/fwlink/?LinkI d=90856.
У п р а ж н е н и е 2. У с т а н о в к а AD CS в к а ч е с т в е СА п р е д п р и я т и я ,
выдающего с е р т и ф и к а т ы
Теперь вы можете приступать к установке СА выдачи сертификатов. Обычно
следует установить несколько центров выдачи сертификатов, чтобы обеспе-
чить высокую готовности инфраструктуры AD CS, однако мы ограничимся
одним центром сертификации. Запустите машины S E R V E R 0 1 , SERVER03
и SERVER04.
1. Войдите на машину SERVER04 как администратор домена.
На самом деле вам нужны лишь права доступа локального администра-
тора, однако для выполнения данного упражнения следует использовать
разрешения доступа администратора домена. На сервере можно использо-
Занятие 1
Установка служб сертификации Active Directory 75-]
вать с и с т е м ы W i n d o w s Server 2008 Standard Edition, Windows Server 2008
E n t e r p r i s e E d i t i o n и л и Windows Server 2008 Datacenter Edition.
2. В п р о г р а м м н о й группе Администрирование (Administrative Tools) запустите
Д и с п е т ч е р сервера (Server Manager).
3. В п а н е л и д е р е в а щ е л к н и т е правой кнопкой мыши узел Роли (Roles) и вы-
п о л н и т е к о м а н д у Д о б а в и т ь роли (Add Roles).
4. П р о с м о т р и т е с в е д е н и я на странице Перед началом работы (Before You
B e g i n ) й щ е л к н и т е к н о п к у Далее (Next).
5. На с т р а н и ц е Выбор ролей сервера (Select Server Roles) выберите роль Служ-
бы с е р т и ф и к а ц и и Active Directory (Active Directory Certificate Services)
И щ е л к н и т е к н о п к у Д а л е е (Next).
6. На с т р а н и ц е З н а к о м с т в о со службами сертификации Active Directory
( A c t i v e D i r e c t o r y Certificate Services) просмотрите сведения о выбранной
р о л и и щ е л к н и т е к н о п к у Д а л е е (Next).
7. На с т р а н и ц е В ы б о р с л у ж б ролей (Select Role Services) выберите Центр
с е р т и ф и к а ц и и (Certification Authority), Служба сетевого ответчика (Online
R e s p o n d e r ) и щ е л к н и т е к н о п к у Далее (Next). При выборе сетевого ответ-
ч и к а т а к ж е п о т р е б у е т с я добавить роль веб-сервера (IIS) вместе с необхо-
д и м ы м и с л у ж б а м и . Щ е л к н и т е кнопку Добавить необходимые службы роли
( A d d R e q u i r e d Role Services).
8 . Щ е л к н и т е к н о п к у Д а л е е (Next).
Вы не в ы б р а л и с л у ж б у подачи з а я в о к в центр сертификации через Ин-
т е р н е т ( С А W e b Enrollment), поскольку она представляет внутренний СА
п р е д п р и я т и я , а д л я распространения сертификатов среди пользователей
и у с т р о й с т в ц е н т р ы сертификации предприятия задействуют AD DS. Если
вы у с т а н о в и л и этот СА во внешней сети, можете включить подачу заявок
' ч е р е з И н т е р н е т , чтобы пользователи могли запрашивать сертификаты в ва-
ш е м СА.
Вы не м о ж е т е сейчас установить службу подачи заявок на сетевые устройс-
т в а ( N e t w o r k Device Enrollment Service, NDES), поскольку службы AD CS
не п о д д е р ж и в а ю т одновременную установку СА и NDES. Чтобы установить
N D E S , п о с л е у с т а н о в к и СА нужно применить команду Добавить службы
р о л е й ( A d d Role Services) диспетчера сервера.
9. На с т р а н и ц е З а д а н и е типа установки (Specify Setup Туре) выберите тип
П р е д п р и я т и е ( E n t e r p r i s e ) и щелкните кнопку Далее (Next).
10. На с т р а н и ц е З а д а н и е типа ЦС (Specify СА Туре) выберите тип Подчинен-
н ы й ЦС ( S u b o r d i n a t e СА) и щелкните кнопку Далее (Next).
11. На с т р а н и ц е Установка закрытого ключа (Set Up Private Key) выберите
п а р а м е т р Создать новый закрытый ключ (Create A New Private Key) и щелк-
н и т е к н о п к у Д а л е е (Next).
12. На с т р а н и ц е Н а с т р о й к а ш и ф р о в а н и я для ЦС (Configure Cryptography For
С А ) з а д а й т е параметры по умолчанию и щелкните кнопку Далее (Next).
[ . 7 5 4 Службы сертификации Active Directory
Глава 15
13. Н а с т р а н и ц е З а д а н и е и м е н и Ц С ( C o n f i g u r e C A N a m e ) в в е д и т е и м я Contoso-
Issuing-CA01, о с т а в ь т е с у ф ф и к с и м е н и п о у м о л ч а н и ю и щ е л к н и т е к н о п к у
Д а л е е ( N e x t ) .
В ы и с п о л ь з у е т е п о д л и н н о е и м я и н о м е р , п о с к о л ь к у д л я о б е с п е ч е н и я в ы -
с о к о й г о т о в н о с т и в а м н у ж н о с о з д а т ь н е с к о л ь к о ц е н т р о в в ы д а ч и с е р т и ф и -
катов.
14. Н а с т р а н и ц е З а п р о с с е р т и ф и к а т а и з р о д и т е л ь с к о г о Ц С ( R e q u e s t C e r t i f i c a t e
F r o m A P a r e n t С А ) в ы б е р и т е п а р а м е т р С о х р а н и т ь з а п р о с с е р т и ф и к а т а в
ф а й л и п о з д н е е о т п р а в и т ь в р у ч н у ю в р о д и т е л ь с к и й Ц С ( S a v e A C e r t i f i c a t e
R e q u e s t Т о File A n d M a n u a l l y S e n d I t L a t e r T o A P a r e n t C A ) .
15. В п о л е И м я ф а й л а ( F i l e N a m e ) в ы д е л и т е и м я ф а й л а з а п р о с а с е р т и ф и к а т а ,
с к о п и р у й т е его в б у ф е р о б м е н а с п о м о щ ь ю к о м б и н а ц и и к л а в и ш C t r l + C ,
а з а т е м щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) и н а й д и т е п а п к у Д о к у м е н т ы
( D o c u m e n t s ) , Вставьте и м я ф а й л а в п о л е И м я ф а й л а ( F i l e N a m e ) с п о м о щ ь ю
к о м б и н а ц и и к л а в и ш C t r l + V , щ е л к н и т е к н о п к у С о х р а н и т ь ( S a v e ) , а з а т е м
к н о п к у Д а л е е ( N e x t ) .
16. Н а с т р а н и ц е Н а с т р о й к а б а з ы д а н н ы х с е р т и ф и к а т о в ( C o n f i g u r e C e r t i f i c a t e
D a t a b a s e ) у к а ж и т е р а з м е щ е н и е б а з ы д а н н ы х , с е р т и ф и к а т о в и е е ж у р н а л а .
П о с к о л ь к у этот ц е н т р в ы д а ч и с е р т и ф и к а т о в б у д е т и с п о л ь з о в а т ь с я т о л ь к о
д л я т е с т и р о в а н и я , д а н н ы е и ж у р н а л ы м о ж н о п о м е с т и т ь н а д и с к D . О д н а к о
в п р о и з в о д с т в е н н о й среде в ы д а ч а с е р т и ф и к а т о в д о л ж н а о с у щ е с т в л я т ь с я б е з
о с л о ж н е н и й . П о э т о м у б а з у д а н н ы х н у ж н о р а з м е с т и т ь н а д и с к е D , а ж у р н а -
лы – на д и с к е Е.
17. Ч т о б ы указать р а з м е щ е н и е б а з ы д а н н ы х , щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) ,
о т к р о й т е д и с к D , щ е л к н и т е к н о п к у С о з д а т ь п а п к у ( M a k e N e w F o l d e r ) и з а -
д а й т е д л я п а п к и и м я C e r t D a t a . Щ е л к н и т е О К .
18. Д л я ж у р н а л о в с о з д а й т е п а п к у н а д и с к е D и з а д а й т е д л я н е е и м я C e r t L o g s .
Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
19. П р о с м о т р и т е п а р а м е т р ы у с т а н о в к и в е б – с е р в е р а ( I I S ) . Щ е л к н и т е к н о п к у
Д а л е е ( N e x t ) .
20. Н а с т р а н и ц е в ы б о р а с л у ж б р о л е й в е б – с е р в е р а п р о с м о т р и т е н е о б х о д и м ы е
с л у ж б ы и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
21. Н а с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е п а р а м е т р ы ( C o n f i r m I n s t a l l a t i o n
S e l e c t i o n s ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е к н о п к у Ус-
т а н о в и т ь ( I n s t a l l ) . П о с л е з а в е р ш е н и я у с т а н о в к и п р о с м о т р и т е р е з у л ь т а т ы
и щ е л к н и т е к н о п к у З а к р ы т ь ( C l o s e ) .
П о д ч и н е н н ы й ц е н т р с е р т и ф и к а ц и и н е л ь з я и с п о л ь з о в а т ь д о т е х п о р , п о к а
н е будет в ы д а н с е р т и ф и к а т к о р н е в о г о С А , к о т о р ы й и с п о л ь з у е т с я д л я з а -
в е р ш е н и я у с т а н о в к и э т о г о п о д ч и н е н н о г о С Л .
СОВЕТ К ЭКЗАМЕНУ
Помните, что центр с е р т и ф и к а ц и и и службу N D E S н е л ь з я у с т а н о в и т ь о д н о в р е -
менно.
Занятие 1
Установка служб сертификации Active Directory 75-]
Упражнение 3. Получение и установка сертификата
для центра выдачи сертификатов
Д а л е е в ы п о л у ч и т е с е р т и ф и к а т д л я з а в е р ш е н и я у с т а н о в к и ц е н т р а в ы д а ч и сер-
т и ф и к а т о в . О б ы ч н о э т у п р о ц е д у р у н у ж н о в ы п о л н я т ь в а в т о н о м н о м р е ж и м е с
п о м о щ ь ю с ъ е м н о г о у с т р о й с т в а х р а н е н и я , н а п р и м е р д и с к е т ы и л и ф л э ш – п а м я т и
U S B , о д н а к о в д а н н о м у п р а ж н е н и и в ы и с п о л ь з у е т е о б щ у ю п а п к у д л я передачи
з а п р о с а с е р т и ф и к а т а и с а м о г о с е р т и ф и к а т а п о с л е его п о л у ч е н и я .
1 . Н а м а ш и н е S E R V E R 0 4 о т к р о й т е П р о в о д н и к W i n d o w s ( W i n d o w s Explorer),
с о з д а й т е н а д и с к е С н о в у ю п а п к у и з а д а й т е д л я н е е и м я Temp.
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Т е ш р и п р и м е н и т е к о м а н д у О б щ и й
д о с т у п ( S h a r e ) .
3. В д и а л о г о в о м о к н е О б щ и й д о с т у п к ф а й л у ( F i l e S h a r i n g ) в ы б е р и т е в рас-
к р ы в а ю щ е м с я с п и с к е г р у п п у В с е ( E v e r y o n e ) и щ е л к н и т е к н о п к у Д о б а в и т ь
( A d d ) .
4. В с т о л б ц е У р о в е н ь р а з р е ш е н и й ( P e r m i s s i o n Level) в ы б е р и т е в р а с к р ы в а ю -
щ е м с я с п и с к е у р о в е н ь С о а в т о р ( C o n t r i b u t o r ) д л я г р у п п ы Все и щ е л к н и т е
к н о п к у О б щ и й д о с т у п ( S h a r e ) .
5. С к о п и р у й т е в п а п к у T e m p з а п р о с с е р т и ф и к а т а , с г е н е р и р о в а н н ы й в папке
Д о к у м е н т ы ( D o c u m e n t s ) .
6 . Н а м а ш и н е S E R V E R 0 3 в п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е
( A d m i n i s t r a t i v e T o o l s ) о т к р о й т е к о н с о л ь Ц е н т р с е р т и ф и к а ц и и (Certification
A u t h o r i t y ) .
7 . В п а н е л и д е р е в а к о н с о л и Ц е н т р с е р т и ф и к а ц и и щ е л к н и т е правой к н о п к о й
м ы ш и и м я к о р н е в о г о С А , в ы б е р и т е Все з а д а ч и (All Tasks) и щ е л к н и т е за-
д а ч у В ы д а т ь н о в ы й з а п р о с ( S u b m i t N e w R e q u e s t ) .
8 . В д и а л о г о в о м о к н е О т к р ы т ь ф а й л з а п р о с а ( O p e n R e q u e s t File) перейдите •
в а д р е с н у ю с т р о к у и в в е д и т е а д р е с \SERVER04Temp. Выберите в папке
з а п р о с и щ е л к н и т е к н о п к у О т к р ы т ь ( O p e n ) .
9. В п а н е л и д е р е в а п е р е й д и т е в у з е л З а п р о с ы в о ж и д а н и и ( P e n d i n g Request),
щ е л к н и т е п р а в о й к н о п к о й м ы ш и о ж и д а ю щ и й запрос в п а н е л и сведений,
в ы б е р и т е В с е з а д а ч и ( A l l T a s k s ) и щ е л к н и т е задачу Выдать (Issue).
10. В п а н е л и д е р е в а п е р е й д и т е в у з е л В ы д а н н ы е с е р т и ф и к а т ы ( I s s u e d
C e r t i f i c a t e s ) , в п а н е л и с в е д е н и й щ е л к н и т е п р а в о й к н о п к о й м ы ш и выдан-
н ы й с е р т и ф и к а т и в ы п о л н и т е к о м а н д у О т к р ы т ь ( O p e n ) .
11. В д и а л о г о в о м о к н е С е р т и ф и к а т ( C e r t i f i c a t e ) перейдите на вкладку Сведения
( D e t a i l s ) и щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y То File) в нижней
ч а с т и д и а л о г о в о г о о к н а .
З а п у с т и т с я М а с т е р э к с п о р т а с е р т и ф и к а т а ( C e r t i f i c a t e E x p o r t Wizard).
12. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
13. В ы б е р и т е с н а ч а л а C r y p t o g r a p h i c M e s s a g e S y n t a x S t a n d a r d – P K C S 2 7 Cer-
t i f i c a t e s ( P 7 B ) , з а т е м – о п ц и ю В к л ю ч и т ь п о в о з м о ж н о с т и все с е р т и ф и к а т ы
в п у т ь с е р т и ф и к а ц и и ( I n c l u d e All C e r t i f i c a t e s I n T h e Certification Path I f
P o s s i b l e ) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
[. 7 5 6 Службы сертификации Active Directory
Глава 15
Существует н е с к о л ь к о п о д д е р ж и в а е м ы х ф о р м а т о в . •
• Ф о р м а т Distinguished E n c o d i n g R u l e s ( D E R ) E n c o d e d B i n a r y X . 5 0 9 ч а с -
т о и с п о л ь з у е т с я д л я к о м п ь ю т е р о в н е н а п л а т ф о р м е W i n d o w s . Ф а й л ы
с е р т и ф и к а ц и и с о з д а ю т с я в ф о р м а т е C E R .
• Ф о р м а т Base-64 E n c o d e d Х.509 п о д д е р ж и в а е т ф о р м а т S / M I M E , п р и м е -
н я е м ы й д л я п е р е с ы л к и з а щ и щ е н н о й э л е к т р о н н о й п о ч т ы п о И н т е р н е -
ту. Н а серверах этот ф о р м а т о б ы ч н о и с п о л ь з у е т с я д л я о п е р а ц и о н н ы х
систем н е н а п л а т ф о р м е W i n d o w s . Ф а й л ы с е р т и ф и к а ц и и с о з д а ю т с я
в формате C E R .
• Формат Cryptographic Message S y n t a x S t a n d a r d ( P K C S # 7 ) и с п о л ь з у е т с я
д л я пересылки с е р т и ф и к а т о в и их п у т и в ц е п о ч к е с о д н о г о к о м п ь ю т е р а
н а другой. Д а н н ы й ф о р м а т и с п о л ь з у е т ф а й л о в ы й ф о р м а т Р 7 В .
• Ф о р м а т Personal I n f o r m a t i o n E x c h a n g e ( P K C S # 1 2 ) т а к ж е и с п о л ь з у е т с я
д л я передачи с е р т и ф и к а т о в и их п у т и в ц е п о ч к е с о д н о г о к о м п ь ю т е р а
н а другой, о д н а к о этот ф о р м а т т а к ж е п о д д е р ж и в а е т п е р е д а ч у з а к р ы -
того ключа вместе с о т к р ы т ы м . Д а н н ы й ф о р м а т и с п о л ь з у е т ф а й л о в ы й
формат P F X .
• Н а с т р а и в а е м ы й ф о р м а т M i c r o s o f t S e r i a l i z e d C e r t i f i c a t e S t o r e с л е д у е т
использовать д л я переноса к о р н е в ы х с е р т и ф и к а т о в с о д н о г о к о м п ь ю т е р а
н а другой. И с п о л ь з у е т ф а й л о в ы й ф о р м а т SST.
14. В диалоговом окне Э к с п о р т и р у е м ы й ф а й л (File То E x p o r t ) щ е л к н и т е к н о п к у
Обзор (Browse) и сохраните с е р т и ф и к а т в п а п к е S E R V E R 0 4 T e m p . З а д а й -
те для ф а й л а и м я Issuing-СА01 .р7Ь и щ е л к н и т е к н о п к у С о х р а н и т ь ( S a v e ) .
15. Вернувшись к мастеру, щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
16. Просмотрите в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е к н о п к у Готово ( F i n i s h ) .
17. Когда мастер отобразит с о о б щ е н и е о б у с п е ш н о м э к с п о р т е , щ е л к н и т е О К .
Вернитесь к машине S E R V E R 0 4 . П о м н и т е : о б ы ч н о д л я п е р е н о с а с е р т и ф и -
ката с одного сервера на д р у г о й и с п о л ь з у е т с я с ъ е м н о е у с т р о й с т в о .
18. Перейдите к Диспетчеру сервера ( S e r v e r M a n a g e r ) и в п а н е л и д е р е в а в ы б е -
рите элемент C o n t o s o – I s s u i n g – C A O l в п а п к е Р о л и С л у ж б ы с е р т и ф и к а ц и и
Active Directory ( R o l e s A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s ) .
19. Щелкните правой к н о п к о й м ы ш и э л е м е н т C o n t o s o – I s s u i n g – C A O l , в ы б е р и т е
Все задачи (All Tasks) и щ е л к н и т е задачу Установить с е р т и ф и к а т ЦС ( I n s t a l l
СА Certificate).
20. Перейдите к п а п к е C : T e m p , в ы б е р и т е с е р т и ф и к а т и щ е л к н и т е к н о п к у О т -
крыть ( O p e n ) .
21. Сертификат будет и м п о р т и р о в а н на сервер.
22. Щелкните правой к н о п к о й м ы ш и и м я с е р в е р а , в ы б е р и т е Все з а д а ч и (АН
Tasks) и щелкните задачу З а п у с к с л у ж б ы ( S t a r t S e r v i c e ) .
Ваш центр выдачи с е р т и ф и к а т о в теперь м о ж е т в ы д а в а т ь с е р т и ф и к а т ы . Н а
этом этапе S E R V E R 0 3 следует о т к л ю ч и т ь о т сети, о д н а к о , п о с к о л ь к у м ы
работаем в тестовой среде и нам н у ж н о э к о н о м и т ь р е с у р с ы п р о ц е с с о р о в
и дискового пространства, оставьте сервер п о д к л ю ч е н н ы м .
Занятие 1
Установка служб сертификации Active Directory 75-]
ВНИМАНИЕ1 Защита сертификата
Теперь, когда сервер готов к работе, сохраните переданный сертификат в безопасном
месте. Кроме того, после выполнения этой задачи и выдачи сертификатов для всех
СА в инфраструктуре также необходимо отключить корневой центр сертификации.
Если к о р н е в о й СА находится на виртуальной машине, выключите ее и удалите
ф а й л ы виртуальной м а ш и н ы с хост-сервера. Например, их можно скопировать на
DVD-диск, к о т о р ы й следует хранить в безопасном месте.
Упражнение 4. Подготовка к установке службы NDES
Т е п е р ь в ы у с т а н о в и т е с л у ж б у N D E S . О п я т ь – т а к и , это у п р а ж н е н и е необходимо
в ы п о л н я т ь н а м а ш и н е S E R V E R 0 4 , о д н а к о д л я с о з д а н и я учетной записи поль-
з о в а т е л я в н а ч а л е н у ж н о и с п о л ь з о в а т ь м а ш и н у S E R V E R 0 1 .
1 . В о й д и т е н а м а ш и н у S E R V E R 0 1 к а к а д м и н и с т р а т о р домена.
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите
о с н а с т к у A c t i v e D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory
U s e r s A n d C o m p u t e r s ) .
3 . С о з д а й т е с л е д у ю щ у ю с т р у к т у р у п о д р а з д е л е н и й : C o n t o s o . c o m A d m i n s
S e r v i c e I d e n t i t i e s .
4 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и подразделение Service Identities, примени-
т е к о м а н д у С о з д а т ь ( N e w ) , а з а т е м в ы б е р и т е объект Пользователь (User).
5. З а д а й т е д л я п о л ь з о в а т е л я и м я NDESService, которое используйте для вхо-
да и в к а ч е с т в е и м е н и в х о д а п р е д – W i n d o w s 2000. Щ е л к н и т е кнопку Далее
( N e x t ) .
6 . Н а з н а ч ь т е у ч е т н о й з а п и с и с т р о г и й п а р о л ь . Сбросьте ф л а ж к и Требовать
с м е н у п а р о л я п р и с л е д у ю щ е м в х о д е в систему (User Must Change Password
A t N e x t L o g o n ) и С р о к д е й с т в и я п а р о л я н е о г р а н и ч е н (Password Never
E x p i r e s ) .
7. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) , а затем кнопку Готово (Finish) для создания
у ч е т н о й з а п и с и .
8. В е р н и т е с ь к м а ш и н е S E R V E R 0 4 и в о й д и т е ка к администратор домена.
9. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите
Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) .
10. Р а з в е р н и т е у з е л К о н ф и г у р а ц и я Л о к а л ь н ы е пользователи и группыГруппы
( C o n f i g u r a t i o n L o c a l U s e r s a n d G r o u p s G r o u p s ) .
11. Д в а ж д ы щ е л к н и т е г р у п п у I I S _ I U S R S .
12. Д о б а в ь т е в э т у г р у п п у у ч е т н у ю з а п и с ь N D E S S e r v i c e и щелкните О К .
Упражнение 5. Установка службы NDES
Теперь в ы м о ж е т е у с т а н о в и т ь с л у ж б у N D E S .
1. В п а н е л и д е р е в а Д и с п е т ч е р а с е р в е р а ( S e r v e r M a n a g e r ) щ е л к н и т е пра-
в о й к н о п к о й м ы ш и у з е л С л у ж б ы с е р т и ф и к а ц и и Active Directory (Active
D i r e c t o r y C e r t i f i c a t e Services) и п р и м е н и т е команду Добавить службы ролей
( A d d Role Se rvi c es).
[. 7 5 8 Службы сертификации Active Directory
Глава 15
2. На странице Выбор с л у ж б ролен ( S e l e c t Role Services) у с т а н о в и т е ф л а ж о к
Служба подачи з а я в о к на сетевые у с т р о й с т в а ( N e t w o r k D e v i c e E n r o l l m e n t
Service).
В установку IIS при этом т а к ж е н е о б х о д и м о д о б а в и т ь к о м п о н е н т П р о в е р к а
подлинности W i n d o w s ( W i n d o w s A u t h e n t i c a t i o n ) .
3. Щелкните кнопку Добавить не о бх о д и мые с л у ж б ы р о л и ( A d d R e q u i r e d Role
Services) и щелкните к н о п к у Д а л е е ( N e x t ) .
4. На странице Задание учетной з а п и с и п о л ь з о в а т е л я ( S p e c i f y U s e r A c c o u n t )
щ е л к н и т е к н о п к у В ы б р а т ь п о л ь з о в а т е л я ( S e l e c t U s e r ) , в в е д и т е и м я
NDESService и пароль и щ е л к н и т е О К . Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
5 . Н а странице З а д а н и е д а н н ы х ц е н т р а р е г и с т р а ц и и ( S p e c i f y R e g i s t r a t i o n
Authority Information) нужно указать и н ф о р м а ц и ю д л я ц е н т р а р е г и с т р а ц и и
или центра, выдающего с е р т и ф и к а т ы с е т е в ы х у с т р о й с т в и у п р а в л я ю щ е г о
ими. Введите и м я Contoso-MSCEP-RA01, в п о я в и в ш е м с я с п и с к е в ы б е р и т е
свою страну и оставьте все о с т а л ь н ы е п о л я д а н н ы х п у с т ы м и . Щ е л к н и т е
кнопку Далее (Next).
Обычно нужно указать всю о б я з а т е л ь н у ю и о п ц и о н а л ь н у ю и н ф о р м а ц и ю ,
однако в данном у п р а ж н е н и и следует о с т а в и т ь п о л я п у с т ы м и .
6. На странице Настройка ш и ф р о в а н и я д л я ц е н т р а р е г и с т р а ц и и ( C o n f i g u r e
Cryptography For Registration A u t h o r i t y ) оставьте п а р а м е т р ы по у м о л ч а н и ю
и щелкните кнопку Д а л е е ( N e x t ) .
Помните, что длина ключей влияет на и с п о л ь з о в а н и е п р о ц е с с о р о в . И с п о л ь -
зуйте длину ключей из 2048 знаков, е с л и на с р е д у не н а л о ж е н ы с т р о г и е
ограничения безопасности.
7. Просмотрите сведения об установке IIS. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
8. На странице Службы р о л е й веб-сервера ( W e b S e r v e r Role S e r v i c e s ) п р о -
смотрите список необходимых с л у ж б и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
9. На странице (Confirm Installation Services) щ е л к н и т е к н о п к у У с т а н о в и т ь
(Install).
10. Понаблюдайте за ходом в ы п о л н е н и я у с т а н о в к и .
11. Щелкните кнопку З а к р ы т ь (Close).
Служба N D E S установлена и готова к работе. Установка с е р в е р а в ы д а ч и
сертификатов завершена.
К СВЕДЕНИЮ Протокол SCEP (Simple Certificate Enrollment Protocol)
Более подробную информацию о протоколе SCEP можно найти по адресу http://
uwto3.ietf.org/proceedings/07jul/slides/pkix-3.pdf.
