Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 74 (всего у книги 91 страниц)
П о л ь з о в а т е л и б у д у т п о л у ч а т ь у в е д о м л е н и я о б о к о н ч а н и и срока д е й с т в и я
с е р т и ф и к а т о в .
1 0 Щ е л к н и т е О К , ч т о б ы н а з н а ч и т ь э т и п а р а м е т р ы .
ВНИМАНИЕ! Параметры г р у п п о в о й политики компьютеров и пользователей
П а р а м е т р ы д л я п о л ь з о в а т е л я и компьютера, как правило, не применяются в одном
о б ъ е к т е г р у п п о в о й п о л и т и к и . В данном примере мы лишь продемонстрировали
п р и н ц и п п р и м е н е н и я параметров д л я автоматической подачи заявок.
11. З а к р о й т е о с н а с т к у G P M C .
12. В е р н и т е с ь к ц е н т р у в ы д а ч и с е р т и ф и к а т о в и о т к р о й т е окно Диспетчер сер-
в е р а ( S e r v e r M a n a g e r ) , ч т о б ы в ы б р а т ь з н а ч е н и е п о умолчанию, которое
б у д е т и с п о л ь з о в а т ь ц е н т р в ы д а ч и с е р т и ф и к а т о в п р и получении запросов
с е р т и ф и к а т о в .
13. В у з л е A D C S щ е л к н и т е п р а в о й к н о п к о й м ы ш и и м я сервера с центром
в ы д а ч и с е р т и ф и к а т о в и п р и м е н и т е к о м а н д у С в о й с т в а (Properties).
14. П е р е й д и т е иа в к л а д к у М о д у л ь п о л и т и к и (Policy M o d u l e ) и щелкните кноп-
к у С в о й с т в а ( P r o p e r t i e s ) .
15. Д л я а в т о м а т и ч е с к о й в ы д а ч и с е р т и ф и к а т о в у с т а н о в и т е ф л а ж о к Следовать
п а р а м е т р а м , у с т а н о в л е н н ы м в ш а б л о н е с е р т и ф и к а т а , если они примени-
м ы , и н а ч е а в т о м а т и ч е с к и в ы д а в а т ь с е р т и ф и к а т ( F o l l o w T h e Settings I n
T h e C e r t i f i c a t e T e m p l a t e , If Applicable. O t h e r w i s e , Automatically Issue T h e
C e r t i f i c a t e ) . Щ е л к н и т е O K .
16. В н о в ь щ е л к н и т е O K , ч т о б ы з а к р ы т ь д и а л о г о в о е окно Свойства (Properties).
[. 791 Службы сертификации Active Directory
Глава 15
Центр выдачи сертификатов готов к работе н будет а в т о м а т и ч е с к и выдавать
сертификаты, запрашиваемые у с т р о й с т в а м и и п о л ь з о в а т е л я м и .
Завершение настройки сетевого ответчика
В случае использования сетевых о т в е т ч и к о в н е о б х о д и м о п о л н о с т ь ю н а с т р о -
ить их конфигурацию. Сетевые о т в е т ч и к и с п о с о б н ы с о з д а т ь м а с с и в с и с т е м ,
обеспечивая таким образом в ы с о к у ю г о т о в н о с т ь с л у ж б ы . Т а к о й м а с с и в м о ж е т
состоять из двух центров с е р т и ф и к а ц и и , и с п о л н я ю щ и х р о л ь с е т е в ы х о т в е т ч и -
ков, или из большего числа серверов.
Д л я завершения настройки сетевого о т в е т ч и к а н у ж н о о т к о н ф и г у р и р о в а т ь
и установить с е р т и ф и к а т П о д п и с ы в а н и е о т к л и к а O C S P ( O C S P R e s p o n s e
Signing), а затем отконфигурировать д л я его п о д д е р ж к и р а с ш и р е н и е С в е д е н и я
о шаблоне сертификата ( A u t h o r i t y I n f o r m a t i o n Access). П о с л е э т о г о н у ж н о н а -
значить данный шаблон д л я центра с е р т и ф и к а ц и и и в ы п о л н и т ь п о д а ч у з а я в к и
системы для получения сертификата. Д л я н а с т р о й к и с е р т и ф и к а т а п о д п и с ы в а -
ния отклика O C S P используйте с л е д у ю щ у ю п р о ц е д у р у .
1. Войдите на сервер выдачи с е р т и ф и к а т о в , и с п о л ь з у я у ч е т н у ю з а п и с ь с п р а -
вами локального администратора.
2. В Диспетчере сервера ( S e r v e r M a n a g e r ) р а з в е р н и т е у з е л Р о л и С л у ж б ы
сертификации Active DirectoryUIa6flOHbi с е р т и ф и к а т о в (имя сервера)
(RolesActive Directory Certificate S e r v i c e s C e r t i f i c a t e T e m p l a t e s ) .
3 . Щелкните правой кнопкой мыши ш а б л о н П о д п и с ы в а н и е о т к л и к а O C S P
( O C S P Response Signing) и п р и м е н и т е к о м а н д у С к о п и р о в а т ь ш а б л о н
(Duplicate Template). Выберите ш а б л о н W i n d o w s S e r v e r 2 0 0 8 E n t e r p r i s e
Edition и щелкните О К .
4. Введите имя д л я нового шаблона, н а п р и м е р OCSP Response Signing WS08.
5. Установите флажок Опубликовать с е р т и ф и к а т в A c t i v e D i r e c t o r y ( P u b l i s h
Certificate In Active Directory).
6. На вкладке Безопасность ( S e c u r i t y ) в с е к ц и и Г р у п п ы и л и п о л ь з о в а т е л и
(Group O r User Names) щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) , з а т е м к н о п к у
Типы объектов ( O b j e c t Types), в ы б е р и т е т и п о б ъ е к т о в К о м п ь ю т е р ( C o m -
puter) и щелкните О К .
7. Введите имя и щ е л к н и т е к н о п к у П р о в е р и т ь и м е н а ( C h e c k N a m e s ) л и б о
вручную найдите компьютер, у п р а в л я ю щ и й сетевым о т в е т ч и к о м . Щ е л к н и т е
8. Щелкните имя компьютера и в с е к ц и и Р а з р е ш е н и я ( P e r m i s s i o n s ) д и а л о г о -
вого окна разрешите права доступа Ч т е н и е ( R e a d ) , З а я в к а ( E n r o l l ) и Авто-
матическая подача заявок (Autoenroll).
9. Щелкните О К, чтобы создать копию шаблона.
Шаблон сертификата готов к использованию. Теперь д л я п о д д е р ж к и сетево-
го ответчика необходимо отконфигурировать р а с ш и р е н и е Д о с т у п к с в е д е н и я м
о центрах сертификации (Authority Information Access).
Занятие 2 Настройка и использование служб сертификации Active Directory 7 6 9
ВНИМАНИЕ! Назначение прав доступа
Обычно права доступа следует назначать группам, а не отдельным объектам в ката-
логе AD DS, особенно если вы используете несколько сетевых ответчиков. Лучше
всего создать группу AD DS, задать ей соответствующее имя, например Сетевые
ответчики, и добавить в эту группу учетные записи компьютеров с сетевыми ответ-
чиками. После этого разрешения доступа к шаблону подписывания отклика OCSP
следует назначить группе, а не отдельным системам. Таким образом, разрешение
доступа задается л и ш ь один раз.
1 . В о й д и т е н а с е р в е р в ы д а ч и с е р т и ф и к а т о в , и с п о л ь з у я д о м е н н у ю учетную
з а п и с ь с п р а в а м и л о к а л ь н о г о а д м и н и с т р а т о р а .
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите
Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) .
3 . Р а з в е р н и т е у з е л Р о л и С л у ж б ы с е р т и ф и к а ц и и Active DirectoryiMW_Z/C
( R o l e s A c t i v e D i r e c t o r y C e r t i f i c a t e Services Issuing С A servername).
4 . Н а п а н е л и Д е й с т в и я ( A c t i o n s ) в ы б е р и т е к о м а н д у Свойства (Properties).
5 . П е р е й д и т е н а в к л а д к у Р а с ш и р е н и я ( E x t e n s i o n s ) , щ е л к н и т е раскрывшийся
с п и с о к В ы б е р и т е р а с ш и р е н и е ( S e l e c t E x t e n s i o n ) и у к а ж и т е в нем расши-
р е н и е Д о с т у п к с в е д е н и я м о ц е н т р а х с е р т и ф и к а ц и и ( A u t h o r i t y Information
Access, A I A ) .
6. Укажите, о т к у д а п о л ь з о в а т е л и могут получить сертификат этого центра серти-
ф и к а ц и и . В д а н н о м с л у ч а е в ы б е р и т е размещение, начинающееся с H T T P : / / .
7. У с т а н о в и т е ф л а ж к и В к л ю ч а т ь в A I A – р а с ш и р е н и е выданных сертификатов
( I n c l u d e In T h e A I A E x t e n s i o n Of Issued Certificates) и Включать в расши-
р е н и я п р о т о к о л а O C S P ( I n c l u d e I n T h e Online Certificate Status Protocol
( O C S P ) E x t e n s i o n ) .
8 . Щ е л к н и т е O K , ч т о б ы п р и м е н и т ь и з м е н е н и я .
О т м е т и м , ч т о д л я п р и м е н е н и я д а н н о г о и з м е н е н и я нужно остановить и пе-
р е з а п у с т и т ь с л у ж б у .
9. В д и а л о г о в о м о к н е п о д т в е р ж д е н и я щ е л к н и т е к н о п к у Да (Yes).
10. Т е п е р ь п е р е й д и т е к у з л у Ш а б л о н ы с е р т и ф и к а т о в (Certificate Templates)
п о д и м е н е м с е р в е р а в ы д а ч и с е р т и ф и к а т о в , щелкните его правой кнопкой
м ы ш и и п р и м е н и т е к о м а н д у В ы д а в а е м ы й шаблон сертификата (Certificate
T e m p l a t e То Issue).
11. В д и а л о г о в о м о к н е В к л ю ч е н и е ш а б л о н о в сертификатов (Enable Certificate
Templates) в ы б е р и т е с о з д а н н ы й ранее шаблон Подписывание отклика O C S P
( O C S P R e s p o n s e S i g n i n g ) и щ е л к н и т е О К .
Н о в ы й ш а б л о н о т о б р а з и т с я н а п а н е л и сведений.
12. Д л я н а з н а ч е н и я ш а б л о н а с е р в е р у перезагрузите последний.
Теперь н е о б х о д и м о п р о в е р и т ь назначение сертификата O C S P серверу. Для
этого и с п о л ь з у е т с я о с н а с т к а С е р т и ф и к а т ы (Certificates). П о умолчанию
[. 7 7 0 Службы сертификации Active Directory
Глава 15
она отсутствует в консоли, поэтому д л я ее и с п о л ь з о в а н и я н у ж н о создать
новую консоль.
13. Откройте меню Пуск (Start), в поле поиска введите ттс и н а ж м и т е к л а в и ш у
Enter.
14. В консоли М М С в меню Консоль (File) в ы б е р и т е к о м а н д у Д о б а в и т ь и л и
удалить оснастку ( A d d / R e m o v e S n a p – i n ) , ч т о б ы о т к р ы т ь д и а л о г о в о е окно
Добавление и удаление оснастки ( A d d Or R e m o v e S n a p – i n s ) .
15. Выберите оснастку С е р т и ф и к а т ы ( C e r t i f i c a t e s ) и щ е л к н и т е к н о п к у Д о б а -
вить (Add).
16. Выберите учетную запись к о м п ь ю т е р а ( C o m p u t e r A c c o u n t ) и щ е л к н и т е
кнопку Далее (Next).
17. Выберите управление л о к а л ь н ы м к о м п ь ю т е р о м (Local C o m p u t e r ) и щ е л к -
ните кнопку Готово (Finish).
18. Щелкните ОК, чтобы з а к р ы т ь д и а л о г о в о е о к н о д о б а в л е н и я и у д а л е н и я
оснасток.
19. В меню Консоль (File) п р и м е н и т е к о м а н д у С о х р а н и т ь ( S a v e ) и сохрани-
т е консоль в папке Д о к у м е н т ы ( D o c u m e n t s ) . З а д а й т е д л я к о н с о л и и м я
Computer Certificates и щелкните к н о п к у С о х р а н и т ь ( S a v e ) .
20. Разверните узел С е р т и ф и к а т ы Л и ч н о е С е р т и ф и к а т ы ( C e r t i f i c a t e s P e r s o n a l
Certificates) и убедитесь, что этот к о н т е й н е р с о д е р ж и т н о в ы й с е р т и ф и к а т
OCSP.
21. Если сертификат отсутствует, у с т а н о в и т е его в р у ч н у ю . Д л я этого щ е л к н и т е
правой кнопкой мыши папку С е р т и ф и к а т ы ( C e r t i f i c a t e s ) в к о н т е й н е р е Л и ч -
ное (Personal) и примените к о м а н д у З а п р о с и т ь н о в ы й с е р т и ф и к а т ( R e q u e s t
New Certificate).
22. На странице Подача з а я в о к на с е р т и ф и к а т ы ( C e r t i f i c a t e E n r o l l m e n t ) щ е л к -
ните кнопку Далее (Next).
23. Выберите новый с е р т и ф и к а т O C S P и щ е л к н и т е к н о п к у П о д а т ь з а я в к у
(Enroll).
24. На следующей странице щ е л к н и т е с т р е л к у в н и з п р я м о п о д н а з в а н и е м Све-
дения (Details), а затем к н о п к у П р о с м о т р с е р т и ф и к а т а ( V i e w Certificate).
Просмотрите содержимое вкладок сведений о с е р т и ф и к а т е , после чего щелк-
ните ОК.
25. Щелкните кнопку Готово (Finish), чтобы з а в е р ш и т ь э т у часть о п е р а ц и й .
26. Щелкните правой кнопкой м ы ш и С е р т и ф и к а т ( C e r t i f i c a t e ) , в ы б е р и т е о п ц и и
Все задачи (All Tasks) и примените задачу У п р а в л е н и е з а к р ы т ы м и к л ю ч а м и
(Manage Private Keys).
27. На вкладке Безопасность ( S e c u r i t y ) в с е к ц и и Г р у п п ы и л и п о л ь з о в а т е л и
(User Group O r User Names) щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
28. В диалоговом окне Выбор: " П о л ь з о в а т е л и " , " К о м п ь ю т е р ы " и л и "Груп-
пы" (Select Users, Computers, or G r o u p s ) щ е л к н и т е к н о п к у Р а з м е щ е н и е
(Locations) и выберите и м я л о к а л ь н о г о сервера. Щ е л к н и т е О К .
Занятие 2
Настройка и использование служб сертификации Active Directory
771
29. Введите и м я Сетевая служба (Network Service) и щелкните кнопку Про-
верить имена ( C h e c k Names).
30. Щ е л к н и т е О К .
31. Щ е л к н и т е объект Сетевая служба (Network Service), а затем в секции Раз-
р е ш е н и я (Permissions) диалогового окна разрешите право Полный доступ
(Full C o n t r o l ) .
32. Щ е л к н и т е О К , чтобы з а к р ы т ь диалоговое окно.
Ваш сетевой ответчик готов предоставлять данные, необходимые для под-
т в е р ж д е н и я с е р т и ф и к а т о в .
К СВЕДЕНИЮ Сетевой ответчик
Более подробную информацию о сетевом ответчике можио найти по адресу http://
technet2. microsoft. com/windowsseiver2008/en/library/045d2a97-1bff-43bd-8dea-
f2df7e270e1f1033.mspx?mfr=true.
Узел Сетевой ответчик (Network Responder) в диспетчере сервера также
с о д е р ж и т д о ч е р н и й узел Конфигурация массива (Array Configuration). Чтобы
обеспечить в ы с о к у ю готовность службы, в эту конфигурацию массива можно
д о б а в л я т ь д р у г и е сетевые ответчики. Комплексные среды с многоярусными
и е р а р х и я м и используют большие массивы сетевых ответчиков, чтобы все поль-
з о в а т е л и и ус тройства могли подтверждать свои сертификаты.
Д о б а в л е н и е к о н ф и г у р а ц и и отзыва сертификатов в сетевой ответчик
Теперь в сетевой ответчик добавьте конфигурацию отзыва сертификатов. По-
скольку к а ж д ы й центр сертификации, являющийся сетевым ответчиком в мас-
сиве, располагает собственным сертификатом, для каждого СА также необхо-
дима к о н ф и г у р а ц и я отзыва сертификатов. Конфигурация отзыва обслуживает
запросы пар к л ю ч е й и сертификатов конкретного центра сертификации. Кроме
того, к о н ф и г у р а ц и ю отзыва для центра сертификации необходимо обновлять
при каждом обновлении его пары ключей. Чтобы создать конфигурацию отзыва
с е р т и ф и к а т о в , в ы п о л н и т е следующие действия.
1. Войдите на сервер с центром выдачи сертификатов, используя доменную
учетную запись с п р а в а м и локального администратора.
2. В программной группе Администрирование (Administrative Tools) запустите
Д и с п е т ч е р сервера (Server Manager).
3. Р а з в е р н и т е узел Р о л и С л у ж б ы сертификации Active DirectoryCeTeBoii
о т в е т ч и к К о н ф и г у р а ц и я отзыва (RolesActive Directory Certificate Ser-
v i c e s O n l i n e R e s p o n d e r R e v o c a t i o n Configuration).
4 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и контейнер К о н ф и г у р а ц и я отзыва
и п р и м е н и т е к о м а н д у Добавить конфигурацию отзыва (Add Revocation
Configuration).
5. На странице приветствия щелкните кнопку Далее (Next).
6. На с т р а н и ц е Введите и м я конфигурации отзыва (Name The Revocation
Configuration) введите имя для идентификации конфигурации отзыва.
[. 7 7 2 Службы сертификации Active Directory Глава 15
Поскольку каждая к о н ф и г у р а ц и я отзыва п р и в я з ы в а е т с я к отдельному цен-
тру сертификации, в и м я к о н ф и г у р а ц и и и м е е т с м ы с л в к л ю ч и т ь и м я центра
сертификации, например R C S E R V E R 0 4 .
7. Щелкните кнопку Д а л е е ( N e x t ) .
8. На странице Выберите расположение с е р т и ф и к а т а ЦС (Select СА Certificate
Location) укажите, откуда будет з а г р у ж а т ь с я с е р т и ф и к а т .
Вы можете выбрать загрузку из A c t i v e D i r e c t o r y , л о к а л ь н о г о х р а н и л и щ а
сертификатов или файла.
9. Щелкните параметр Выберите с е р т и ф и к а т д л я с у щ е с т в у ю щ е г о ЦС пред-
приятия (Select A Certificate For An E x i s t i n g E n t e r p r i s e C A ) и щ е л к н и т е
кнопку Далее (Next).
Теперь сетевой ответчик д о л ж е н п о д т в е р д и т ь , ч т о и з д а т е л ь с е р т и ф и к а т а ,
которым в данном случае я в л я е т с я к о р н е в о й ц е н т р с е р т и ф и к а ц и и , распола-
гает подлинным сертификатом. Вы м о ж е т е в ы п о л н я т ь п о и с к с е р т и ф и к а т о в
путем обзора сертификатов СА, о п у б л и к о в а н н ы х в A c t i v e Directory, и л и
выполнять их поиск по и м е н и к о м п ь ю т е р а .
10. Поскольку корневой ц е н т р с е р т и ф и к а ц и и о т к л ю ч е н от с е т и , в ы б е р и т е
Active Directory и щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) .
11. Локализуйте сертификат д л я к о р н е в о г о СА и щ е л к н и т е О К .
После выбора с е р т и ф и к а т а м а с т е р з а г р у з и т ш а б л о н ы п о д п и с и сетевого
ответчика.
12. Щелкните кнопку Д а л е е ( N e x t ) .
На странице Выбрать с е р т и ф и к а т п о д п и с и ( S e l e c t A S i g n i n g C e r t i f i c a t e )
необходимо выбрать метод п о д п и с и , п о с к о л ь к у с е т е в о й о т в е т ч и к подпи-
сывает все отклики д л я клиентов. Д о с т у п н ы т р и о п ц и и :
• при автоматическом в ы б о р е с е р т и ф и к а т б у д е т з а г р у ж а т ь с я из р а н е е
созданного шаблона O C S P ;
• сертификат д л я подписи м о ж н о в ы б р а т ь в р у ч н у ю ;
• при выборе опции С е р т и ф и к а т ЦС ( С А C e r t i f i c a t e ) и с п о л ь з у е т с я сер-
тификат самого центра с е р т и ф и к а ц и и .
13. Выберите опцию Автоматически выбрать с е р т и ф и к а т п о д п и с и (Automatically
Select A Signing Certificate), а д л я с е р т и ф и к а т а п о д п и с и O C S P выберите
параметр Автозаявка ( A u t o – E n r o l l ) .
14. Выберите центр подачи з а я в о к и щ е л к н и т е О К .
Будет автоматически выбран ранее п о д г о т о в л е н н ы й ш а б л о н .
15. Щелкните кнопку Далее (Next).
Теперь мастер инициирует п о с т а в щ и к а отзыва. Е с л и мастер по к а к и м – л и б о
причинам не может найти поставщика, его с л е д у е т д о б а в и т ь вручную.
16. Щелкните кнопку П о с т а в щ и к ( P r o v i d e r ) , а з а т е м щ е л к н и т е к н о п к у Доба-
вить (Add) под секцией Б а з о в ы е C R L ( B a s e C R L s ) . Н а п р и м е р , вы можете
использовать следующий адрес H T T P : http://localhost/ca.crl.
Занятие 2 пастроикгги m;i lujianuoannc ^'jiy-jfiu i ицшкации Acnve Directory 7 7 3
17. Щ е л к н и т е О К . Повторите эту операцию для разностных CRL (Delta CRLs)
и у к а ж и т е тот же H T T P – а д р е с . Щелкните ОК.
П о с к о л ь к у вы получаете сертификат из Active Direcrtory, для адреса ука-
занного поставщика мастер автоматически использует формат ldap://. Для
п о л у ч е н и я и н ф о р м а ц и и и х р а н и л и щ а каталогов AD DS службы AD CS
используют п р о т о к о л L D A P (Lightweight Directory Access Protocol).
18. Щ е л к н и т е к н о п к у Готово (Finish), чтобы завершить настройку отзыва.
Н о в а я к о н ф и г у р а ц и я д о л ж н а быть указана в панели сведений. Повторите
эту процедуру д л я каждого центра сертификации, который является сетевым
ответчиком.
СОВЕТ К ЭКЗАМЕНУ
Запомните, какие операции следует выполнять для включения сетевого ответчика,
поскольку это одна из тем экзамена.
Использование и управление AD CS
Управление с л у ж б а м и р о л и С л у ж б ы сертификации Active Directory (Active
D i r e c t o r y C e r t i f i c a t e Services) осуществляется с помощью оснасток ММС.
В табл. 15-4 перечислены инструменты, рассматриваемые в данной главе, боль-
ш и н с т в о их к о т о р ы х доступны в Диспетчере сервера (Server Manager).
Табл. 15-4. Средства управления AD CS
Инструмент Использование
Расположение
Центр сертификации
Управление центром сертификации
Диспетчер сервера
(Certification Authority)
(Server Manager)
Сертификаты
Управление сертификатами. Эта
Настраиваемая
(Certificates)
оснастка устанавливается вручную
оснастка ММС
Шаблоны сертификатов Управление шаблонами сертификатов Диспетчер сервера
(Certificate Templates)
Сетевой ответчик
Управление сетевым ответчиком
Диспетчер сервера
(Online Responder)
PKI предприятия
Управление всей инфраструктурой PKI Диспетчер сервера
(Enterprise PKI)
Certutil
Управление функциями PKI в команд– Командная строка
ной строке
ПРИМЕЧАНИЕ Установка оснасток без инсталляции AD CS
Оснастки, перечисленные в табл. 15-4, можно установить с помощью диспетчера
сервера, выбрав инструменты AD CS в средствах удаленного администрирования
сервера RSAT (Remote Server Administration Tools). Если на компьютере, с которого
требуется выполнять удаленные административные задачи, используется система
Windows Vista Service Pack 1, пакет средств удаленного администрирования сервера
RSAT можно загрузить в центре загрузки Microsoft по адресу http://go.microsoft.
com/fwlink/?LinkID=89361.
[ . 7 7 4 Службы сертификации Active Directory
Глава 15
С л у ж б а A D C S п р е д о с т а в л я е т м н о г о и н ф о р м а ц и и в ж у р н а л е с о б ы т и й
( E v e n t L o g ) . С а м ы е р а с п р о с т р а н е н н ы е с о б ы т и я ц е н т р о в с е р т и ф и к а ц и и A D
CS перечислены в табл. 15-5.
Табл. 15-5. Коды распространенных событий центров сертификации
Категория
Код события
Описание
Управление досту-
3 9 , 6 0 , 9 2
Связаны с недостаточным и л и несоответс-
пом AD CS
твующим использованием р а з р е ш е н и й
доступа
AD CS и AD DS
24,59, 64,91,93,94, Связаны с доступом (чтение и л и з а п и с ь )
объектов AD DS
106,107
Запрос серти-
3 , 7 , 1 0 , 2 1 , 2 2 , 2 3 ,
Отсутствует один э л е м е н т д л я у с п е ш н о й
фикации AD CS
5 3 , 5 6 , 5 7 , 7 9 , 8 0 , 9 7 , подачи заявки: п о д л и н н ы й с е р т и ф и к а т СА,
(обработка подачи
108,109,128,132
шаблоны сертификатов с соответствующей
заявок)
конфигурацией, учетные з а п и с и к л и е н т о в
или запросы сертификатов
Центр сертифика-
2 7 , 3 1 , 4 2 , 4 8 , 4 9 ,
Связаны с доступностью, подлинностью и це-
ции и цепочка под-
51,58,64,100,103,
почкой подтверждения с е р т и ф и к а т а СА
тверждения серти-
104,105
фикатов AC CS
Обновление центра 111,112, И З , 114,
Связаны с обновлением ц е н т р о в с е р т и ф и -
сертификации
115,116,117,118,
кации из предыдущих версий W i n d o w s до
AD CS
119,120,121,122,
Windows Server 2008 и могут содержать
123,125,126
опции или компоненты к о н ф и г у р а ц и и ,
которые нужно р е к о н ф и г у р и р о в а т ь
Перекрестная сер-
99,102
Связаны с с е р т и ф и к а т а м и СА, с о з д а н н ы -
тификация AD CS
ми с целыо установления д о в е р и я между
исходным с е р т и ф и к а т о м и о б н о в л е н н ы м
корнем
Доступность баз
17
Связаны с о ш и б к а м и доступа к базе дан-
даииых AD CS
ных AD CS
Обработка модуля 45,46
Связаны с ф у н к ц и я м и п у б л и к а ц и и модуля
выхода AD CS
выхода и л и отправкой у в е д о м л е н и й по
электронной почте
Архивация и вос-
8 1 , 8 2 , 8 3 , 8 4 , 8 5 , 8 6 . Связаны с сертификатами агента обнов-
становление клю-
87,88, 96,98,127
ления ключей, с е р т и ф и к а т а м и и к л ю ч а м и
чей AD CS
обмена данными (XCI-IG) и л и отсутствием
одного либо всех этих компонентов
Доступность счет-
110
Связаны с невозможностью запуска счет-
чиков производи-
чиков производительности
тельности AD CS
Обработка модуля 9 , 4 3 , 4 4 , 7 7 , 7 8
Связаны с проблемами о б н а р у ж е н и я моду-
политики AD CS
ля политики
Доступность ресур– 15,16,26,30,33,34, Связаны с доступностью системных ресур-
сов AD CS
35,38,40,61,63,
сов и компонентов операционной системы
89,90
Занятие 2 Настройка и использование служб сертификации Active Directory 798
Табл. 15-5. ( окончание)
Категория Код события Описание
Параметры реестра 5,19, 20, 28, 95 Связаны с повреждением или удалением
AD CS параметров конфигурации реестра
Сетевой ответчик 16,17,18,19, 20, 21, Связаны с зависимостями службы сетевого
AD CS 22, 23, 25, 26, 27, 29, ответчика
31,33,34, 35
И с п о л ь з у й т е д а н н ы е табл. 15-5 д л я б ы с т р о й и д е н т и ф и к а ц и и сути неполад-
ки и у с т р а н е н и я п р о б л е м ы .
К СВЕДЕНИЮ Коды событий AD CS
Более подробную и н ф о р м а ц и ю о типах событий AD CS можно найти но адресу
http://technet2.microsoft.com/windowsserver2008/en/library/688d1449-3086-4a79-95e6-
5a7f620681731033. mspx.
PKI предприятия
О д н и м и з с а м ы х у д о б н ы х и н с т р у м е н т о в , в и н ф р а с т р у к т у р е A D C S я в л я е т с я
с р е д с т в о P K I п р е д п р и я т и я ( E n t e r p r i s e P K I ) в у з л е С л у ж б ы с е р т и ф и к а ц и и
A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e Services) диспетчера сервера или
у т и л и т а PKIView в к о м а н д н о й строке. И н с т р у м е н т P K I п р е д п р и я т и я можно
и с п о л ь з о в а т ь д л я у п р а в л е н и я а к т и в н о с т ь ю A D CS. П о сути, P K I предпри-
я т и я с о д е р ж и т п р е д с т а в л е н и е о с о с т о я н и и р а з в е р т ы в а н и я AD CS и позволяет
п р о с м а т р и в а т ь в с ю и е р а р х и ю P K I в сети, а т а к ж е детализировать сведения от-
д е л ь н ы х ц е н т р о в с е р т и ф и к а ц и и с ц е л ь ю и д е н т и ф и к а ц и и ошибок конфигурации
и л и о п е р а ц и и в и н ф р а с т р у к т у р е P K I .
С р е д с т в о P K I п р е д п р и я т и я ( E n t e r p r i s e P K I ) в основном используется в ка-
честве п р е д с т а в л е н и я д и а г н о с т и к и и работоспособности, поскольку отображает
о п е р а ц и о н н ы е д а н н ы е о ч л е н а х и е р а р х и и P K I . К р о м е того, P K I предприятия
м о ж н о б ы с т р о п р и в я з а т ь к к а ж д о м у СА, щ е л к н у в и м я последнего правой кноп-
к о й м ы ш и и п р и м е н и в к о м а н д у У п р а в л е н и е Ц С ( M a n a g e СА). Запустится
к о н с о л ь Ц е н т р с е р т и ф и к а ц и и ( C e r t i f i c a t i o n A u t h o r i t y ) нацеленного СЛ.
В п а н е л и Д е й с т в и я ( A c t i o n s ) т а к ж е м о ж н о о т к р ы т ь консоли Управление
ш а б л о н а м и ( M a n a g e T e m p l a t e s ) и У п р а в л е н и е к о н т е й н е р а м и ( M a n a g e A D
C o n t a i n e r s ) . С п о м о щ ь ю п о с л е д н е й к о н с о л и м о ж н о просмотреть перечень всех
к о м а н д в к а т а л о г е , к о т о р ы е и с п о л ь з у ю т с я д л я х р а н е н и я сертификатов архи-
т е к т у р ы P K I , к а к п о к а з а н о н а р и с . 15-9.
И с п о л ь з у й т е P K I п р е д п р и я т и я д л я в и з у а л ь н о й проверки состояния ра-
б о т о с п о с о б н о с т и P K I . С п о м о щ ь ю р а з л и ч н ы х значков м о ж н о немедленно по-
л у ч и т ь о б р а т н у ю с в я з ь с к а ж д ы м к о м п о н е н т о м в инфраструктуре. Зеленый
ц в е т з н а ч к а о з н а ч а е т , что к о м п о н е н т работоспособен, ж е л т ы й указывает н а
н е з н а ч и т е л ь н ы е н е п о л а д к и , а к р а с н ы й свидетельствует о возникновении се-
р ь е з н о й п р о б л е м ы .
[. 7 7 6 Службы сертификации Active Directory Глава 15
Я И 1 в *J
Контейнер центров серптфнкаитн
| Контейнер служб подачи заявок j
ЫГМХМЛкЯа Контейнер «А j Контейнер CDP J КонтеЛ^ер KRA
Имя
Г Тип ! Состояние
L^ contoso-Roa-CA
Сертификат ОК
fgicortoso-SERVEROl-CA
Сертификат ОК
| • |
* 1 OK | Отмена
Рис. 15-9. Просмотр контейнеров Active Directory
с помощью инструмента PKI предприятия
Контрольные вопросы
1. Опишите три сценария, в которых используются службы AD CS для защиты
сети.
2. Какие версии шаблонов сертификатов поддерживаются центрами сертифи-
кации предприятия?
Ответы на контрольные вопросы
1. Существует несколько таких сценариев. Например, вы можете использовать
AD CS для поддержки шифрующей файловой системы EFS (Encrypting File
System) с целыо защиты данных, для возможности применения смарт-карт
для двухфакторной проверки подлинности, а также для применения SSL
(Secure Sockets Layer) с целыо защиты коммуникаций «сервер-сервер» или
«сервер-клиент» и выдачи сертификатов конечным пользователям, чтобы
они могли шифровать данные электронной почты посредством S / M I M E .
2. Центры сертификации предприятия (СА Enterprise) поддерживают шаблоны
версий 2 н 3. Эти шаблоны можно копировать и модифицировать в соответ-
ствии с требованиями организации.
Защита конфигурации AD CS
Помимо мер безопасности для корневых и п р о м е ж у т о ч н ы х центров сертифи-
кации необходимо также защитить к а ж д ы й СА, в частности центры выдачи
сертификатов, путем периодической архивации. Архивацию центра сертифи-
кации выполнить достаточно просто. В Диспетчере сервера (Server Manager)
Занятие 2 Настройка и использование служб сертификации Active Directory 7 7 7
р а з в е р н и т е у з е л Р о л и С л у ж б ы с е р т и ф и к а ц и и Active D i r e c t o r y ( R o l e s A c t i v e
D i r e c t o r y C e r t i f i c a t e S e r v i c e s ) и о т к р о й т е у з е л с и м е н е м СА. Щ е л к н и т е правой
к н о п к о й м ы ш и и м я с е р в е р а , в ы б е р и т е о п ц и ю Все задачи (All Tasks) и приме-
н и т е к о м а н д у А р х и в а ц и я Ц С ( B a c k U p С А ) . З а п у с т и т с я М а с т е р а р х и в а ц и и
ц е н т р а с е р т и ф и к а ц и и ( C e r t i f i c a t i o n A u t h o r i t y B a c k u p W i z a r d ) . Д л я архивации
С А в ы п о л н и т е с л е д у ю щ и е д е й с т в и я .
1 . З а п у с т и т е М а с т е р а р х и в а ц и и ц е н т р а с е р т и ф и к а ц и и (Certification Authority
B a c k u p W i z a r d ) и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
2 . Н а с т р а н и ц е А р х и в и р у е м ы е э л е м е н т ы ( I t e m s Т о Back U p ) в ы б е р и т е эле-
м е н т ы д л я а р х и в а ц и и :
• о п ц и я З а к р ы т ы й к л ю ч и с е р т и ф и к а т ЦС ( P r i v a t e Key And СА Certificate)
о б е с п е ч и в а е т з а щ и т у с е р т и ф и к а т а д а н н о г о сервера;
• о п ц и я Б а з а д а н н ы х с е р т и ф и к а т о в и ж у р н а л БД (Certificate Database And
C e r t i f i c a t e D a t a b a s e L o g ) о б е с п е ч и в а е т з а щ и т у сертификатов, которыми
у п р а в л я е т С А . В ы т а к ж е м о ж е т е в ы п о л н я т ь и н к р е м е и т н у ю архивацию
б а з ы д а н н ы х .
3 . И д е н т и ф и ц и р у й т е п а п к у д л я а р х и в а ц и и .
Н а п р и м е р , вы м о ж е т е с о з д а т ь а р х и в в о б щ е м ф а й л о в о м ресурсе на цент-
р а л ь н о м с е р в е р е . О д н а к о п о м н и т е , что в ы архивируете д а н н ы е с высокой
с т е п е н ь ю у я з в и м о с т и и их т р а н с п о р т и р о в к а по сети м о ж е т оказаться не
с а м ы м у д а ч н ы м р е ш е н и е м . Л у ч ш е в с е г о а р х и в и р о в а т ь эти д а н н ы е в ло-
