Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 75 (всего у книги 91 страниц)
к а л ь н о й п а п к е , а з а т е м к о п и р о в а т ь архив на переносной носитель.
4. И д е н т и ф и ц и р у й т е м е с т о п о л о ж е н и е и щ е л к н и т е кнопку Д а л е е (Next). От-
м е т и м , ч т о к о н е ч н а я п а п к а д о л ж н а б ы т ь пустой.
5 . Н а з н а ч ь т е д л я а р х и в а с т р о г и й п а р о л ь . Щ е л к н и т е к н о п к у Д а л е е (Next).
6 . П р о с м о т р и т е и н ф о р м а ц и ю н а с т р а н и ц е и щ е л к н и т е к н о п к у Готово
( F i n i s h ) .
М а с т е р в ы п о л н и т а р х и в а ц и ю . О б е с п е ч ь т е с о о т в е т с т в у ю щ у ю защиту д л я
а р х и в а , п о с к о л ь к у о н с о д е р ж и т у я з в и м ы е д а н н ы е .
В к о м а н д н о й с т р о к е т а к ж е м о ж н о в ы п о л н я т ь автоматическую архивацию,
и с п о л ь з у я у т и л и т у Certutil.exe с с о о т в е т с т в у ю щ и м и переключателями архива-
ц и и и в о с с т а н о в л е н и я б а з ы д а н н ы х .
К СВЕДЕНИЮ Использование утилиты Certutil.exe для защиты данных
центра сертификации
Более подробную информацию об использовании утилиты Certutil.exe для архивации
и восстановления можно найти по адресу http://support.microsoft.com/kb/185195.
Д л я в о с с т а н о в л е н и я и н ф о р м а ц и и и с п о л ь з у й т е М а с т е р в о с с т а н о в л е н и я
ц е н т р а с е р т и ф и к а ц и и ( C e r t i f i c a t i o n A u t h o r i t y Restore Wizard). Щ е л к н у в правой
к н о п к о й м ы ш и и м я сервера, в ы б е р и т е о п ц и ю Все задачи (All Tasks) и примени-
т е з а д а ч у В о с с т а н о в л е н и е Ц С ( R e s t o r e СА). М а с т е р сразу потребует остановить
с л у ж б у ц е н т р а с е р т и ф и к а ц и и п е р е д з а п у с к о м операций восстановления. После
о с т а н о в к и с л у ж б ы о т к р о е т с я с т р а н и ц а п р и в е т с т в и я мастера.
26 Зак. 3399
[. 7 7 8 Службы сертификации Active Directory
Глава 15
1. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
2 . Выберите элементы д л я в о с с т а н о в л е н и я . В ы м о ж е т е в о с с т а н о в и т ь з а к р ы т ы й
ключ и с е р т и ф и к а т СА, а т а к ж е б а з у д а н н ы х и ф а й л ее ж у р н а л а .
3 . Введите путь к ф а й л а м а р х и в а и л и щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) д л я
л о к а л и з а ц и и д а н н ы х архива. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
4 . Введите п а р о л ь д л я о т к р ы т и я а р х и в а и щ е л к и и т е к н о п к у Д а л е е ( N e x t ) .
5 . Просмотрите в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
После з а в е р ш е н и я о п е р а ц и и в о с с т а н о в л е н и я м а с т е р п р е д л о ж и т п е р е з а г р у -
зить с л у ж б у A D CS.
6 . Щ е л к н и т е к н о п к у Д а (Yes). П р о в е р ь т е р е з у л ь т а т ы в о с с т а н о в л е н и я ц е н т р а
с е р т и ф и к а ц и и .
Практические занятия. Настройка и использование AD CS
В предложенных далее у п р а ж н е н и я х в ы в ы п о л н и т е ч е т ы р е к л ю ч е в ы е з а д а ч и .
В упражнении 1 вы о т к о р р е к т и р у е т е о ш и б к и в р е а л и з а ц и и AD CS с п о м о щ ь ю
инструмента P K I п р е д п р и я т и я ( E n t e r p r i s e P K I ) . З а т е м в ы с о з д а д и т е н а с т р а и -
ваемый шаблон и н т е р ф е й с а д л я п у б л и к а ц и и с е р т и ф и к а т о в , а т а к ж е в к л ю ч и т е
автоматическую подачу з а я в о к на с е р т и ф и к а т ы д л я п о л ь з о в а т е л е й . И н а к о н е ц ,
в ы настроите а в т о м а т и ч е с к у ю р е г и с т р а ц и ю к л и е н т о в ц е н т р о м в ы д а ч и с е р т и -
фикатов.
Упражнение 1. Корректировка реализации AD CS с помощью PKI предприятия
В этом упражнении вы с п о м о щ ь ю P K I п р е д п р и я т и я и д е н т и ф и ц и р у е т е , а з а т е м
откорректируете о ш и б к и к о н ф и г у р а ц и и A D CS. В у п р а ж н е н и и д е м о н с т р и р у -
ется работа с P K I п р е д п р и я т и я .
1. Запустите м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 и S E R V E R 0 4 .
2. Войдите на м а ш и н у S E R V E R 0 4 к а к а д м и н и с т р а т о р д о м е и а .
3. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у с т и т е
Диспетчер сервера (Server M a n a g e r ) .
4 . Разверните узел Р о л и С л у ж б ы с е р т и ф и к а ц и и A c t i v e D i r e c t o r y P I < I п р е д -
п р и я т и я С о п 1 о 5 0 – К о р н е в о й – Ц С Ц С в ы д а ч и с е р т и ф и к а т о в C o n t o s o ( R o l e s
Active D i r e c t o r y C e r t i f i c a t e S e r v i c e s E n t e r p r i s e P K I C o n t o s o – R o o t – C A
Contoso-Issuing-CA). Щ е л к н и т е п р а в о й к н о п к о й ц е н т р в ы д а ч и с е р т и ф и -
катов Contoso и п р о с м о т р и т е о ш и б к и , к а к п о к а з а н о на р и с . 15-10.
В к о н ф и г у р а ц и и есть о ш и б к и . К о р н е в о й С А C o n t o s o т а к ж е с о д е р ж и т
ошибки P K I п р е д п р и я т и я . Эти о ш и б к и с в я з а н ы с и с т о ч н и к а м и з а г р у з к и
в Интернете д л я т о ч к и р а с п р о с т р а н е н и я C R L ( C R L D i s t r i b u t i o n P o i n t ) и
А1А. Эти о ш и б к и в о з н и к а ю т п о п р и ч и н е того, ч т о т а к и х и с т о ч н и к о в н е
существует. И х н у ж н о в р у ч н у ю с о з д а т ь в I I S . Тем н е м е н е е , п о с к о л ь к у
развертывание A D C S и н т е г р и р о в а н о в A D D S , в а м н е н у ж н о д о б а в л я т ь
источники з а г р у з к и в Интернете, д а ж е е с л и о н и по у м о л ч а н и ю у к а з а н ы в
к о н ф и г у р а ц и и AD CS. В р а з в е р т ы в а н и и AD CS, и н т е г р и р о в а н н о м в AD
DS, служба каталогов отвечает за р а с п р о с т р а н е н и е A I A и C R L , а б л а г о д а -
р я высокой готовности с л у ж б ы д о п о л н и т е л ь н о е р а з м е щ е н и е н е т р е б у е т с я .
Дополнительные р а з м е щ е н и я н е о б х о д и м о д о б а в л я т ь т о л ь к о в т о м случае,
Занятие 2 Настройка и и с п о л ь з о в а н и е с л у ж б с е р т и ф и к а ц и и Active Directory 7 7 9
е с л и д о с т у п к н и м т р е б у е т с я п р е д о с т а в и т ь м о б и л ь н ы м п о л ь з о в а т е л я м в н е
в н у т р е н н е й с е т и . В т а к о м с л у ч а е т р е б у е т с я в н е ш н и й д о с т у п к U R L .
о * – [ Э й . в 0
. Зл 5«rv«r Manager (SIRVt R04)
яшяшт
H i
* Roles
;
N
a
m
e
Statu,
£*p«at»on Date location
л "^Active Directory Certific»
Online Reiponder. J СА Certificate
ok
1/21/200) 2:51 -
* Enterprise
P
K
I
i .«tl
A
I
A location «1
OK
1/21/2001 2:50 _
tdap-7/CNxCo
suir^-CA |
* O; Contoso-Root-O
i i>j
A
I
A location «2
Unable To 0~
L
OK
!
C
D
P location «1
O
Conto»o-biui L
Id ap-7/C N г С u
–
on
ng
t -
o C
s A
o j
!
C
D
P location «1
2/12/2001 3:26 -Id ap-7/C N г С onto so -I
–
Certificate Template: •J
• Det
Da
eC
ta R
C l
R lo
c
o a
c ti
ao
t n
o "1
"
OK
O
2/4/2008 УМ.. lde
dp
e '//C
p'/ N
C =
N C
= o
C n
o to
n so
os -i
o-su
i -ng-CA |
•< ев Contoio-bsuing-CAl OJ
O
J Det
Da
eC
ta R
C l
R lo
c
o a
c ti
ao
t n
o «2
Un
Uab
nale
b
T
o
T
o D
_
D
btp
bt -7
p– /s
7e
/s»
e v
» tf0
vtf 4
0 -<
4– o
< fte
of »
«2
e
Revoked Certifici <*j
<*
C
D
CP
D
P lo
c
o a
c ti
ao
t n
o «2
Un
Uab
nale
b
T
o
T
o D
~
«2
D
.com/Cef ;
•3 !>wed Certificated
Pending Request:!1
. Failed Requests ;
' Certificate Tempi;
Рис. 15-10. Просмотр ошибок конфигурации в PKI предприятия
5 . В у з л е Р К 1 п р е д п р и я т и я ( E n t e r p r i s e P K I ) щ е л к н и т е п р а в о й к н о п к о й м ы ш и
к о р н е в о й С А C o n t o s o и п р и м е н и т е к о м а н д у У п р а в л е н и е Ц С ( M a n a g e С А ) .
З а п у с т и т с я а в т о н о м н а я к о н с о л ь Ц е н т р с е р т и ф и к а ц и и ( C e r t i f i c a t e A u t h o r i t y ) ,
с ф о к у с и р о в а н н а я н а к о р н е в о м С А . П о м н и т е , ч т о д и с п е т ч е р с е р в е р а м о ж е т
р а б о т а т ь л и ш ь с л о к а л ь н ы м с е р в е р о м . П о э т о м у н е о б х о д и м о и с п о л ь з о в а т ь
н е з а в и с и м у ю к о н с о л ь .
6 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и к о р н е в о й С А C o n t o s o и п р и м е н и т е ко-
м а н д у С в о й с т в а ( P r o p e r t i e s ) .
7 . П е р е й д и т е н а в к л а д к у Р а с ш и р е н и я ( E x t e n s i o n s ) и в п о я в и в ш е м с я с п и с к е
в ы б е р и т е р а с ш и р е н и е Т о ч к а р а с п р о с т р а н е н и я с п и с к о в о т з ы в а ( C D P ) ( C R L
D i s t r i b u t i o n P o i n t ( C D P ) ) .
8 . В с е к ц и и р а з м е щ е н и й д и а л о г о в о г о о к н а в ы б е р и т е р а з м е щ е н и е h t t p : / /
< S e r v e r D N S N a m e > / C e r t E n r o l l / < C a N a m e > < C R L N a m e S u f f i x >
< D e l t a C R L A l l o v e d > . c r l и с б р о с ь т е ф л а ж к и В к л ю ч и т ь в C R L . К л и е н т ы
и с п о л ь з у ю т д а н н ы е д л я п о и с к а в р а з м е щ е н и я х D e l t a C R L ( I n c l u d e I n CRLs,
C l i e n t s U s e T h i s T o F i n d D e l t a C R L L o c a t i o n s ) и В к л ю ч а т ь в C D P – р а с ш и -
р е н и е в ы д а н н ы х с е р т и ф и к а т о в ( I n c l u d e I n T h e C D P E x t e n s i o n O f Issued
C e r t i f i c a t e s ) .
9. В п о я в и в ш е м с я с п и с к е в ы б е р и т е р а с ш и р е н и е Д о с т у п к с в е д е н и я м о центрах
с е р т и ф и к а ц и и ( A I A ) ( A u t h o r i t y I n f o r m a t i o n Access ( A I A ) ) .
10. В ы б е р и т е р а з м е щ е н и е h t t p : / / < S e r v e r D N S N a m e > / C e r t E n r o l l / < S e r v e r D N S N a m e > _
< C a N a m e > < C e r t i f i c a t e – N a m e > . c r t и с б р о с ь т е ф л а ж о к В к л ю ч а т ь в А1А-рас-
ш и р е н и е в ы д а н н ы х с е р т и ф и к а т о в ( I n c l u d e I n T h e A I A E x t e n s i o n O f Issued
C e r t i f i c a t e s ) . Щ е л к н и т е O K д л я п р и м е н е н и я и з м е н е н и й .
В к а ч е с т в е т о ч к и р а с п р о с т р а н е н и я с п и с к о в о т з ы в а в И н т е р н е т е A D C S
а в т о м а т и ч е с к и у к а ж е т в и р т у а л ь н ы й к а т а л о г C e r t E n r o l l в веб-сайте п о у м о л -
ч а н и ю . О д н а к о в п р о ц е с с е у с т а н о в к и A D C S э т о т в и р т у а л ь н ы й к а т а л о г н е
и н с т а л л и р у е т с я п о у м о л ч а н и ю . К р о м е того, п о с к о л ь к у э т о т ц е н т р с е р т и ф и -
к а ц и и я в л я е т с я к о р н е в ы м , о н н е у п р а в л я е т I I S и б у д е т о т к л ю ч е н о т сети.
В к а ч е с т в е т о ч к и р а с п р о с т р а н е н и я ( C D P ) н е р е к о м е н д у е т с я у к а з ы в а т ь
н е с у щ е с т в у ю щ и й в е б – с е р в е р , т а к ч т о э т о р а з м е щ е н и е с л е д у е т у д а л и т ь и з
[. 7 8 0 Службы сертификации Active Directory
Глава 15
конфигурации СА. В п р о т и в и о м с л у ч а е о н о будет в к л а д ы в а т ь с я в выдава-
емые сертификаты.
11. Поскольку вы м о д и ф и ц и р о в а л и к о н ф и г у р а ц и ю с е р в е р а AD CS, консоль
предложит перезапустить AD CS на этом сервере. Щ е л к н и т е к н о п к у Да (Yes).
12. Закройте консоль Центр с е р т и ф и к а ц и и ( C e r t i f i c a t e A u t h o r i t y ) и вернитесь
к PKI предприятия ( E n t e r p r i s e P K I ) в д и с п е т ч е р е сервера.
13. На панели инструментов щ е л к н и т е к н о п к у О б н о в и т ь ( R e f r e s h ) д л я обнов-
ления PKI предприятия. О т м е т и м , ч т о х о т я о ш и б к и р а з м е щ е н и й д л я кор-
невого С А устранены, еще о с т а л и с ь о ш и б к и С А в ы д а ч и с е р т и ф и к а т о в .
Далее вы займетесь к о р р е к т и р о в к о й о ш и б о к в СА в ы д а ч и с е р т и ф и к а т о в .
1. В узле AD CS диспетчера сервера щ е л к н и т е п р а в о й к н о п к о й м ы ш и СА вы-
дачи сертификатов C o n t o s o и п р и м е н и т е к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .
2. Перейдите на вкладку Р а с ш и р е н и я ( E x t e n s i o n s ) и в п о я в и в ш е м с я с п и с к е
выберите расширение Точка р а с п р о с т р а н е н и я с п и с к о в о т з ы в а ( C D P ) ( C R L
Distribution Point ( C D P ) ) .
3 . В секции р а з м е щ е н и й д и а л о г о в о г о о к н а в ы б е р и т е р а з м е щ е н и е h t t p : / /
< S e r v e r D N S N a m e > / C e r t E n r o l l / < C a N a m e > < C R L N a m e S u f f i x >
используют данные д л я поиска в р а з м е щ е н и я х D e l t a C R L ( I n c l u d e In CRLs,
Clients Use This To Find D e l t a C R L L o c a t i o n s ) и В к л ю ч а т ь в C D P – р а с ш и -
рение выданных с е р т и ф и к а т о в ( I n c l u d e I n T h e C D P E x t e n s i o n O f Issued
Certificates).
4. В появившемся списке выберите р а с ш и р е н и е Д о с т у п к с в е д е н и я м о центрах
сертификации (AIA) ( A u t h o r i t y I n f o r m a t i o n Access ( A I A ) ) .
5. Выберите размещение h t t p : / / < S e r v e r D N S N a m e > / C e r t E n r o l l / < S e r v e r D N S N a m e >
_ < C a N a m e > < C e r t i f i c a t e – N a m e > . c r t и с б р о с ь т е ф л а ж о к В к л ю ч а т ь в AIA-
расширение выданных с е р т и ф и к а т о в ( I n c l u d e in t h e A I A e x t e n s i o n of issued
certificates). Щ е л к н и т е O K д л я п р и м е н е н и я и з м е н е н и й .
В качестве т о ч к и р а с п р о с т р а н е н и я с п и с к о в о т з ы в а в И н т е р н е т е AD CS
автоматически опять-таки у к а ж е т в и р т у а л ь н ы й к а т а л о г C e r t E n r o l l в веб-
сайте по умолчанию. Однако в процессе у с т а н о в к и AD CS этот в и р т у а л ь н ы й
каталог не инсталлируется по у м о л ч а н и ю . Ч т о б ы обеспечить веб-поддержку
списка CRL, виртуальный к а т а л о г д а ж е л и ш ь п р и в н у т р е н н е м р а з в е р т ы в а -
нии необходимо создать в IIS. Но в д а н н о м с л у ч а е это не т р е б у е т с я . К р о м е
того, рекомендуется не у д а л я т ь р а з м е щ е н и е H T T P , так к а к в п о с л е д у ю щ е м
его добавлении уже есть к о р р е к т н ы й ф о р м а т U R L , п о э т о м у в а м п р и д е т с я
только заново проверить с о о т в е т с т в у ю щ и е о п ц и и .
6. Поскольку вы м о д и ф и ц и р о в а л и к о н ф и г у р а ц и ю с е р в е р а AD CS, к о н с о л ь
предложит перезапустить AD CS на этом сервере. Щ е л к н и т е к н о п к у Да (Yes).
7. В Диспетчере с е р в е р а ( S e r v e r M a n a g e r ) в е р н и т е с ь к P K I п р е д п р и я т и я
(Enterprise P K I ) .
8. В панели инструментов щ е л к н и т е к н о п к у О б н о в и т ь ( R e f r e s h ) д л я обнов-
ления PKI предприятия.
Занятие 2 Настройка и использование служб сертификации Active Directory 7 8 1
Отметим, что теперь присутствует лишь одна ошибка центра выдачи сер-
т и ф и к а т о в , оставшаяся после исходного самозаверяющсгося сертификата,
который был сгенерирован во время установки этого центра сертификации.
Д а н н ы й с е р т и ф и к а т заменен сертификатом, выданным корневым центром
сертификации. По этой причине необходимо удалить исходный сертификат.
щтщ
£ М*П»3
Fil« Action Vir
ж
StiverManager($£RVHR04) Г/ • A^'f/,'
< |> Role. PJJJJ
Expiration Date location
* Active Directory Certifica-:
1/21/2009 2:50 ...
« Online Reiponder S£;| ^CA Certificate
0 Revocation Conficj # Allocation «1
1/21/2009 2:50.. ldap7/CN=Contoio-Iuumg-C;
: Ф
A
m
y Configured Э
C
D
P Location «1
2/12/2008 5:24 ~ ldap7/CN=Conto»o-IJiu.ng-C:
– & tnterpnie
P
K
] i! DeltaCRl location «1
2/10/2008 3:26.. ldapy/CN=Contoio !iiuing-Ci
Л tf Contojo-Root-C;: &] DeltaCRl location «2
htp:/iervtrOtcontoio.com/C<
ф Contoio-Uiui i
JkI Certificate Template i'!
* & Conto»o-l»juing-CAI'l
i'3 Revolted Ceitificaii
biued Certificate
:. 'j Pending Request;:
9. Д л я завершения настройки конфигурации перейдите к СА выдачи сертифи-
катов в узле AD CS и выберите контейнер Выданные сертификаты (Issued
Certificates).
В п а н е л и сведений будут перечислены все сертификаты, выданные этим
центром.
10. Л о к а л и з у й т е первый сертификат.
Этот с е р т и ф и к а т д о л ж е н иметь тип СА Exchange, который указывается
в столбце Ш а б л о н сертификата (Certificate Template) панели сведений.
11. Щ е л к н и т е п р а в о й к н о п к о й мыши этот сертификат, примените команду
Все задачи (All Tasks) и выберите команду Отозвать сертификат (Revoke
Certificate).
12. В диалоговом окне Отзыв сертификата (Certificate Revocation) выберите в рас-
к р ы в а ю щ е м с я списке Замена (Superseded), проверьте дату и щелкните ОК.
C e r t i f i c a t e R e v o c a t i o n
Are you sure you wonr lo revoke (he selected cetWicatelsl?
S p e c i y a reason, date and time
R e a s o n code:
j Superseded _ -
P a t e and Time:
2/ 9/2008 11– 1214 PM :
C j E Z ] E J E I J
Отозванный сертификат автоматически перемещается в папку Отозванные
сертификаты (Revoked Certificates) и больше не является подлинным. Пос-
кольку вы отозвали сертификат, необходимо обновить список отзыва.
13. Щ е л к н и т е правой кнопкой мыши узел Отозванные сертификаты (Revoked
Certificates), выберите опцию Все задачи (All Tasks) и примените задачу
П у б л и к а ц и я (Publish).
[. 7 8 2 Службы сертификации Active Directory
Глава 15
14. В диалоговом окне П у б л и к а ц и я C R L ( P u b l i s h C R L ) в ы б е р и т е о п ц и ю Н о в ы й
C R L (New C R L ) и щ е л к н и т е О К .
The latest pubbhed Certrfcate Revocetcn Lbl (CRL) u Hi vaW. Cieols may not
гесел* г new CRL untf a/tei the» curent one e*p#«
Type d CRL to pubfah
о New CRL
Isues a comotete CRL. whch contains ip-to-date revocation Wonnation
(ortheCA.
DHLs CRL omy
ssjei an abbreviated vetwn Ы the CRL. which contains only the updates to
the CRL that have been made once the last tine it was pubis hed
j OK . j [ ^Cancel ^ j
15. Вернитесь к PKI предприятия ( E n t e r p r i s e P K I ) и щ е л к н и т е к н о п к у О б н о -
вить (Refresh).
В представлении P K I п р е д п р и я т и я ( E n t e r p r i s e P K I ) н е д о л ж н о о с т а в а т ь с я
никаких ошибок.
h
U
А
Л
и
п
V
«
w H«t
<*#' > 3 ^ ' о П
ГI, Servti Manager
(
S
R
V
E
R
0
4
)
N
»
m
e
Statu!
Expiration Date location
i 9 ^t** D«tcto»y Certificate Servicn
J Online Reiponder.
S
E
R
V
E
R
S
f^CA Certificate
O
K
1/21/2009 2:50 ...
ip Revocation Configuration
I .«Р
A
I
A location *1
O
K
1/21/2009 2:50.. ldap://CN=C
Ф Aniy Configuration
I
C
D
P location «1
O
K
2/17/2008 12:3.. Idap7/CN=C
– ft Ente-pmePKI
| jj DeltaCRl location «1
O
K
2/11/2008 12:3.. ldap://CN=C
4 jf Contoio-Root-CAfi/0.0)
^ Contoio-Iiumg-CADI (Л.С)
X) Certificate Template!
* j CooUuo-biuing-CAOl
. . Revoke
d Certificate»
. I luued Certificate!
.'.'. Pend-ng Re que iti
Faded Request!
,1 Certificate Templates
Эти операции нужно выполнить в сети при р е а л и з а ц и и AD CS. В п р о т и в н о м
случае представления P K I п р е д п р и я т и я всегда б у д у т о т о б р а ж а т ь о ш и б к и .
Упражнение 2 . С о з д а н и е к о п и и ш а б л о н а с е р т и ф и к а т а ш и ф р о в а н и я E F S
В этом упражнении вы создадите д у б л и к а т ш а б л о н а с е р т и ф и к а т а ш и ф р о в а н и я
EFS и опубликуете его д л я а в т о м а т и ч е с к о й п о д а ч и з а я в о к , ч т о б ы в з а щ и т е
данных можно было использовать EFS.
1. Запустите машины S E R V E R 0 1 и S E R V E R 0 4 .
2. Войдите на S E R V E R 0 4 как а д м и н и с т р а т о р домена.
3. В программной группе Администрирование (Administrative Tools) запустите
Диспетчер сервера (Server Manager).
4. Разверните узел Р о л и С л у ж б ы с е р т и ф и к а ц и и Active D i r e c t o r y Ш а б л о н ы
сертификатов (RolesActive Directory Certificate S e r v i c e s C e r t i f i c a t e Tem-
plates). В панели сведений будут п е р е ч и с л е н ы все с у щ е с т в у ю щ и е с е р т и -
фикаты.
Занятие 2
Настройка и использование служб сертификации Active Directory
7 8 3
О т м е т и м , ч т о п о у м о л ч а н и ю в ы п о д к л ю ч е н ы к к о н т р о л л е р у д о м е н а ( в дан-
н о м с л у ч а е S E R V E R 0 1 ) . Е с л и в ы н е п о д к л ю ч е н ы , н е о б х о д и м о подключать-
с я к к о н т р о л л е р у д о м е н а , ч т о б ы п у б л и к о в а т ь ш а б л о н ы в A D DS. Д л я этого
с л е д у е т и с п о л ь з о в а т ь в п а н е л и Д е й с т в и я ( A c t i o n s ) к о м а н д у П о д к л ю ч и т ь с я
к д р у г о м у к о н т р о л л е р у д о м е и а , д о с т у п н о м у д л я з а п и с и ( C o n n e c t Т о A n o t h e r
W r i t a b l e D o m a i n C o n t r o l l e r ) .
5 . В п а н е л и с в е д е н и й в ы б е р и т е ш а б л о н Б а з о в о е ш и ф р о в а н и е E F S (Basic EFS),
щ е л к н и т е е г о п р а в о й к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у С к о п и р о в а т ь
ш а б л о н ( D u p l i c a t e T e m p l a t e ) .
6 . В ы б е р и т е в е р с и ю W i n d o w s S e r v e r д л я п о д д е р ж к и ( в д а н н о м случае W i n d o w s
S e r v e r 2 0 0 8 ) и щ е л к н и т е О К .
7. П р и с в о й т е ш а б л о н у и м я Basic EFS WS08 и в ы б е р и т е с л е д у ю щ и е о п ц и и ,
о с т а в и в в с е о с т а л ь н ы е п а р а м е т р ы п о у м о л ч а н и ю .
• Н а в к л а д к е О б р а б о т к а з а п р о с а ( R e q u e s t H a n d l i n g ) у с т а н о в и т е ф л а ж к и
А р х и в и р о в а т ь з а к р ы т ы й к л ю ч с у б ъ е к т а ( A r c h i v e Subject's E n c r y p t i o n
P r i v a t e K e y ) и И с п о л ь з о в а т ь р а с ш и р е н н ы й с и м м е т р и ч н ы й а л г о р и т м
д л я о т п р а в к и к л ю ч а в Ц С ( U s e A d v a n c e d S y m m e t r i c A l g o r i t h m T o Send
T h e K e y T o T h e С А ) . Х р а н и л и щ е з а к р ы т ы х к л ю ч е й обеспечивает и х
з а щ и т у в с л у ч а е у т е р и к л ю ч е й п о л ь з о в а т е л я м и .
• Н а в к л а д к е И м я с у б ъ е к т а ( S u b j e c t N a m e ) добавьте и н ф о р м а ц и ю в аль-
т е р н а т и в н о е и м я с у б ъ е к т а ( A l t e r n a t e S u b j e c t N a m e ) . Установите ф л а ж к и
И м я э л е к т р о н н о й п о ч т ы ( E – m a i l N a m e ) и И м я участника-пользователя
( U P N ) ( U s e r P r i n c i p a l N a m e ( U P N ) ) .
8 . Щ е л к н и т е О К .
9 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и ш а б л о н Агент в о с с т а н о в л е н и я E F S ( E F S
R e c o v e r y A g e n t ) и п р и м е н и т е к о м а н д у С к о п и р о в а т ь ш а б л о н ( D u p l i c a t e
T e m p l a t e ) .
10. В ы б е р и т е в е р с и ю W i n d o w s S e r v e r д л я п о д д е р ж к и ( в данном случае Windows
S e r v e r 2 0 0 8 ) и щ е л к н и т е О К .
11. З а д а й т е д л я ш а б л о н а и м я EFS Recovery Agent WS08 и назначьте следующие
о п ц и и ( о с т а л ь н ы е п а р а м е т р ы о с т а в ь т е п о у м о л ч а н и ю ) .
• Н а в к л а д к е О б щ и е ( G e n e r a l ) у с т а н о в и т е ф л а ж о к О п у б л и к о в а т ь серти-
ф и к а т в A c t i v e D i r e c t o r y ( P u b l i s h C e r t i f i c a t e In T h e Active Directory).
О т м е т и м , ч т о с р о к д е й с т в и я с е р т и ф и к а т а агента восстановления намно-
г о д о л ь ш е , ч е м с р о к д е й с т в и я с а м о г о с е р т и ф и к а т а EFS.
• Н а в к л а д к е О б р а б о т к а з а п р о с а ( R e q u e s t H a n d l i n g ) установите ф л а ж к и
А р х и в и р о в а т ь з а к р ы т ы й к л ю ч с у б ъ е к т а ( A r c h i v e Subject's Encryption
P r i v a t e K e y ) и И с п о л ь з о в а т ь р а с ш и р е н н ы й с и м м е т р и ч н ы й а л г о р и т м
д л я о т п р а в к и к л ю ч а в Ц С ( U s e A d v a n c e d S y m m e t r i c Algorithm T o Send
T h e K e y T o T h e С А ) . Х р а н и л и щ е з а к р ы т ы х к л ю ч е й обеспечивает и х
з а щ и т у в с л у ч а е у т е р и к л ю ч е й п о л ь з о в а т е л я м и .
• Н а в к л а д к е И м я с у б ъ е к т а ( S u b j e c t N a m e ) добавьте и н ф о р м а ц и ю в аль-
т е р н а т и в н о е и м я с у б ъ е к т а ( A l t e r n a t e Subject Name). Установите ф л а ж к и
[. 7 8 4 Службы сертификации Active Directory
Глава 15
И м я электронной почты (E-mail N a m e ) и И м я у ч а с т н и к а – п о л ь з о в а т е л я
( U P N ) ( U s e r Principal N a m e ( U P N ) ) .
12. Щ е л к н и т е О К .
13. В Диспетчере сервера ( S e r v e r M a n a g e r ) р а з в е р н и т е у з е л Р о л и С л у ж б ы
сертификации Active D i r e c t o r y И м я _ Ц С выдачи сертификатовШяблоны
сертификатов (RolesActive Directory C e r t i f i c a t e Services\Issuing СА Name
Certificate Templates).
14. Чтобы выдать сертификат, щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Ш а б л о -
н ы сертификатов (Certificate Templates), в ы б е р и т е к о м а н д у С о з д а т ь ( N e w )
и щелкните опцию Выдаваемый шаблон с е р т и ф и к а т а ( C e r t i f i c a t i o n T e m p l a t e
То Issue).
15. В диалоговом окне Включение ш а б л о н о в с е р т и ф и к а т о в ( E n a b l e C e r t i f i c a t e
Templates) нажмите к л а в и ш у Ctrl, в ы б е р и т е оба ш а б л о н а Basic E F S W S 0 8
и EFS Recovery Agent W S 0 8 и щ е л к н и т е О К .
Ваши шаблоны готовы к и с п о л ь з о в а н и ю .
Упражнение 3. Настройка автоматической подачи заявок
В этом у п р а ж н е н и и вы с п о м о щ ь ю г р у п п о в о й п о л и т и к и о т к о н ф и г у р и р у е т е
автоматическую подачу заявок. Д л я этого и с п о л ь з у е т с я о б ъ е к т г р у п п о в о й по-
литики Default Domain Policy, однако в среде с л е д у е т с о з д а т ь н а с т р а и в а е м ы й
объект G P O д л я всех н а с т р а и в а е м ы х п а р а м е т р о в , п р и м е н я е м ы х н а у р о в н е
целого домена.
1. Войдите на машину S E R V E R 0 1 к а к а д м и н и с т р а т о р д о м е н а .
2. В программной группе Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е
оснастку Управление г р у п п о в о й п о л и т и к о й ( G r o u p P o l i c y M a n a g e m e n t ) .
3. Разверните все узлы и локализуйте объект D e f a u l t D o m a i n Policy. Щ е л к н и т е
этот объект G P O правой к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у И з м е н и т ь
(Edit).
4 . Чтобы включить а в т о м а т и ч е с к у ю п о д а ч у з а я в о к д л я к о м п ь ю т е р о в , р а з -
верните у з е л К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и К о н ф и г у р а ц и я
WindowsIIapaMeTpbi б е з о п а с н о с т и П о л и т и к и о т к р ы т о г о к л ю ч а ( C o m p u t e r
C o n f i g u r a t i o n P o l i c i e s W i n d o w s S e t t i n g s S e c u r i t y S e t t i n g s P u b l i c K e y
Policies).
5. Дважды щелкните политику К л и е н т с л у ж б с е р т и ф и к а ц и и : а в т о м а т и ч е с к а я
подача заявок (Certificate Services Client – A u t o – E n r o l l m e n t ) .
6. Включите эту политику и установите ф л а ж о к О б н о в л я т ь с е р т и ф и к а т ы с ис-
текшим сроком действия и л и в с о с т о я н и и о ж и д а н и я и у д а л я т ь о т о з в а н н ы е
сертификаты (Renew Expired Certificates, U p d a t e P e n d i n g C e r t i f i c a t e s , And
Remove Revoked Certificates).
7. Установите ф л а ж о к У в е д о м л я т ь об о к о н ч а н и и с р о к а д е й с т в и я ( E n a b l e
Expiration Notification For Users) и оставьте значение 10 %, чтобы п о л ь з о в а -
тели получали уведомления об о к о н ч а н и и срока д е й с т в и я с е р т и ф и к а т о в .
Занятие 2 Настройка и использование служб управления правами Active Directory 808
8 . Щ е л к н и т е О К , ч т о б ы н а з н а ч и т ь э т и п а р а м е т р ы .
9 . З а к р о й т е о с н а с т к у G P M C .
В а ш а п о л и т и к а г о т о в а .
Упражнение 4. Включение СА для выдачи сертификатов
Т е п е р ь н е о б х о д и м о з а д а т ь д е й с т в и е п о у м о л ч а н и ю , к о т о р о е будет в ы п о л н я т ь с я
ц е н т р о м с е р т и ф и к а ц и и п р и п о л у ч е н и и з а п р о с о в н а в ы д а ч у с е р т и ф и к а т а .
1. В е р н и т е с ь к м а ш и н е S E R V E R 0 4 и в о й д и т е на н е е к а к а д м и н и с т р а т о р до-
м е н а .
2 . О т к р о й т е Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) .
3 . В у з л е A D C S щ е л к н и т е п р а в о й к н о п к о й м ы ш и и м я сервера С А C o n t o s o
и п р и м е н и т е к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .
4 . П е р е й д и т е н а в к л а д к у М о д у л ь п о л и т и к и ( P o l i c y M o d u l e ) и щелкните кноп-
к у С в о й с т в а ( P r o p e r t i e s ) .
5 . Д л я а в т о м а т и ч е с к о й в ы д а ч и с е р т и ф и к а т о в в ы б е р и т е п а р а м е т р Следовать
п а р а м е т р а м , у с т а н о в л е н н ы м в ш а б л о н е с е р т и ф и к а т а , е с л и о н и примени-
м ы , и н а ч е а в т о м а т и ч е с к и в ы д а в а т ь с е р т и ф и к а т ( F o l l o w T h e S e t t i n g s I n
T h e C e r t i f i c a t e T e m p l a t e , I f A p p l i c a b l e . O t h e r w i s e , Automatically Issue T h e
C e r t i f i c a t e ) . Щ е л к н и т е О К . В н о в ь щ е л к н и т е O K , чтобы закрыть диалоговое
о к н о С в о й с т в а ( P r o p e r t i e s ) .
В а ш ц е н т р с е р т и ф и к а ц и и г о т о в к р а б о т е и а в т о м а т и ч е с к и будет выдавать
с е р т и ф и к а т ы ш и ф р о в а н и я E F S п р и п о л у ч е н и и запросов о т пользователей
и л и к о м п ь ю т е р о в .
Резюме
• К о н ф и г у р а ц и я о т з ы в а ц е н т р о в в ы д а ч и с е р т и ф и к а т о в включает несколько
к о м п о н е н т о в . П е р в ы м я в л я е т с я п е р е ч е н ь т о ч е к распространения списка от-
з ы в а с е р т и ф и к а т о в ( C e r t i f i c a t e R e v o c a t i o n List, C R L ) , вторым – перекрытие
м е ж д у C R L и р а з н о с т н ы м и C R L ( D e l t a C R L ) , о т п р а в л я е м ы м и в ответ н а
з а п р о с ы . Т р е т и й к о м п о н е н т – р а с п и с а н и е , и с п о л ь з у е м о е д л я публикации
с п и с к о в C R L .
• В к а ч е с т в е ц е н т р а в ы д а ч и с е р т и ф и к а т о в н е о б х о д и м о и с п о л ь з о в а т ь С А
п р е д п р и я т и я , п о с к о л ь к у о н п о д д е р ж и в а е т а в т о м а т и ч е с к у ю подачу заявок,
а т а к ж е м о д и ф и к а ц и ю и п е р с о п а л н з а ц и ю ш а б л о н о в сертификатов.
