355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 72)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 72 (всего у книги 91 страниц)

10. Н а странице Установка з а к р ы т о г о к л ю ч а ( S e t U p P r i v a t e K e y ) в ы б е р и т е

параметр Создать н о в ы й з а к р ы т ы й к л ю ч ( C r e a t e A N e w P r i v a t e K e y ) и щ е л к -

ните кнопку Д а л е е ( N e x t ) .

Новый частный ключ н е о б х о д и м , п о с к о л ь к у в ы с о з д а е т е н о в ы й к о р н е в о й

центр сертификации. О д н а к о если в ы п е р е у с т а н а в л и в а е т е С А и з – з а с и с т е м -

ного сбоя, н у ж н о и с п о л ь з о в а т ь с у щ е с т в у ю щ и й к л ю ч , к о т о р ы й б ы л с г е н е -

рирован в о время исходной у с т а н о в к и к о р н е в о г о СА. К р о м е т о г о , е с л и в ы

создавали корневой С А д л я с в я з ы в а н и я с в н е ш н и м с т о р о н н и м С А , с л е д у е т

выбрать последний п а р а м е т р и и с п о л ь з о в а т ь к л ю ч с т о р о н н е г о С А . Ч т о б ы

получить доступ к этой опции, п е р е д и н с т а л л я ц и е й A D C S э т о т к л ю ч н у ж н о

установить н а сервере. Д л я у с т а н о в к и с е р т и ф и к а т а и с п о л ь з у й т е и н с т р у к ц и и

стороннего СА.

11. Н а с т р а н и ц е Н а с т р о й к а ш и ф р о в а н и я д л я Ц С ( C o n f i g u r e C r y p t o g r a p h y

For СА) в ы б е р и т е р е к о м е н д у е м о г о п о с т а в щ и к а с л у ж б ы ш и ф р о в а н и я C S P

( C r y p t o g r a p h i c Service P r o v i d e r ) . В ы б е р и т е д л и н у к л ю ч а 2 0 4 8 . В ы б е р и т е

алгоритм х э ш и р о в а н и я s h a l д л я п о д п и с и с е р т и ф и к а т о в , в ы д а в а е м ы х э т и м

СА. Кроме того, у с т а н о в и т е ф л а ж о к И с п о л ь з о в а т ь н а д е ж н ы е с р е д с т в а з а -

щ и т ы з а к р ы т о г о к л ю ч а , п р е д о с т а в л е н н ы е C S P ( U s e S t r o n g P r i v a t e K e y

Protection Features P r o v i d e d B y T h i s C S P ) .

На этой странице есть н е с к о л ь к о о п ц и й .

• Поставщики служб ш и ф р о в а н и я ( C S P ) п р е д с т а в л я ю т с о б о й м е х а н и з м ы ,

которые будут и с п о л ь з о в а т ь с я п р о г р а м м н ы м A P I – и н т е р ф е й с о м п р и л о -

жения Microsoft C r y p t o д л я г е н е р и р о в а н и я п а р ы к л ю ч е й э т о г о к о р н е -

вого СА. П о с т а в щ и к и CS могут б ы т ь а п п а р а т н ы м и и п р о г р а м м н ы м и .

Например, п о с т а в щ и к R S A # M i c r o s o f t S o f t w a r e K e y S t o r a g e P r o v i d e r

является программным, а п о с т а в щ и к R S A # M i c r o s o f t S m a r t C a r d Key

Storage Provider – а п п а р а т н ы м .

Занятие 1

Установка служб сертификации Active Directory 75-]

. • Д л и н а к л ю ч а в з н а к а х о п р е д е л я е т д л и н у к л ю ч е й в паре. На странице

д о с т у п н ы ч е т ы р е з н а ч е н и я д л и н ы . П о м н и т е : ч е м д л и н н е е ключ, тем

б о л ь ш е м о щ н о с т е й п о т р е б у е т с я с е р в е р у д л я его обработки и р а с ш и ф -

р о в к и .

• А л г о р и т м ы х э ш и р о в а н и я и с п о л ь з у ю т с я д л я г е н е р и р о в а н и я и назначе-

н и я х э ш – з н а ч е н и я к л ю ч е й в паре. П о с к о л ь к у о н и н а з н а ч а ю т с я ключам,

п р и п о д д е л к е к л ю ч а будет и з м е н е н о хэш-значение и ключ станет недейс-

т в и т е л ь н ы м . Х э ш – з н а ч е н и я о б е с п е ч и в а ю т д а л ь н е й ш у ю з а щ и т у ключей.

В ы б и р а е м ы й а л г о р и т м п р о с т о и с п о л ь з у е т другой метод вычисления для

г е н е р и р о в а н и я х э ш – з н а ч е н и я ,

ш П о с л е д н я я о п ц и я н а э т о й с т р а н и ц е обеспечивает д а л ь н е й ш у ю защиту

к о р н е в о г о С А , п о с к о л ь к у д л я его и с п о л ь з о в а н и я необходимы админис-

т р а т и в н ы е п р а в а д о с т у п а . Э т а о п ц и я н у ж н а д л я д а л ь н е й ш е й з а щ и т ы

д а н н о г о к о р н е в о г о СА.

12. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

13. Н а с т р а н и ц е З а д а н и е и м е н и Ц С ( C o n f i g u r e C A N a m e ) введите и м я Contoso-

Root-CA, о с т а в ь т е о б щ е е и м я и с у ф ф и к с по у м о л ч а н и ю и щелкните кнопку

Д а л е е ( N e x t ) .

В ы и с п о л ь з у е т е э т о и м я , п о с к о л ь к у о н о в к л а д ы в а е т с я в к а ж д ы й подчинен-

н ы й с е р т и ф и к а т , в ы д а в а е м ы й п о цепочке.

14. Н а с т р а н и ц е У с т а н о в и т ь с р о к д е й с т в и я ( S e t Validity P e r i o d ) выставьте

з н а ч е н и е 2 0 л е т и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

15. Н а с т р а н и ц е Н а с т р о й к а б а з ы д а н н ы х с е р т и ф и к а т о в (Configure Certificate

D a t a b a s e ) у к а ж и т е м е с т о х р а н е н и я б а з ы данных сертификатов и ее журнала.

П о с к о л ь к у э т о т к о р н е в о й С А н у ж н о о т к л ю ч и т ь о т сети и использовать

т о л ь к о с ц е л ь ю г е н е р и р о в а н и я с е р т и ф и к а т о в д л я СА, выдающих сертифи-

к а т ы по ц е п о ч к е , б а з у д а н н ы х и ее ж у р н а л н у ж н о поместить на диск D.

16. Ч т о б ы у к а з а т ь р а з м е щ е н и е б а з ы данных, щ е л к н и т е кнопку Обзор (Browse),

о т к р о й т е д и с к D , щ е л к н и т е к н о п к у С о з д а т ь п а п к у ( M a k e New Folder) и

з а д а й т е д л я п а п к и и м я C e r t D a t a . Щ е л к н и т е О К . Д л я журналов создайте

на д и с к е D п а п к у с и м е н е м C e r t L o g s . Щ е л к н и т е к н о п к у Далее (Next).

К о р н е в о й ц е н т р с е р т и ф и к а ц и и у с т а н о в л е н .

О т м е т и м , ч т о вы б о л ь ш е не с м о ж е т е и з м е н и т ь и м я этого сервера, пока пред-

в а р и т е л ь н о н е у д а л и т е с л у ж б ы A D CS. П о э т о м у н е следует использовать

и м я с е р в е р а в и м е н и СА в ш а г е 12.

СОВЕТ К ЭКЗАМЕНУ

Изучите эти опции установки, поскольку они являются темой экзамена.

К о р н е в о й ц е н т р с е р т и ф и к а ц и и установлен. Вернитесь к Диспетчеру сервера

( S e r v e r M a n a g e r ) и п р о с м о т р и т е р е з у л ь т а т ы установки. Например, на страни-

ц е р е з у л ь т а т о в у с т а н о в к и р о л и A D C S д о л ж н о быть перечислено событие с

к о д о м 103, к а к п о к а з а н о на р и с . 15-6. В э т о м с о б ы т и и указано, что и м я центра

с е р т и ф и к а ц и и б у д е т д о б а в л е н о в к о н т е й н е р Ц е н т р ы сертификации (Certificate

[. 7 5 2 Службы сертификации Active Directory Глава 15

Authority) домена AD DS. В нем также указана команда, с помощью которой

можно просмотреть информацию в каталоге после добавления имени.

Отключите этот центр сертификации от сети после обновления цикла груп-

повой политики для обеспечения дальнейшей защиты сервера. Теперь можете

приступать к установке первого центра выдачи сертификатов. Д л я обеспечения

высокой готовности инфраструктуры AD CS н у ж н о установить несколько

центров выдачи сертификатов, однако установка каждого СА выполняется

одним и тем же способом.

EES

Общие Подробности j

Службы сертификации Active Directory добавили корневой сертификат цепочки

сертификатов 0 в ыгружениое хранилище доверенных корневых цемтрое сертификации

предприятия на компьютере ЦС Это хранилище будет обновлено И5 контейнера центров

сертификации в Active Directory при следующем применении групповой политики.

Чтобы убедиться, что сертификат ЦС опубликован правильно в Active Directory,

выполните следующую команду: cwtutil -viewstore "ldap:///CN=cootoso-Raat-

CA,CN= Certification Authofities.CN=Public Key j r j

•J

Имя журнала:

Приложение

Подач a:

Certification Authority

Дата:

21Л 2.2008 6:56:35

•J

Кед события;

103

Категория задачи: Отсутствует

Уровень:

Предупреждение

Ключевые слова:

Классический

Пользователь:

S-1-5-1S

Компьютер:

SERVETO1 .contoso.com

Код операции:

Сведения

Подробности:

Веб-справка журнала

Кспиро«ать

Закрыть

Рис. 15-6. Просмотр содержимого сообщения 103

ПРИМЕЧАНИЕ Установки AD CS

Пошаговое руководство по установке AD CS можно найти по адресу http://go.microsoft.

com/fwlink/?LinkI d=90856.

У п р а ж н е н и е 2. У с т а н о в к а AD CS в к а ч е с т в е СА п р е д п р и я т и я ,

выдающего с е р т и ф и к а т ы

Теперь вы можете приступать к установке СА выдачи сертификатов. Обычно

следует установить несколько центров выдачи сертификатов, чтобы обеспе-

чить высокую готовности инфраструктуры AD CS, однако мы ограничимся

одним центром сертификации. Запустите машины S E R V E R 0 1 , SERVER03

и SERVER04.

1. Войдите на машину SERVER04 как администратор домена.

На самом деле вам нужны лишь права доступа локального администра-

тора, однако для выполнения данного упражнения следует использовать

разрешения доступа администратора домена. На сервере можно использо-

Занятие 1

Установка служб сертификации Active Directory 75-]

вать с и с т е м ы W i n d o w s Server 2008 Standard Edition, Windows Server 2008

E n t e r p r i s e E d i t i o n и л и Windows Server 2008 Datacenter Edition.

2. В п р о г р а м м н о й группе Администрирование (Administrative Tools) запустите

Д и с п е т ч е р сервера (Server Manager).

3. В п а н е л и д е р е в а щ е л к н и т е правой кнопкой мыши узел Роли (Roles) и вы-

п о л н и т е к о м а н д у Д о б а в и т ь роли (Add Roles).

4. П р о с м о т р и т е с в е д е н и я на странице Перед началом работы (Before You

B e g i n ) й щ е л к н и т е к н о п к у Далее (Next).

5. На с т р а н и ц е Выбор ролей сервера (Select Server Roles) выберите роль Служ-

бы с е р т и ф и к а ц и и Active Directory (Active Directory Certificate Services)

И щ е л к н и т е к н о п к у Д а л е е (Next).

6. На с т р а н и ц е З н а к о м с т в о со службами сертификации Active Directory

( A c t i v e D i r e c t o r y Certificate Services) просмотрите сведения о выбранной

р о л и и щ е л к н и т е к н о п к у Д а л е е (Next).

7. На с т р а н и ц е В ы б о р с л у ж б ролей (Select Role Services) выберите Центр

с е р т и ф и к а ц и и (Certification Authority), Служба сетевого ответчика (Online

R e s p o n d e r ) и щ е л к н и т е к н о п к у Далее (Next). При выборе сетевого ответ-

ч и к а т а к ж е п о т р е б у е т с я добавить роль веб-сервера (IIS) вместе с необхо-

д и м ы м и с л у ж б а м и . Щ е л к н и т е кнопку Добавить необходимые службы роли

( A d d R e q u i r e d Role Services).

8 . Щ е л к н и т е к н о п к у Д а л е е (Next).

Вы не в ы б р а л и с л у ж б у подачи з а я в о к в центр сертификации через Ин-

т е р н е т ( С А W e b Enrollment), поскольку она представляет внутренний СА

п р е д п р и я т и я , а д л я распространения сертификатов среди пользователей

и у с т р о й с т в ц е н т р ы сертификации предприятия задействуют AD DS. Если

вы у с т а н о в и л и этот СА во внешней сети, можете включить подачу заявок

' ч е р е з И н т е р н е т , чтобы пользователи могли запрашивать сертификаты в ва-

ш е м СА.

Вы не м о ж е т е сейчас установить службу подачи заявок на сетевые устройс-

т в а ( N e t w o r k Device Enrollment Service, NDES), поскольку службы AD CS

не п о д д е р ж и в а ю т одновременную установку СА и NDES. Чтобы установить

N D E S , п о с л е у с т а н о в к и СА нужно применить команду Добавить службы

р о л е й ( A d d Role Services) диспетчера сервера.

9. На с т р а н и ц е З а д а н и е типа установки (Specify Setup Туре) выберите тип

П р е д п р и я т и е ( E n t e r p r i s e ) и щелкните кнопку Далее (Next).

10. На с т р а н и ц е З а д а н и е типа ЦС (Specify СА Туре) выберите тип Подчинен-

н ы й ЦС ( S u b o r d i n a t e СА) и щелкните кнопку Далее (Next).

11. На с т р а н и ц е Установка закрытого ключа (Set Up Private Key) выберите

п а р а м е т р Создать новый закрытый ключ (Create A New Private Key) и щелк-

н и т е к н о п к у Д а л е е (Next).

12. На с т р а н и ц е Н а с т р о й к а ш и ф р о в а н и я для ЦС (Configure Cryptography For

С А ) з а д а й т е параметры по умолчанию и щелкните кнопку Далее (Next).

[ . 7 5 4 Службы сертификации Active Directory

Глава 15

13. Н а с т р а н и ц е З а д а н и е и м е н и Ц С ( C o n f i g u r e C A N a m e ) в в е д и т е и м я Contoso-

Issuing-CA01, о с т а в ь т е с у ф ф и к с и м е н и п о у м о л ч а н и ю и щ е л к н и т е к н о п к у

Д а л е е ( N e x t ) .

В ы и с п о л ь з у е т е п о д л и н н о е и м я и н о м е р , п о с к о л ь к у д л я о б е с п е ч е н и я в ы -

с о к о й г о т о в н о с т и в а м н у ж н о с о з д а т ь н е с к о л ь к о ц е н т р о в в ы д а ч и с е р т и ф и -

катов.

14. Н а с т р а н и ц е З а п р о с с е р т и ф и к а т а и з р о д и т е л ь с к о г о Ц С ( R e q u e s t C e r t i f i c a t e

F r o m A P a r e n t С А ) в ы б е р и т е п а р а м е т р С о х р а н и т ь з а п р о с с е р т и ф и к а т а в

ф а й л и п о з д н е е о т п р а в и т ь в р у ч н у ю в р о д и т е л ь с к и й Ц С ( S a v e A C e r t i f i c a t e

R e q u e s t Т о File A n d M a n u a l l y S e n d I t L a t e r T o A P a r e n t C A ) .

15. В п о л е И м я ф а й л а ( F i l e N a m e ) в ы д е л и т е и м я ф а й л а з а п р о с а с е р т и ф и к а т а ,

с к о п и р у й т е его в б у ф е р о б м е н а с п о м о щ ь ю к о м б и н а ц и и к л а в и ш C t r l + C ,

а з а т е м щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) и н а й д и т е п а п к у Д о к у м е н т ы

( D o c u m e n t s ) , Вставьте и м я ф а й л а в п о л е И м я ф а й л а ( F i l e N a m e ) с п о м о щ ь ю

к о м б и н а ц и и к л а в и ш C t r l + V , щ е л к н и т е к н о п к у С о х р а н и т ь ( S a v e ) , а з а т е м

к н о п к у Д а л е е ( N e x t ) .

16. Н а с т р а н и ц е Н а с т р о й к а б а з ы д а н н ы х с е р т и ф и к а т о в ( C o n f i g u r e C e r t i f i c a t e

D a t a b a s e ) у к а ж и т е р а з м е щ е н и е б а з ы д а н н ы х , с е р т и ф и к а т о в и е е ж у р н а л а .

П о с к о л ь к у этот ц е н т р в ы д а ч и с е р т и ф и к а т о в б у д е т и с п о л ь з о в а т ь с я т о л ь к о

д л я т е с т и р о в а н и я , д а н н ы е и ж у р н а л ы м о ж н о п о м е с т и т ь н а д и с к D . О д н а к о

в п р о и з в о д с т в е н н о й среде в ы д а ч а с е р т и ф и к а т о в д о л ж н а о с у щ е с т в л я т ь с я б е з

о с л о ж н е н и й . П о э т о м у б а з у д а н н ы х н у ж н о р а з м е с т и т ь н а д и с к е D , а ж у р н а -

лы – на д и с к е Е.

17. Ч т о б ы указать р а з м е щ е н и е б а з ы д а н н ы х , щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) ,

о т к р о й т е д и с к D , щ е л к н и т е к н о п к у С о з д а т ь п а п к у ( M a k e N e w F o l d e r ) и з а -

д а й т е д л я п а п к и и м я C e r t D a t a . Щ е л к н и т е О К .

18. Д л я ж у р н а л о в с о з д а й т е п а п к у н а д и с к е D и з а д а й т е д л я н е е и м я C e r t L o g s .

Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

19. П р о с м о т р и т е п а р а м е т р ы у с т а н о в к и в е б – с е р в е р а ( I I S ) . Щ е л к н и т е к н о п к у

Д а л е е ( N e x t ) .

20. Н а с т р а н и ц е в ы б о р а с л у ж б р о л е й в е б – с е р в е р а п р о с м о т р и т е н е о б х о д и м ы е

с л у ж б ы и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

21. Н а с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е п а р а м е т р ы ( C o n f i r m I n s t a l l a t i o n

S e l e c t i o n s ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е к н о п к у Ус-

т а н о в и т ь ( I n s t a l l ) . П о с л е з а в е р ш е н и я у с т а н о в к и п р о с м о т р и т е р е з у л ь т а т ы

и щ е л к н и т е к н о п к у З а к р ы т ь ( C l o s e ) .

П о д ч и н е н н ы й ц е н т р с е р т и ф и к а ц и и н е л ь з я и с п о л ь з о в а т ь д о т е х п о р , п о к а

н е будет в ы д а н с е р т и ф и к а т к о р н е в о г о С А , к о т о р ы й и с п о л ь з у е т с я д л я з а -

в е р ш е н и я у с т а н о в к и э т о г о п о д ч и н е н н о г о С Л .

СОВЕТ К ЭКЗАМЕНУ

Помните, что центр с е р т и ф и к а ц и и и службу N D E S н е л ь з я у с т а н о в и т ь о д н о в р е -

менно.

Занятие 1

Установка служб сертификации Active Directory 75-]

Упражнение 3. Получение и установка сертификата

для центра выдачи сертификатов

Д а л е е в ы п о л у ч и т е с е р т и ф и к а т д л я з а в е р ш е н и я у с т а н о в к и ц е н т р а в ы д а ч и сер-

т и ф и к а т о в . О б ы ч н о э т у п р о ц е д у р у н у ж н о в ы п о л н я т ь в а в т о н о м н о м р е ж и м е с

п о м о щ ь ю с ъ е м н о г о у с т р о й с т в а х р а н е н и я , н а п р и м е р д и с к е т ы и л и ф л э ш – п а м я т и

U S B , о д н а к о в д а н н о м у п р а ж н е н и и в ы и с п о л ь з у е т е о б щ у ю п а п к у д л я передачи

з а п р о с а с е р т и ф и к а т а и с а м о г о с е р т и ф и к а т а п о с л е его п о л у ч е н и я .

1 . Н а м а ш и н е S E R V E R 0 4 о т к р о й т е П р о в о д н и к W i n d o w s ( W i n d o w s Explorer),

с о з д а й т е н а д и с к е С н о в у ю п а п к у и з а д а й т е д л я н е е и м я Temp.

2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Т е ш р и п р и м е н и т е к о м а н д у О б щ и й

д о с т у п ( S h a r e ) .

3. В д и а л о г о в о м о к н е О б щ и й д о с т у п к ф а й л у ( F i l e S h a r i n g ) в ы б е р и т е в рас-

к р ы в а ю щ е м с я с п и с к е г р у п п у В с е ( E v e r y o n e ) и щ е л к н и т е к н о п к у Д о б а в и т ь

( A d d ) .

4. В с т о л б ц е У р о в е н ь р а з р е ш е н и й ( P e r m i s s i o n Level) в ы б е р и т е в р а с к р ы в а ю -

щ е м с я с п и с к е у р о в е н ь С о а в т о р ( C o n t r i b u t o r ) д л я г р у п п ы Все и щ е л к н и т е

к н о п к у О б щ и й д о с т у п ( S h a r e ) .

5. С к о п и р у й т е в п а п к у T e m p з а п р о с с е р т и ф и к а т а , с г е н е р и р о в а н н ы й в папке

Д о к у м е н т ы ( D o c u m e n t s ) .

6 . Н а м а ш и н е S E R V E R 0 3 в п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е

( A d m i n i s t r a t i v e T o o l s ) о т к р о й т е к о н с о л ь Ц е н т р с е р т и ф и к а ц и и (Certification

A u t h o r i t y ) .

7 . В п а н е л и д е р е в а к о н с о л и Ц е н т р с е р т и ф и к а ц и и щ е л к н и т е правой к н о п к о й

м ы ш и и м я к о р н е в о г о С А , в ы б е р и т е Все з а д а ч и (All Tasks) и щ е л к н и т е за-

д а ч у В ы д а т ь н о в ы й з а п р о с ( S u b m i t N e w R e q u e s t ) .

8 . В д и а л о г о в о м о к н е О т к р ы т ь ф а й л з а п р о с а ( O p e n R e q u e s t File) перейдите •

в а д р е с н у ю с т р о к у и в в е д и т е а д р е с \SERVER04Temp. Выберите в папке

з а п р о с и щ е л к н и т е к н о п к у О т к р ы т ь ( O p e n ) .

9. В п а н е л и д е р е в а п е р е й д и т е в у з е л З а п р о с ы в о ж и д а н и и ( P e n d i n g Request),

щ е л к н и т е п р а в о й к н о п к о й м ы ш и о ж и д а ю щ и й запрос в п а н е л и сведений,

в ы б е р и т е В с е з а д а ч и ( A l l T a s k s ) и щ е л к н и т е задачу Выдать (Issue).

10. В п а н е л и д е р е в а п е р е й д и т е в у з е л В ы д а н н ы е с е р т и ф и к а т ы ( I s s u e d

C e r t i f i c a t e s ) , в п а н е л и с в е д е н и й щ е л к н и т е п р а в о й к н о п к о й м ы ш и выдан-

н ы й с е р т и ф и к а т и в ы п о л н и т е к о м а н д у О т к р ы т ь ( O p e n ) .

11. В д и а л о г о в о м о к н е С е р т и ф и к а т ( C e r t i f i c a t e ) перейдите на вкладку Сведения

( D e t a i l s ) и щ е л к н и т е к н о п к у К о п и р о в а т ь в ф а й л ( C o p y То File) в нижней

ч а с т и д и а л о г о в о г о о к н а .

З а п у с т и т с я М а с т е р э к с п о р т а с е р т и ф и к а т а ( C e r t i f i c a t e E x p o r t Wizard).

12. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

13. В ы б е р и т е с н а ч а л а C r y p t o g r a p h i c M e s s a g e S y n t a x S t a n d a r d – P K C S 2 7 Cer-

t i f i c a t e s ( P 7 B ) , з а т е м – о п ц и ю В к л ю ч и т ь п о в о з м о ж н о с т и все с е р т и ф и к а т ы

в п у т ь с е р т и ф и к а ц и и ( I n c l u d e All C e r t i f i c a t e s I n T h e Certification Path I f

P o s s i b l e ) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

[. 7 5 6 Службы сертификации Active Directory

Глава 15

Существует н е с к о л ь к о п о д д е р ж и в а е м ы х ф о р м а т о в . •

• Ф о р м а т Distinguished E n c o d i n g R u l e s ( D E R ) E n c o d e d B i n a r y X . 5 0 9 ч а с -

т о и с п о л ь з у е т с я д л я к о м п ь ю т е р о в н е н а п л а т ф о р м е W i n d o w s . Ф а й л ы

с е р т и ф и к а ц и и с о з д а ю т с я в ф о р м а т е C E R .

• Ф о р м а т Base-64 E n c o d e d Х.509 п о д д е р ж и в а е т ф о р м а т S / M I M E , п р и м е -

н я е м ы й д л я п е р е с ы л к и з а щ и щ е н н о й э л е к т р о н н о й п о ч т ы п о И н т е р н е -

ту. Н а серверах этот ф о р м а т о б ы ч н о и с п о л ь з у е т с я д л я о п е р а ц и о н н ы х

систем н е н а п л а т ф о р м е W i n d o w s . Ф а й л ы с е р т и ф и к а ц и и с о з д а ю т с я

в формате C E R .

• Формат Cryptographic Message S y n t a x S t a n d a r d ( P K C S # 7 ) и с п о л ь з у е т с я

д л я пересылки с е р т и ф и к а т о в и их п у т и в ц е п о ч к е с о д н о г о к о м п ь ю т е р а

н а другой. Д а н н ы й ф о р м а т и с п о л ь з у е т ф а й л о в ы й ф о р м а т Р 7 В .

• Ф о р м а т Personal I n f o r m a t i o n E x c h a n g e ( P K C S # 1 2 ) т а к ж е и с п о л ь з у е т с я

д л я передачи с е р т и ф и к а т о в и их п у т и в ц е п о ч к е с о д н о г о к о м п ь ю т е р а

н а другой, о д н а к о этот ф о р м а т т а к ж е п о д д е р ж и в а е т п е р е д а ч у з а к р ы -

того ключа вместе с о т к р ы т ы м . Д а н н ы й ф о р м а т и с п о л ь з у е т ф а й л о в ы й

формат P F X .

• Н а с т р а и в а е м ы й ф о р м а т M i c r o s o f t S e r i a l i z e d C e r t i f i c a t e S t o r e с л е д у е т

использовать д л я переноса к о р н е в ы х с е р т и ф и к а т о в с о д н о г о к о м п ь ю т е р а

н а другой. И с п о л ь з у е т ф а й л о в ы й ф о р м а т SST.

14. В диалоговом окне Э к с п о р т и р у е м ы й ф а й л (File То E x p o r t ) щ е л к н и т е к н о п к у

Обзор (Browse) и сохраните с е р т и ф и к а т в п а п к е S E R V E R 0 4 T e m p . З а д а й -

те для ф а й л а и м я Issuing-СА01 .р7Ь и щ е л к н и т е к н о п к у С о х р а н и т ь ( S a v e ) .

15. Вернувшись к мастеру, щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

16. Просмотрите в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е к н о п к у Готово ( F i n i s h ) .

17. Когда мастер отобразит с о о б щ е н и е о б у с п е ш н о м э к с п о р т е , щ е л к н и т е О К .

Вернитесь к машине S E R V E R 0 4 . П о м н и т е : о б ы ч н о д л я п е р е н о с а с е р т и ф и -

ката с одного сервера на д р у г о й и с п о л ь з у е т с я с ъ е м н о е у с т р о й с т в о .

18. Перейдите к Диспетчеру сервера ( S e r v e r M a n a g e r ) и в п а н е л и д е р е в а в ы б е -

рите элемент C o n t o s o – I s s u i n g – C A O l в п а п к е Р о л и С л у ж б ы с е р т и ф и к а ц и и

Active Directory ( R o l e s A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s ) .

19. Щелкните правой к н о п к о й м ы ш и э л е м е н т C o n t o s o – I s s u i n g – C A O l , в ы б е р и т е

Все задачи (All Tasks) и щ е л к н и т е задачу Установить с е р т и ф и к а т ЦС ( I n s t a l l

СА Certificate).

20. Перейдите к п а п к е C : T e m p , в ы б е р и т е с е р т и ф и к а т и щ е л к н и т е к н о п к у О т -

крыть ( O p e n ) .

21. Сертификат будет и м п о р т и р о в а н на сервер.

22. Щелкните правой к н о п к о й м ы ш и и м я с е р в е р а , в ы б е р и т е Все з а д а ч и (АН

Tasks) и щелкните задачу З а п у с к с л у ж б ы ( S t a r t S e r v i c e ) .

Ваш центр выдачи с е р т и ф и к а т о в теперь м о ж е т в ы д а в а т ь с е р т и ф и к а т ы . Н а

этом этапе S E R V E R 0 3 следует о т к л ю ч и т ь о т сети, о д н а к о , п о с к о л ь к у м ы

работаем в тестовой среде и нам н у ж н о э к о н о м и т ь р е с у р с ы п р о ц е с с о р о в

и дискового пространства, оставьте сервер п о д к л ю ч е н н ы м .

Занятие 1

Установка служб сертификации Active Directory 75-]

ВНИМАНИЕ1 Защита сертификата

Теперь, когда сервер готов к работе, сохраните переданный сертификат в безопасном

месте. Кроме того, после выполнения этой задачи и выдачи сертификатов для всех

СА в инфраструктуре также необходимо отключить корневой центр сертификации.

Если к о р н е в о й СА находится на виртуальной машине, выключите ее и удалите

ф а й л ы виртуальной м а ш и н ы с хост-сервера. Например, их можно скопировать на

DVD-диск, к о т о р ы й следует хранить в безопасном месте.

Упражнение 4. Подготовка к установке службы NDES

Т е п е р ь в ы у с т а н о в и т е с л у ж б у N D E S . О п я т ь – т а к и , это у п р а ж н е н и е необходимо

в ы п о л н я т ь н а м а ш и н е S E R V E R 0 4 , о д н а к о д л я с о з д а н и я учетной записи поль-

з о в а т е л я в н а ч а л е н у ж н о и с п о л ь з о в а т ь м а ш и н у S E R V E R 0 1 .

1 . В о й д и т е н а м а ш и н у S E R V E R 0 1 к а к а д м и н и с т р а т о р домена.

2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите

о с н а с т к у A c t i v e D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory

U s e r s A n d C o m p u t e r s ) .

3 . С о з д а й т е с л е д у ю щ у ю с т р у к т у р у п о д р а з д е л е н и й : C o n t o s o . c o m A d m i n s

S e r v i c e I d e n t i t i e s .

4 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и подразделение Service Identities, примени-

т е к о м а н д у С о з д а т ь ( N e w ) , а з а т е м в ы б е р и т е объект Пользователь (User).

5. З а д а й т е д л я п о л ь з о в а т е л я и м я NDESService, которое используйте для вхо-

да и в к а ч е с т в е и м е н и в х о д а п р е д – W i n d o w s 2000. Щ е л к н и т е кнопку Далее

( N e x t ) .

6 . Н а з н а ч ь т е у ч е т н о й з а п и с и с т р о г и й п а р о л ь . Сбросьте ф л а ж к и Требовать

с м е н у п а р о л я п р и с л е д у ю щ е м в х о д е в систему (User Must Change Password

A t N e x t L o g o n ) и С р о к д е й с т в и я п а р о л я н е о г р а н и ч е н (Password Never

E x p i r e s ) .

7. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) , а затем кнопку Готово (Finish) для создания

у ч е т н о й з а п и с и .

8. В е р н и т е с ь к м а ш и н е S E R V E R 0 4 и в о й д и т е ка к администратор домена.

9. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите

Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) .

10. Р а з в е р н и т е у з е л К о н ф и г у р а ц и я Л о к а л ь н ы е пользователи и группыГруппы

( C o n f i g u r a t i o n L o c a l U s e r s a n d G r o u p s G r o u p s ) .

11. Д в а ж д ы щ е л к н и т е г р у п п у I I S _ I U S R S .

12. Д о б а в ь т е в э т у г р у п п у у ч е т н у ю з а п и с ь N D E S S e r v i c e и щелкните О К .

Упражнение 5. Установка службы NDES

Теперь в ы м о ж е т е у с т а н о в и т ь с л у ж б у N D E S .

1. В п а н е л и д е р е в а Д и с п е т ч е р а с е р в е р а ( S e r v e r M a n a g e r ) щ е л к н и т е пра-

в о й к н о п к о й м ы ш и у з е л С л у ж б ы с е р т и ф и к а ц и и Active Directory (Active

D i r e c t o r y C e r t i f i c a t e Services) и п р и м е н и т е команду Добавить службы ролей

( A d d Role Se rvi c es).

[. 7 5 8 Службы сертификации Active Directory

Глава 15

2. На странице Выбор с л у ж б ролен ( S e l e c t Role Services) у с т а н о в и т е ф л а ж о к

Служба подачи з а я в о к на сетевые у с т р о й с т в а ( N e t w o r k D e v i c e E n r o l l m e n t

Service).

В установку IIS при этом т а к ж е н е о б х о д и м о д о б а в и т ь к о м п о н е н т П р о в е р к а

подлинности W i n d o w s ( W i n d o w s A u t h e n t i c a t i o n ) .

3. Щелкните кнопку Добавить не о бх о д и мые с л у ж б ы р о л и ( A d d R e q u i r e d Role

Services) и щелкните к н о п к у Д а л е е ( N e x t ) .

4. На странице Задание учетной з а п и с и п о л ь з о в а т е л я ( S p e c i f y U s e r A c c o u n t )

щ е л к н и т е к н о п к у В ы б р а т ь п о л ь з о в а т е л я ( S e l e c t U s e r ) , в в е д и т е и м я

NDESService и пароль и щ е л к н и т е О К . Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

5 . Н а странице З а д а н и е д а н н ы х ц е н т р а р е г и с т р а ц и и ( S p e c i f y R e g i s t r a t i o n

Authority Information) нужно указать и н ф о р м а ц и ю д л я ц е н т р а р е г и с т р а ц и и

или центра, выдающего с е р т и ф и к а т ы с е т е в ы х у с т р о й с т в и у п р а в л я ю щ е г о

ими. Введите и м я Contoso-MSCEP-RA01, в п о я в и в ш е м с я с п и с к е в ы б е р и т е

свою страну и оставьте все о с т а л ь н ы е п о л я д а н н ы х п у с т ы м и . Щ е л к н и т е

кнопку Далее (Next).

Обычно нужно указать всю о б я з а т е л ь н у ю и о п ц и о н а л ь н у ю и н ф о р м а ц и ю ,

однако в данном у п р а ж н е н и и следует о с т а в и т ь п о л я п у с т ы м и .

6. На странице Настройка ш и ф р о в а н и я д л я ц е н т р а р е г и с т р а ц и и ( C o n f i g u r e

Cryptography For Registration A u t h o r i t y ) оставьте п а р а м е т р ы по у м о л ч а н и ю

и щелкните кнопку Д а л е е ( N e x t ) .

Помните, что длина ключей влияет на и с п о л ь з о в а н и е п р о ц е с с о р о в . И с п о л ь -

зуйте длину ключей из 2048 знаков, е с л и на с р е д у не н а л о ж е н ы с т р о г и е

ограничения безопасности.

7. Просмотрите сведения об установке IIS. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

8. На странице Службы р о л е й веб-сервера ( W e b S e r v e r Role S e r v i c e s ) п р о -

смотрите список необходимых с л у ж б и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .

9. На странице (Confirm Installation Services) щ е л к н и т е к н о п к у У с т а н о в и т ь

(Install).

10. Понаблюдайте за ходом в ы п о л н е н и я у с т а н о в к и .

11. Щелкните кнопку З а к р ы т ь (Close).

Служба N D E S установлена и готова к работе. Установка с е р в е р а в ы д а ч и

сертификатов завершена.

К СВЕДЕНИЮ Протокол SCEP (Simple Certificate Enrollment Protocol)

Более подробную информацию о протоколе SCEP можно найти по адресу http://

uwto3.ietf.org/proceedings/07jul/slides/pkix-3.pdf.


    Ваша оценка произведения:

Популярные книги за неделю