Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 73 (всего у книги 91 страниц)
Резюме
• Структура AD CS состоит из ч е т ы р е х э л е м е н т о в : ц е н т р о в с е р т и ф и к а -
ции, Службы подачи заявок в центр с е р т и ф и к а ц и и через И н т е р н е т ( С А
Web Enrollment), сетевых ответчиков и С л у ж б ы п о д а ч и з а я в о к на с е т е в ы е
Занятие 1
Установка служб сертификации Active Directory 75-]
у с т р о й с т в а ( N e t w o r k D e v i c e E n r o l l m e n t S e r v i c e ) , к о т о р ы е я в л я ю т с я основ-
н ы м и э л е м е н т а м и л ю б о г о р а з в е р т ы в а н и я A D C S .
• Ц е н т р ы с е р т и ф и к а ц и и п р е д с т а в л я ю т с о б о й с е р в е р ы , к о т о р ы е и с п о л ь з у -
ю т с я д л я в ы д а ч и и у п р а в л е н и я с е р т и ф и к а т а м и . Б л а г о д а р я и е р а р х и ч е с к о й
с т р у к т у р е P K I с л у ж б ы A D C S п о д д е р ж и в а ю т к о р н е в ы е и п о д ч и н е н н ы е
( д о ч е р н и е ) ц е н т р ы с е р т и ф и к а ц и и . К о р н е в о й ц е н т р с е р т и ф и к а ц и и обычно
в ы д а е т с е р т и ф и к а т ы п о д ч и н е н н ы м ц е н т р а м с е р т и ф и к а ц и и , чтобы те, в свою
о ч е р е д ь , м о г л и в ы д а в а т ь с е р т и ф и к а т ы п о л ь з о в а т е л я м , к о м п ь ю т е р а м и служ-
б а м . П о д ч и н е н н ы й ц е н т р с е р т и ф и к а ц и и м о ж е т в ы д а в а т ь с е р т и ф и к а т ы л и ш ь
в т о м с л у ч а е , е с л и д е й с т в и т е л е н е г о с о б с т в е н н ы й с е р т и ф и к а т . П о истечении
с р о к а д е й с т в и я э т о г о с е р т и ф и к а т а п о д ч и н е н н ы й ц е н т р с е р т и ф и к а ц и и дол-
ж е н з а п р о с и т ь о б н о в л е н и е с е р т и ф и к а т а в к о р н е в о м ц е н т р е с е р т и ф и к а ц и и .
П о э т о й п р и ч и н е с р о к д е й с т в и я с е р т и ф и к а т о в к о р н е в ы х С А намного дольше
с р о к а д е й с т в и я с е р т и ф и к а т о в п о д ч и н е н н ы х С А . П р и э т о м срок д е й с т в и я
с е р т и ф и к а т о в п о д ч и н е н н ы х С А д о л ь ш е , ч е м с р о к д е й с т в и я сертификатов,
в ы д а в а е м ы х п о л ь з о в а т е л я м , к о м п ь ю т е р а м и у с т р о й с т в а м .
• С е т е в ы е о т в е т ч и к и о т в е ч а ю т н а з а п р о с ы п о д т в е р ж д е н и я с е р т и ф и к а т о в
ч е р е з п р о т о к о л O C S P ( O n l i n e C e r t i f i c a t e S t a t u s P r o t o c o l ) . Б л а г о д а р я сете-
в о м у о т в е т ч и к у с и с т е м е , и с п о л ь з у ю щ е й и н ф р а с т р у к т у р у P K I , нет необхо-
д и м о с т и п о л у ч а т ь п о л н ы й с п и с о к о т з ы в а с е р т и ф и к а т о в C R L д л я запроса
п о д т в е р ж д е н и я к о н к р е т н о г о с е р т и ф и к а т а . С е т е в о й о т в е т ч и к ш и ф р у е т за-
п р о с п о д т в е р ж д е н и я и о п р е д е л я е т п о д л и н н о с т ь с е р т и ф и к а т а . Определив
с о с т о я н и е з а п р а ш и в а е м о г о с е р т и ф и к а т а , сетевой ответчик отсылает обратно
з а ш и ф р о в а н н ы й о т в е т с и н ф о р м а ц и е й д л я з а п р а ш и в а ю щ е й стороны. Се-
т е в ы е о т в е т ч и к и р а б о т а ю т н а м н о г о б ы с т р е й и э ф ф е к т и в н е й , чем списки
C L R . В A D C S с е т е в о й о т в е т ч и к в к л ю ч е н в к а ч е с т в е нового компонента
W i n d o w s S e r v e r 2 0 0 8 .
• У с т р о й с т в а , и с п о л ь з у ю щ и е н и з к о у р о в н е в ы е о п е р а ц и о н н ы е системы, на-
п р и м е р м а р ш р у т и з а т о р ы и к о м м у т а т о р ы , т а к ж е могут принимать участие
в и н ф р а с т р у к т у р е P K I ч е р е з с л у ж б у N D E S , к о т о р а я использует протокол
S C E P , р а з р а б о т а н н ы й к о м п а н и е й C i s c o Systems, Inc. Э т и устройства обыч-
но не п р и с у т с т в у ю т в к а т а л о г е AD DS и соответственно не располагают
у ч е т н ы м и з а п и с я м и A D D S . О д н а к о с п о м о щ ь ю с л у ж б ы N D E S и протокола
S C E P и х т а к ж е м о ж н о в к л ю ч и т ь в и е р а р х и ю P K I , поддержка и управление
к о т о р о й о с у щ е с т в л я е т с я с п о м о щ ь ю A D CS.
• Т и п ы с е р в е р о в ц е н т р о в с е р т и ф и к а ц и и п р и в я з а н ы к используемой версии
W i n d o w s S e r v e r 2 0 0 8 . Н е з а в и с и м ы е ц е н т р ы с е р т и ф и к а ц и и м о ж н о созда-
в а т ь в в ы п у с к а х W i n d o w s S e r v e r 2 0 0 8 S t a n d a r d Edition, W i n d o w s Server
2 0 0 8 E n t e r p r i s e E d i t i o n и W i n d o w s S e r v e r 2 0 0 8 D a t a c e n t e r Edition. Центры
с е р т и ф и к а ц и и п р е д п р и я т и я м о ж н о с о з д а в а т ь т о л ь к о в выпусках Windows
S e r v e r 2 0 0 8 E n t e r p r i s e E d i t i o n и W i n d o w s Server 2008 D a t a c e n t e r Edition.
Закрепление материала
С л е д у ю щ и й в о п р о с м о ж н о и с п о л ь з о в а т ь д л я п р о в е р к и з н а н и й , полученных н а
з а н я т и и 1. Э т о т в о п р о с е с т ь и на с о п р о в о д и т е л ь н о м компакт-диске.
[. 783 Службы сертификации Active Directory
Глава 15
ПРИМЕЧАНИЕ Ответы
Ответы па эти вопросы с пояснениями, почему тот или мной вариант ответа является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вы работаете администратором домеиа Contoso. Ваш босс решил развернуть
службы сертификации Active Directory, причем задачу н у ж н о в ы п о л н и т ь
сегодня. Проанализировав AD DS, вы сообщаете, что за один день и н ф -
раструктуру открытых ключей развернуть н е в о з м о ж н о . П о с л е некоторой
дискуссии ваш босс согласился, что,.возможно, эту р о л ь в н а ч а л е н у ж н о
установить в тестовой среде, но он хочет посмотреть, как она работает, так
как желает установить центр с е р т и ф и к а ц и и п р е д п р и я т и я . Вы убедились,
что на сервере используется выпуск W i n d o w s Server E n t e r p r i s e Edition,
и запустили установку в диспетчере сервера. Когда о т к р ы л а с ь страница
Задание типа установки (Specify Setup Туре) мастера д о б а в л е н и я ролей,
оказалось, что опция установки центра с е р т и ф и к а ц и и п р е д п р и я т и я недо-
ступна (рис. 15-7). В чем причина? ( У к а ж и т е все в а р и а н т ы . )
A. На сервере не установлен выпуск W i n d o w s Server E n t e r p r i s e Edition.
Б. Вы вошли на сервер не как член домена.
B. Сервер не является членом домена AD DS.
Г. Центр сертификации предприятия н е л ь з я у с т а н о в и т ь с п о м о щ ь ю дис-
петчера сервера.
m^i Задание типа установки
Перед пачалоп работы
Центры сеотиф«»л^'и могут кспалыоватъ данно-е е Active Director у для упрощения выдачи
сертн4ч>э-ов и управления ими. Укажите, следует ли установить ЦС предприятия ии
Рш* сервера
юолосегн»**? ЦС,
ADCS
• • г-л-сШ^Щ '
Службы ролей
ТюЦС
ЗвфыГви КЛЮЧ
(• Автсиоин** ЦС
Зыберите stot параметр, мпл данном ЦС не «сполмует для выдач» сертификате® или
Шифром**:
угрлепл*^ данные службы каталогов. АвтонаннынЦС и а ж е г б ы т ь -темой домене.
Идацс
Cjxx действия
Ьлм д « * * а с е р т и ф ^ * »
Г Ь д ю ч л д е ^
" Хос ВпЛСЛ**'*
P s y y j W *
< Н а м д j | : Далее > j – j Ранена
Рис. 15-7. Задание типа установки в мастере установки AD CS
Занятие 2 Настройка и использование служб сертификации Active Directory 7 6 1
Занятие 2. Настройка и использование
служб сертификации Active Directory
П о с л е р а з в е р т ы в а н и я с е р в е р о в н у ж н о н а с т р о и т ь и х к о н ф и г у р а ц и ю д л я выдачи
и у п р а в л е н и я с е р т и ф и к а т а м и п о л ь з о в а т е л е й и устройств. В частности, необ-
х о д и м о в ы п о л н и т ь с л е д у ю щ и е о п е р а ц и и .
• Д л я в ы д а ч и и у п р а в л е н и я с е р т и ф и к а т а м и необходимо завершить настройку
к о н ф и г у р а ц и и С А в ы д а ч и с е р т и ф и к а т о в .
• Ч т о б ы с е т е в о й о т в е т ч и к о т в е ч а л н а з а п р о с ы , н е о б х о д и м о з а в е р ш и т ь на-
с т р о й к у к о н ф и г у р а ц и и с е т е в о г о о т в е т ч и к а .
• Д л я п о д д е р ж к и п о д а ч и з а я в о к н а сетевые устройства необходимо завершить
н а с т р о й к у к о н ф и г у р а ц и и с л у ж б ы N D E S ц е н т р а в ы д а ч и сертификатов.
• П о с л е з а в е р ш е н и я н а с т р о й к и в с е х п а р а м е т р о в н у ж н о протестировать опе-
р а ц и и ц е н т р а с е р т и ф и к а ц и и и у б е д и т ь с я в к о р р е к т н о й работе всех компо-
н е н т о в .
Изучив материал этого занятия, вы сможете:
•S Создать к о н ф и г у р а ц и ю отзыва сертификатов.
•S И с п о л ь з о в а т ь параметры конфигурации сервера СА.
S Использовать шаблоны сертификатов.
S К о н ф и г у р и р о в а т ь центры с е р т и ф и к а ц и и для подписанных сертификатов
в ответ на запросы OCSP.
S Управлять подачей заявок на сертификаты.
•S Управлять отзывом сертификатов.
Продолжительность занятия – около 40 мин.
Завершение настройки конфигурации центра выдачи
сертификатов
Ч т о б ы з а в е р ш и т ь н а с т р о й к у к о н ф и г у р а ц и и центра выдачи сертификатов, нуж-
н о в ы п о л н и т ь с л е д у ю щ и е д е й с т в и я .
• С о з д а т ь к о н ф и г у р а ц и ю д л я о т з ы в а с е р т и ф и к а т о в .
• Н а с т р о и т ь и п е р с о н а л и з и р о в а т ь ш а б л о н ы сертификатов, делая акцент на
с л е д у ю щ и х ф а к т о р а х .
о Е с л и д л я з а щ и т ы д а н н ы х и с п о л ь з у е т с я EFS, с е р т и ф и к а т ы необходи-
м о о т к о н ф и г у р и р о в а т ь д л я р а б о т ы с E F S . К р о м е того, т а к ж е нужно
р а с п л а н и р о в а т ь а г е н т а в о с с т а н о в л е н и я и л и агента, к о т о р ы й сможет
в о с с т а н а в л и в а т ь д а н н ы е в с л у ч а е у т е р и п о л ь з о в а т е л е м ключа EFS.
• Е с л и с е р т и ф и к а т ы и с п о л ь з у ю т с я д л я з а щ и т ы б е с п р о в о д н ы х сетей,
н е о б х о д и м о о т к о н ф и г у р и р о в а т ь с е р т и ф и к а т ы последних. Д л я этого
н у ж н о и с п о л ь з о в а т ь с т р о г у ю п р о в е р к у п о д л и н н о с т и и шифровать все
к о м м у н и к а ц и и м е ж д у б е с п р о в о д н ы м и устройствами.
[. 762
Службы сертификации Active Directory
Глава 15
• Если для поддержки двухфакториой проверки п о д л и н н о с т и использу-
ются смарт-карты, необходимо о т к о н ф и г у р и р о в а т ь с е р т и ф и к а т ы пос-
ледних.
• Для защиты веб-сайтов и электронной т о р г о в л и н е о б х о д и м о отконфи-
гурировать сертификаты веб-сервера. Э т о т т и п с е р т и ф и к а т о в также
можно использовать для защиты контроллеров доменов и ш и ф р о в а н и я
всех входящих и исходящих к о м м у н и к а ц и й последних.
• Настройка параметров подачи з а я в о к и о т з ы в а с е р т и ф и к а т о в .
Все эти действия выполняются непосредственно в ц е н т р е в ы д а ч и серти-
фикатов или удаленно на рабочей с т а н ц и и с п о м о щ ь ю с р е д с т в у д а л е н н о г о
администрирования сервера RSAT ( R e m o t e Server A d m i n i s t r a t i o n Tools).
Настройка отзыва сертификатов СА
Отзыв сертификатов представляет собой один из м е х а н и з м о в , п о з в о л я ю щ и х
отменять некорректно используемые и л и н е н у ж н ы е с е р т и ф и к а т ы . Поэтому
перед выдачей сертификатов следует з а в е р ш и т ь к о н ф и г у р а ц и ю их отзыва.
Чтобы настроить конфигурацию отзыва с е р т и ф и к а т о в , в ы п о л н и т е следу-
ющие действия:
• укажите точки р а с п р о с т р а н е н и я с п и с к о в о т з ы в а с е р т и ф и к а т о в C L R
(Certificate Revocation List);
• отконфигурируйте периоды пе р е кр ыти я C L R и р а з н о с т н ы х CLR;
• создайте расписание для публикации с п и с к о в C L R .
Начните с точки распространения CLR. Т и п ы к о н ф и г у р а ц и и отзыва серти-
фикатов описаны в консоли Центры с е р т и ф и к а ц и и ( C e r t i f i c a t i o n Authority).
1. Войдите на сервер центра выдачи с е р т и ф и к а т о в к а к л о к а л ь н ы й админис-
тратор.
2. В программной группе Администрирование (Administrative Tools) запустите
консоль Центр сертификации (Certification A u t h o r i t y ) .
3. Щелкните правой кнопкой м ы ш и и м я центра в ы д а ч и с е р т и ф и к а т о в и при-
мените команду Свойства (Properties).
4. В диалоговом окне свойств перейдите на в к л а д к у Р а с ш и р е н и я (Extensions)
и убедитесь, что в раскрывающемся списке В ы б е р и т е р а с ш и р е н и е (Select
Extension) выбрано расширение Точка р а с п р о с т р а н е н и я с п и с к о в отзыва
(CLR Distribution Point ( C D P ) ) . Кроме того, д о л ж н ы б ы т ь установлены
флажки Опубликовать C L R по д а н н о м у а д р е с у ( P u b l i s h C R L s То This
Location) и Публикация разностных C L R s по адресу ( P u b l i s h Delta CRLs
То This Location).
5. Щелкните ОК.
Если вы внесли изменения в к о н ф и г у р а ц и ю центра с е р т и ф и к а ц и и , потре-
буется остановить и перезапустить с л у ж б у AD CS. Щ е л к н и т е к н о п к у
Да (Yes).
Теперь приступайте к настройке периодов п е р е к р ы т и я C L R и разностных
CLR (Delta CLR). Д л я этого используется у т и л и т а Certutil.exe.
Занятие 2
Настройка и использование служб сертификации Active Directory
7 6 3
1 . Н а с е р в е р е ц е н т р а в ы д а ч и с е р т и ф и к а т о в о т к р о й т е к о м а н д н у ю строку о т
и м е н и а д м и н и с т р а т о р а и в ы п о л н и т е с л е д у ю щ и е команды:
c e r t u t i l -setreg caCRLOverlapUnits значение
. c e r t u t i l – s e t r e g caCRLOverlapPeriod единицы
. c e r t u t i l – s e t r e g caCRLDeltaOverlapUnits значение
c e r t u t i l – s e t r e g caCRLDeltaOverlapPeriod единицы
З н а ч е н и е у к а з ы в а е т п е р и о д п е р е к р ы т и я , а е д и н и ц а м и я в л я ю т с я минуты,
ч а с ы и л и д н и . Н а п р и м е р , в ы м о ж е т е з а д а т ь п е р и о д п е р е к р ы т и я C L R 2 4 ч
и п е р и о д п у б л и к а ц и и р а з н о с т н ы х C L R 12 часов. Д л я этого введите следу-
ю щ и е к о м а н д ы :
c e r t u t i l – s e t r e g caCRLOverlapUnits 24
c e r t u t i l – s e t r e g caCRLOverlapPeriod hours
c e r t u t i l – s e t r e g caCRLDeltaOverlapUnits 12
c e r t u t i l – s e t r e g caCRLDeltaOvorlapPeriod hours
2. О т к р о й т е к о н с о л ь Ц е н т р с е р т и ф и к а ц и и и щ е л к н и т е правой кнопкой мыши
и м я с е р в е р а ц е н т р а в ы д а ч и с е р т и ф и к а т о в , чтобы о с т а н о в и т ь и перезапус-
т и т ь с л у ж б у .
И н а к о н е ц , о т к о н ф и г у р и р у й т е п у б л и к а ц и ю с п и с к о в CLR.
1. В к о н с о л и Ц е н т р с е р т и ф и к а ц и и ( C e r t i f i c a t i o n A u t h o r i t y ) разверните дерево
к о н с о л и п о д и м е н е м с е р в е р а ц е н т р а в ы д а ч и с е р т и ф и к а т о в .
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и к о н т е й н е р О т о з в а н н ы е с е р т и ф и к а т ы
( R e v o k e d C e r t i f i c a t e s ) и п р и м е н и т е к о м а н д у С в о й с т в а (Properties).
3 . Н а в к л а д к е П а р а м е т р ы п у б л и к а ц и и C L R ( C L R P u b l i s h i n g Parameters)
о т к о н ф и г у р и р у й т е и н т е р в а л ы п у б л и к а ц и и C L R и разностных C L R (Del-
ta C L R ) .
По у м о л ч а н и ю з а д а ю т с я з н а ч е н и я соответственно 1 неделя и 1 день. Если
п л а н и р у е т с я и н т е н с и в н о е и с п о л ь з о в а н и е сертификатов и требуется обеспе-
ч и в а т ь в ы с о к у ю г о т о в н о с т ь с п и с к о в C L R , у м е н ь ш и т е оба значения. В про-
т и в н о м с л у ч а е о с т а в ь т е з н а ч е н и я п о у м о л ч а н и ю .
Н а в к л а д к е П р о с м о т р с п и с к о в о т з ы в а с е р т и ф и к а т о в (View CLRs) можно
т а к ж е п р о с м о т р е т ь с у щ е с т в у ю щ и е с п и с к и о т з ы в а сертификатов.
4 . Щ е л к н и т е О К .
К о н ф и г у р а ц и я о т з ы в а с е р т и ф и к а т о в задана.
Н а с т р о й к а и п е р с о н а л и з а ц и я ш а б л о н о в с е р т и ф и к а т о в
Ш а б л о н ы с е р т и ф и к а т о в и с п о л ь з у ю т с я д л я генерирования сертификатов, кото-
р ы е и с п о л ь з у ю т с я в к о н ф и г у р а ц и и AD CS. Ц е н т р ы с е р т и ф и к а ц и и предприятия
п р и м е н я ю т ш а б л о н ы в е р с и й 2 и 3. Э т и ш а б л о н ы м о ж н о конфигурировать и
п е р с о н а л и з и р о в а т ь . Ч т о б ы п о д г о т о в и т ь ш а б л о н ы к использованию, вначале не-
о б х о д и м о о т к о н ф и г у р и р о в а т ь к а ж д ы й шаблон, к о т о р ы й будет использоваться,
а з а т е м п о с л е н а с т р о й к и р а з в е р н у т ь к а ж д ы й ш а б л о н в центрах сертификации.
П о с л е э т о г о ш а б л о н ы м о ж н о и с п о л ь з о в а т ь д л я в ы д а ч и сертификатов. Начните
с и д е н т и ф и к а ц и и ш а б л о н о в д л я и с п о л ь з о в а н и я , а затем приступайте к следу-
ю щ е й п р о ц е д у р е .
[. 787 Службы сертификации Active Directory
Глава 15
1 Войдите на ссрнер центра в ы д а ч и с е р т и ф и к а т о в к а к а д м и н и с т р а т о р д о м е н а .
2. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е
Диспетчер сервера (Server M a n a g e r ) .
3 . Разверните узел Р о л и С л у ж б ы с е р т и ф и к а ц и и A c t i v e 0 1 г е с . 1 о г у Ш а б л о п ы
сертификатов R o l e s A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s C e r t i f i c a t e T e m -
plates.
4. Просмотрите список с у щ е с т в у ю щ и х ш а б л о н о в в п а н е л и с в е д е н и й .
ВНИМАНИЕ! Обновление центров сертификации
В случае обновления существующей и н ф р а с т р у к т у р ы ц е н т р о в с е р т и ф и к а ц и и до
Windows Server 2008 при первом входе на новый сервер с ролью AD CS будет пред-
ложено обновить существующие шаблоны сертификатов. Щ е л к н и т е кнопку Да (Yes).
Все шаблоны будут обновлены до версий Windows Server 2008.
5. Отметим, что по у м о л ч а н и ю вы п о д к л ю ч е н ы к к о н т р о л л е р у д о м е н а .
При работе с ш а б л о н а м и н у ж н о п о д к л ю ч и т ь с я к к о н т р о л л е р у д о м е н а д л я
публикации шаблонов в AD DS.
6 . Если в ы н е подключены, и с п о л ь з у й т е д л я э т о г о к о м а н д у П о д к л ю ч и т ь с я
к другому контроллеру домена, д о с т у п н о м у д л я з а п и с и ( C o n n e c t То A n o t h e r
Writable Domain C o n t r o l l e r ) в п а н е л и Д е й с т в и я ( A c t i o n s ) .
Теперь вы можете создавать н е о б х о д и м ы е ш а б л о н ы .
7 . Выберите исходный шаблон, щ е л к н и т е его п р а в о й к н о п к о й м ы ш и , п р и м е -
ните команду Скопировать ш а б л о н ( D u p l i c a t e T e m p l a t e ) и в ы б е р и т е в е р с и ю
Windows Server д л я п о д д е р ж к и .
Если вы не работаете со с м е ш а н н о й и е р а р х и е й P K I , всегда с л е д у е т в ы б и р а т ь
Windows Server 2008.
8. Задайте и м я д л я нового ш а б л о н а , н а с т р о й т е его и с о х р а н и т е п а р а м е т р ы .
Настройте шаблоны в с о о т в е т с т в и и со с л е д у ю щ и м и и н с т р у к ц и я м и .
• Д л я создания шаблона E F S в ы б е р и т е и с х о д н ы й ш а б л о н Б а з о в о е ш и ф -
рование E F S (Basic E F S ) , п р о д у б л и р у й т е его д л я W i n d o w s S e r v e r 2 0 0 8
и задайте имя. И с п о л ь з у й т е н а п р и м е р , и м я B a s i c E F S W S 0 8 , а з а т е м
переходите к вкладкам с в о й с т в д л я н а с т р о й к и их с о д е р ж и м о г о . О с о б о е
в н и м а н и е у д е л и т е а р х и в а ц и и к л ю ч е й н а в к л а д к е О б р а б о т к а з а п р о с а
(Request H a n d l i n g ) и установите ф л а ж о к А р х и в и р о в а т ь з а к р ы т ы й к л ю ч
субъекта (Archive S u b j e c t E n c r y p t i o n P r i v a t e K e y ) . К р о м е того, и с п о л ь -
зуйте шифрование д л я передачи к л ю ч а ц е н т р у с е р т и ф и к а ц и и . Х р а н е н и е
архива з а к р ы т ы х к л ю ч е й о б е с п е ч и в а е т и х з а щ и т у в с л у ч а е у т е р и п о л ь -
зователями. Н а в к л а д к е И м я с у б ъ е к т а ( S u b j e c t N a m e ) м о ж н о д о б а в и т ь
информацию, н а п р и м е р а л ь т е р н а т и в н о е и м я с у б ъ е к т а . Щ е л к н и т е О К .
• Если вы планируете и с п о л ь з о в а т ь E F S , н е о б х о д и м о т а к ж е с о з д а т ь ш а б -
лон агента восстановления E F S ( E F S R e c o v e r y A g e n t ) . П р о д у б л и р у й т е
его д л я W i n d o w s Server 2008. З а д а й т е ш а б л о н у и м я , н а п р и м е р E F S
Recovery Agent W S 0 8 . О п у б л и к у й т е с е р т и ф и к а т агента в о с с т а н о в л е н и я
Занятие 2 Н а с т р о й к а и и с п о л ь з о в а н и е с л у ж б с е р т и ф и к а ц и и Active Directory 788
в A c t i v e D i r e c t o r y . О т м е т и м , ч т о с р о к д е й с т в и я с е р т и ф и к а т а а г е н т а
в о с с т а н о в л е н и я н а м н о г о д о л ь ш е , ч е м с р о к д е й с т в и я с а м о г о с е р т и ф и -
к а т а E F S . К р о м е т о г о , и с п о л ь з у й т е н а д р у г и х в к л а д к а х с в о й с т в т е ж е
п а р а м е т р ы , к о т о р ы е б ы л и н а з н а ч е н ы д у б л и к а т у Б а з о в о е ш и ф р о в а н и е
E F S ( B a s i c E F S ) .
К С В Е Д Е Н И Ю Использование EFS
И н ф о р м а ц и ю о р е а л и з а ц и и E F S м о ж н о н а й т и в о ф и ц и а л ь н о м документе «Working
W i t h T h e E n c r y p t i n g F i l e Systems» по адресу http://www.reso-net.com/articles.aspPm-8
в р а з д е л е « A d v a n c e d P u b l i c K e y I n f r a s t r u c t u r e s » .
• Е с л и в ы п л а н и р у е т е и с п о л ь з о в а т ь б е с п р о в о д н ы е сети, с о з д а й т е ш а б л о н
с е р в е р а с е т е в о й п о л и т и к и ( N e t w o r k P o l i c y S e r v e r , N P S ) . К а к п р а в и -
л о , ш а б л о н с о з д а е т с я и к о н ф и г у р и р у е т с я д л я а в т о м а т и ч е с к о й п о д а ч и
з а я в о к . З а т е м н о в ы е с е р т и ф и к а т ы б у д у т н а з н а ч е н ы п р и с л е д у ю щ е м
о б н о в л е н и и п а р а м е т р о в г р у п п о в о й п о л и т и к и с е р в е р о в N P S . В к а ч е с т в е
и с х о д н ы х д л я н о в о г о ш а б л о н а N P S и с п о л ь з у й т е ш а б л о н ы R A S и IAS-
с е р в е р а . П р о д у б л и р у й т е ш а б л о н д л я W i n d o w s S e r v e r 2 0 0 8 и з а д а й т е
с о о т в е т с т в у ю щ е е и м я , н а п р и м е р N P S S e r v e r W S 0 8 . О п у б л и к у й т е шаб-
л о н в A c t i v e D i r e c t o r y . П е р е й д и т е н а в к л а д к у Б е з о п а с н о с т ь ( S e c u r i t y )
и в ы б е р и т е г р у п п ы с е р в е р о в R A S и I A S , ч т о б ы н а з н а ч и т ь р а з р е ш е н и я
А в т о м а т и ч е с к а я п о д а ч а з а я в о к ( A u t o e n r o l l ) и З а я в к а ( E n r o l l ) . П р о с м о т -
р и т е с о д е р ж и м о е д р у г и х в к л а д о к и с о х р а н и т е н о в ы й ш а б л о н .
• Е с л и вы с о б и р а е т е с ь в о й т и в с е т ь с п о м о щ ь ю с м а р т – к а р т ы , создайте дуб-
л и к а т ы ш а б л о н о в В х о д с о с м а р т – к а р т о й ( S m a r t c a r d L o g o n ) и П о л ь з о в а -
т е л ь с о с м а р т – к а р т о й ( S m a r t c a r d U s e r ) д л я W i n d o w s Server 2008. З а д а й т е
и м с о о т в е т с т в у ю щ и е и м е н а и о п у б л и к у й т е ш а б л о н ы в A c t i v e Directory.
Д л я э т и х с е р т и ф и к а т о в н е п р и м е н я е т с я а в т о м а т и ч е с к а я подача з а я в о к ,
п о с к о л ь к у д л я р а с п р е д е л е н и я с а м и х с м а р т – к а р т с р е д и п о л ь з о в а т е л е й
н е о б х о д и м ы с т а н ц и и п о д а ч и з а я в о к н а с м а р т – к а р т ы .
• Е с л и в ы х о т и т е з а щ и т и т ь в е б – с е р в е р ы и л и к о н т р о л л е р ы д о м е н а , со-
з д а й т е д у б л и к а т ы ш а б л о н о в п р о в е р к и п о д л и н н о с т и веб-сервера ( W e b
S e r v e r ) и к о н т р о л л е р а д о м е н а ( D o m a i n C o n t r o l l e r A u t h e n t i c a t i o n ) . Н е
и с п о л ь з у й т е ш а б л о н К о н т р о л л е р д о м е н а ( D o m a i n C o n t r o l l e r ) , п о с к о л ь к у
о н п р е д н а з н а ч е н д л я п р е д ы д у щ и х в е р с и й о п е р а ц и о н н о й с и с т е м ы . П р о -
д у б л и р у й т е ш а б л о н ы д л я W i n d o w s S e r v e r 2008, о п у б л и к у й т е и х в Active
D i r e c t o r y и п р о в е р ь т е д р у г и е с в о й с т в а .
ПРИМЕЧАНИЕ Настройка дубликатов шаблонов
В к о н ф и г у р а ц и ю к а ж д о г о ш а б л о н а ч а с т о в к л ю ч а ю т с я д о п о л н и т е л ь н ы е типы
а к т и в н о с т и , не о б я з а т е л ь н о с в я з а н н о й с AD CS. П р о с м о т р и т е справку AD CS
в И н т е р н е т е и и з у ч и т е т и п ы а к т и в н о с т и в з а в и с и м о с т и от публикаций каждого
типа с е р т и ф и к а т а .
Т е п е р ь н а о с н о в е э т и х п е р с о н а л и з и р о в а н н ы х ш а б л о н о в н е о б х о д и м о в ы д а т ь
ш а б л о н ы ц е н т р у с е р т и ф и к а ц и и д л я в ы д а ч и с е р т и ф и к а т о в .
[. 789 Службы сертификации Active Directory
Глава 15
9. В Диспетчере сервера ( S e r v e r M a n a g e r ) р а з в е р н и т е у з е л Р о л и С л у ж б ы
сертификации Active Directory!i.v*_Z/CLIJa6.TOHbi с е р т и ф и к а т о в ( R o l e s
Active Directory Certificate Services//.w/_ Z / C C e r t i f i c a t e T e m p l a t e s ) .
10. Чтобы выдать шаблон, щ е л к н и т е праной к н о п к о й к о н т е й н е р . Ш а б л о н ы
сертификатов (Certificate Templates), п р и м е н и т е к о м а н д у С о з д а т ь ( N e w )
и щелкните опцию Выдаваемый ш а б л о н с е р т и ф и к а т а ( C e r t i f i c a t e T e m p l a t e
То Issue).
11. В диалоговом окне Включение ш а б л о н о в с е р т и ф и к а т о в ( E n a b l e C e r t i f i c a t e
Templates) нажмите к л а в и ш у Ctrl, в ы д е л и т е все ш а б л о н ы , к о т о р ы е х о т и т е
выдать, и щелкните О К , как п о к а з а н о на рис. 15-8.
TtnipUte*
Ш:
Setecs ore Cervcye Teroa»e to enatte on the Certfcabon At/horny.
'.^e • a :fK#e tempia« "war *аг 'teen By created doe» not vpear on ihit list, you may need to wait until
rr;. т-atcn about tr«i te^aie been recreated to al doman ccoticJert.
aj ci the cemcafe tercn'e: n the orgar»zai*>n may not be avaisWe to you CA.
h t m rt iV< – . ** Twi: Crnifrptv
Intended Pupose
3 OCSP Refporae Sqrmg
OCSP Sigrmg
ii RAS and IAS Server
Cbent Authenticetion. Server Authentication
Rouer [Ortne ieoue»t|
CSent Authenticafon
.и Smertced Logon
Cbent Authentication. Smart Card Logon
Smartcard User
Secure Email. Ckeni Authentication, Smart Caid Logon
inKoMiUw WW
5ЭЕ332Е
ЗШЕШ2
jj TrunLrt Sgrng
Mctotcrft Trutl Lie Sigmg
Рис. 15-8. Диалоговое окно включения шаблонов сертификатов
Теперь вы можете приступать к н а с т р о й к е п о д а ч и з а я в о к . Д л я э т о г о ис-
пользуется групповая политика. Вы м о ж е т е создать н о в ы й о б ъ е к т г р у п п о в о й
политики или модифицировать с у щ е с т в у ю щ и й . Д а н н а я п о л и т и к а д о л ж н а п р и -
меняться ко всем членам домеиа. Поэтому вы м о ж е т е и с п о л ь з о в а т ь с у щ е с т в у ю -
щий объект групповой политики Default D o m a i n Policy. С о з д а н и е и у п р а в л е н и е
объектами G P O осуществляется с п о м о щ ь ю к о н с о л и У п р а и л е н н е г р у п п о в о й
политикой (Group Policy M a n a g e m e n t Console, G P M C ) .
1. Войдите на контроллер домена и в программной группе А д м и н и с т р и р о в а н и е
(Administrative Tools) запустите консоль Управление г р у п п о в о й п о л и т и к о й
(Group Policy Management Console).
2. Локализуйте или создайте с о о т в е т с т в у ю щ и й о б ъ е к т г р у п п о в о й п о л и т и к и ,
щелкните его правой кнопкой м ы ш и и примените к о м а н д у И з м е н и т ь ( E d i t ) .
3. Чтобы назначить для компьютеров а в т о м а т и ч е с к у ю п о д а ч у з а я в о к , р а з -
верните узел К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и К о н ф и г у р а ц и я
WindowsriapaMeTpbi б е з о п а с н о с т и П о л и т и к и открытого ключа ( C o m p u t e r
C o n f i g u r a t i o n P o l i c i e s W i n d o w s S e t t i n g s S e c u r i t y S e t t i n g s P u b l i c K e y
Policies).
Занятие 2
Настройка и использование служб сертификации Active Directory
7 6 7
4 . Д в а ж д ы щ е л к н и т е п о л и т и к у К л и е н т с л у ж б с е р т и ф и к а ц и и : а в т о м а т и ч е с к а я
п о д а ч а з а я в о к ( C e r t i f i c a t e S e r v i c e s C l i e n t – A u t o – E n r o l l m e n t ) .
5. В к л ю ч и т е э т у п о л и т и к у и у с т а н о в и т е ф л а ж о к О б н о в л я т ь с е р т и ф и к а т ы с ис-
т е к ш и м с р о к о м д е й с т в и я и л и в с о с т о я н и и о ж и д а н и я и у д а л я т ь о т о з в а н н ы е
с е р т и ф и к а т ы ( R e n e w E x p i r e d C e r t i f i c a t e s , U p d a t e P e n d i n g Certificates, And
R e m o v e R e v o k e d C e r t i f i c a t e s ) .
6 . У с т а н о в и т е ф л а ж о к О б н о в л я т ь с е р т и ф и к а т ы , и с п о л ь з у ю щ и е ш а б л о н ы сер-
т и ф и к а т о в ( U p d a t e C e r t i f i c a t e s T h a t Use C e r t i f i c a t e T e m p l a t e s ) , если в ы
д л я э т о й ц е л и у ж е в ы д а л и н е с к о л ь к о с е р т и ф и к а т о в . Щ е л к н и т е О К д л я
н а з н а ч е н и я п а р а м е т р о в .
7 . Ч т о б ы н а з н а ч и т ь а в т о м а т и ч е с к у ю п о д а ч у з а я в о к д л я пользователей, развер-
н и т е у з е л К о н ф и г у р а ц и я п о л ь з о в а т е л я П о л и т и к и К о н ф и г у р а ц и я W i n d o w s
П а р а м е т р ы б е з о п а с н о с т и Г 1 о л и т и к и о т к р ы т о г о к л ю ч а ( U s e r C o n f i g u r a t i o n
P o l i c i e s W i n d o w s S e t t i n g s S e c u r i t y S e t t i n g s P u b l i c Key Policies).
8 . В к л ю ч и т е п о л и т и к у а в т о м а т и ч е с к о й п о д а ч и з а я в о к с т е м и ж е параметрами,
ч т о и д л я к о м п ь ю т е р о в .
9 . О т м е т и м , ч т о д л я п о л ь з о в а т е л е й в п о л и т и к е м о ж н о у с т а н о в и т ь ф л а ж о к
У в е д о м л я т ь о б о к о н ч а н и и с р о к а д е й с т в и я ( E x p i r a t i o n N o t i f i c a t i o n ) . Д л я
э т о г о п а р а м е т р а с л е д у е т у к а з а т ь с о о т в е т с т в у ю щ е е значение.