СОЗДАНИЕ ЦЕНТРА СЕРТИФИКАЦИИ (УДОСТОВЕРЯЮЩЕГО ЦЕНТРА) В WINDOWS SERVER 2008

Цель работы.

Приобретение практических навыков развертывания и настройки центра сертификации встроенными средствами Windows Server 2008.

Используемые программные средства.

Компьютер или виртуальная машина с ОС Windows Server 2008 и установленной и настроенной ролью Active Directory Domain Services (контроллер домена).

Описание работы.

Предыдущая лабораторная работа была посвящена вопросам использования цифровых сертификатов Х.509 конечными пользователями. В данной лабораторной работе рассматриваются возможности, которые предоставляет Windows Server 2008 по созданию собственно цензра сертификации (англ. Certification Authority, СА) в организации. Соответствующие службы присутствовали в серверных операционных системах семейства Windows, начиная с Windows 2000 Server.

В Windows Server 2008 для того, чтобы сервер смог работать как центр сертификации, требуется сначала добавить серверу роль Active Directory Certificate Services. Делается это с помощью оснастки Server Manager, которую можно запустить из раздела Administrative Tools в стартовом меню.

В Server Manager раскроем список ролей и выберем добавление роли (Add Roles), см. рис. 5.19.

Рис. 5.19.

В нашем примере роль добавляется серверу, являющемуся членом домена Windows. Так как это первый СА в домене, он в нашей сети будет играть роль корневого {англ. Root). Рассмотрим по шагам процедуру установки.

В списке доступных ролей выбираем требующуюся нам Active Directory Certificate Services и нажимаем Next (рис. 5.20). После этого запускается мастер, который сопровождает процесс установки.

В дополнение к обязательной службе «Certification Authority» могут быть установлены дополнительные средства, предоставляющие Web-интерфейс для работы пользователей с СА (рис. 5.21). Это может понадобиться, например, для выдачи сертификатов удаленным или внешним пользователям, не зарегистрированным в домене. Для выполнения данной лабораторной работы эта служба не понадобится.

Рис. 5.20.

Рис. 5.21.

Следующий шаг - определения типа центра сертификации. Он может быть корпоративным (англ. Enterprise) или отдельно стоящим (анг 7. Standalone), см. рис. 5.22. Разница заключается в том, что Enterprise СА может быть установлен только на сервер, являющийся членом домена, так как для его работы требуется служба каталога Active Directory. Standalone СА может работать вне домена, например, обрабатывая запросы пользователей, полученные через Web-интсрфсйс. Для выполнения лабораторной работы нужно выбрать версию Enterprise.

Рис. 5.22.

Следующее окно мастера позволяет определить, создается корневой (англ. Root) или подчиненный (англ. Subordinate) СА, см. рис. 5.23. В нашем примере развёртываемый СА является первым и единственным, поэтому выбираем вариант Root.

Рис. 5.23.

Рис. 5.24.

Создаваемый центр сертификации должен будет использовать при работе как минимум одну ключевую пару - открытый и секретный ключ (иначе он не сможет подписывать выпускаемые сертификаты). Поэтому для продолжения установки мастер запрашивает, нужно ли создать новый секретный ключ, или будет использоваться уже существующий (тогда надо будет указать, какой ключ использовать). В нашей лабораторной работе надо создать новый ключ. При этом потребуется выбрать «криптографический провайдер» (программный модуль, реализующий криптоалгоритмы) и алгоритм хеширования. Согласимся с настройками по умолчанию (рис. 5.24).

Задание 1.

На учебном сервере или виртуальной машине установите роль Active Directory Certificate Services с настройками, аналогичными рассмотренным выше.

Управлять работой СА можно из оснастки Certification Authority, которая должна появиться в разделе Administrative Tools (рис. 5.25).

Рис. 5.25.

Как видно на рис. 5.25, только что установленный Enterprise СА уже выпустил некоторое количество сертификатов для служебных целей, в частности, сертификаты для контроллеров домена. В свойствах данного сервера (пункт Properties контекстного меню) можно посмотреть сделанные настройки. Если выбрать закладку Policy Module и там нажать кнопку Properties, можно увидеть текущую настройку, определяющую порядок выдачи сертификатов (рис. 5.26).

Рис. 5.26.

В выбранном на рис. 5.26 случае, после запроса сертификат выдастся в соответствии с настройками шаблона сертификата (или автоматически, если настроек нет). Возможен вариант, когда запрос помещается в очередь ожидающих, и сертификат выпускается только после утверждения администратором.

Задание 2.

Ознакомьтесь с текущими настройками центра сертификации.

Опишите, какие шаблоны сертификатов {англ. Certificate Templates) определены, и для каких целей служит каждый тип сертификатов.

Посмотрите, какие сертификаты выпущены {англ. Issued Certificates), есть ли отозванные сертификаты (ангч. Revoked Certificates).

Теперь рассмотрим процесс получения цифрового сертификата. Сделать это можно с помощью оснастки Certificates, с которой мы познакомились в предыдущей работе. Если она не установлена, запустите консоль mmc и добавьте эту оснастку для текущей учетной записи.

Запустим оснастку, откроем раздел, посвященный сертификатам пользователя {англ. Personal) и запросим сертификат (рис. 5.27). Из перечня предложенных шаблонов сертификатов выберем User. Данный тип сертификатов может использоваться для шифрования файлов с помощью EFS (Encrypted File System - шифрующая файловая система), защиты электронной почты и аутентификации пользователей.

Рис. 5.27.

Для пользователя будет сгенерирована ключевая пара, и на основе данных, взятых из базы службы Active Directory и шаблона, будет выпущен сертификат, удостоверяющий открытый ключ. Этот ссртификат будет виден и в оснастке Certification Authority в списке выпущенных данным сервером.

Задание 3.

• 1. Запросите сертификат для одного из пользователей.
• 2. После получения изучите состав сертификата, его назначение.
• 3. Выполните экспорт сертификата (в оснастке Certificates выделите сертификат и в контекстном меню выберите All Tasks -> Export). Обратите внимание, что можно экспортировать только сертификат или сертификат вместе с секретным ключом (private key). Второй вариант надо использовать аккуратно, чтобы кто-нибудь не узнал ваш секретный ключ шифрования. Такой тип экспорта нужен, если вы хотите сохранить резервную копию ключевой пары и сертификата.

Реализация VPN в Windows Server 2008R2 претерпела значительные изменения, теперь успех зависит в том числе и от умения управлять сертификатами.

Сегодня большая редкость, когда все части компании находятся в одном здании, чаще офисы территориально размещены ближе к заказчикам в разных районах города или регионам страны. Единственным безопасным способом объединить их в единую сеть и обеспечить прозрачный доступ к информации это использовать технологию виртуальных частных сетей (ВЧС, англ. Virtual Private Network, VPN). Последнее реализовать можно разными средствами и способами, используя как программные так и аппаратные решения. Не остались в стороне разработчики Microsoft, в последней серверной версии Windows Server 2008 R2 поддерживается четыре протокола VPN (PPTP, L2TP, IPsec и SSTP) плюс технология . Все они используют для аутентификации цифровые сертификаты. Например, аутентификация не считается сильной стороной PPTP, но в Windows Server 2008R2 поддерживается расширение EAP-TLS, обеспечивающее наибольшую безопасность для PPTP. Вот для его работы нам и потребуется сертификат сервера. В корпоративной среде таких сертификатов может насчитываться десятки и сотни, поэтому разворачивают инфраструктуру управления открытыми ключами (PKI — Public Key Infrustructure). Рассмотрим, как заставить работать вместе VPN и PKI.

Создание сертификата

Служба сертификации Active Directory (Active Directory Certificate Services, AD CS) является одним из компонентов Active Directory и обеспечивает создание и управление сертификатами, которые могут быть использованы для всех технологий и сервисов (VPN, EFS, защита доступа к сети и других). Начиная с Windows Server 2008 пользователи и компьютеры, входящие в домен, могут получать сертификат при помощи механизма автоматической выдачи, что очень упрощает администрирование, ведь не нужно беспокоиться о его доставке. Роль службы сертификации Active Directory устанавливается стандартно, просто отмечаем флажком одноименный пункт.

На этапе выбора службы ролей будет предложено 6 пунктов, отмечаем как минимум Центр сертификации и Служба регистрации в центре сертификации через Интернет , мастер предложит дополнительно установить роль Веб-сервер IIS с поддержкой технологии ASP. Выбираем тип центра сертификации (ЦС) — Предприятие (Enterprice CA) или Автономный ЦС (Standalone CA). Первый — для создания сертификатов использует шаблоны и возможности службы Active Directory, для их распространения задействуется групповые политики. Генерируем закрытый ключ, указав имя ЦС и домена. По умолчанию используется алгоритм шифрования SHA1 с длиной ключа 2048 бит, ключ будет действителен в течение 5 лет (то есть до этого срока будут действительны и все выданные ЦС сертификаты). В большинстве случаев этого достаточно. После установки управление сертификатами производится из вкладки в Диспетчере сервера , консолей Центр сертификации и Центра регистрации работоспособности, ярлыки для запуска которых находятся в меню Администрирование и консоли PKI предприятия (PKIView ). Кроме этого для управления сертификатами следует добавить оснастки MMC – Сертификаты и Шаблоны сертификатов (Файл — Добавить или удалить оснастку).
Для удобства создания сертификатов используются шаблоны доступ к которым производится из консоли Шаблоны сертификатов . В списке их более двух десятков, назначение их понятно из названия и краткого описания. В контексте статьи нас интересует IPSec (для IKEv2) или RAS и IAS сервер (для EAP PPTP). Хотя теоретически можно выбрать любой, затем копируем шаблон через контекстное меню и редактируем его свойства в соответствии с назначением, результат сохраняем под любым удобным именем, чтобы в дальнейшем шаблон можно было бы использовать повторно. В частности во вкладке свойств сразу прописываем название группы, члены которой будут подключаться через VPN. В разрешениях обязательно ставим флажок “Автоматическая подача заявок ”
Теперь осталось запросить сертификат с VPN сервера. Это можно сделать через оснастку MMC Сертификаты или веб-интерфейс службы регистрации в центре сертификации (https://сайт/certsrv ). В процессе работы мастера выбираем шаблон сертификата, при необходимости редактируем свойства и нажимаем кнопку Заявка . В случае Enterprice CA сертификат автоматически устанавливается на сервер.

Разворачиваем службу маршрутизации и удаленного доступа

Типичная инфраструктура, необходимая для создания VPN на базе Windows Server 2008 R2 состоит из , сервера сертификатов, серверов RRAS (Routing and Remote Access, маршрутизации и удаленного доступа) и политики сети (NPS, Network Policy Server). Конкретное размещение этих компонентов зависит от топологии сети и предполагаемой нагрузки (количества пользователей). Все сервисы кроме контроллера домена Active Directory, который должен быть “спрятан” и хорошо защищен, вполне могут работать на одном компьютере. Сервер с ролью RRAS, должен обязательно иметь две сетевые карты. Кроме него для аутентификации можно задействовать любой внешний RADIUS сервер. Раздача внутренних IP-адресов для клиентов VPN клиентам производится средствами RRAS сервера или при помощи отдельного DHCP сервера. В последнем случае следует помнить, что RRAS может арендовать на DHCP сервере до 10 адресов одновременно.
Для пользователей, которые будут подключаться через VPN, создается отдельная группа в службе каталогов, а все серверы с перечисленными ролями должны быть подключены к домену. В свойствах учетной записи (консоль Active Directory – пользователи и компьютеры) следует активировать пункт Управление на основе политик удаленного доступа (Control Access Through NPS Network Policy) или Разрешить доступ (Allow Access) в меню Входящие звонки (Dial-in).
Сервер RRAS является одной из служб ролей Службы политики сети и доступа (NPS, Network Policy and Access Services). Отмечаем последний в окне установки роли в Диспетчере сервера, затем на этапе выбора служб роли ставим флажок в Роль службы маршрутизации и удаленного доступа. Если планируется использовать IPSec то следует активировать пункт Центр регистрации работоспособности (Health Registration Authority, HRA) компонент NAP, обеспечивающим безопасность для соединений по этому протоколу.
По окончании установки во вкладке Роли в Диспетчере сервера появится новый пункт. Также в меню Администрирование появится ярлык для запуска консолей Сервер политики сети и Маршрутизация и удаленный доступ .
Сервис установлен, но не настроен. В начале нужно его активировать. Запускаем консоль. По умолчанию подключение производится к локальной системе, к удаленной системе подсоединяемся выбрав ссылку Добавить сервер .
Выбираем в контекстном меню пункт Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access), появляется мастер предлагающий активировать один из пяти вариантов преднастройки сервера, четыре из них предоставляют готовые установки. По умолчанию предлагается пункт Удаленный доступ (VPN или модем) (Remote access (dial-up or VPN)), который подходит для большинства ситуаций применения VPN. Остальные “отвечают” за активацию сервиса NAT, связки VPN+NAT, соединение между двумя сетями и выборочную настройку. Если внешние клиенты должны получать доступ к серверу сертификации, может потребоваться и NAT, иначе SSTP соединение работать не будет. В таком случае выбираем Доступ к виртуальной частной сети (VPN) и NAT (Virtual Private Network (VPN) access and NAT).
Далее отмечаем внешний сетевой интерфейс, к которому будут подключаться VPN клиенты. После чего мастер предложит определиться с тем, как назначать IP-адреса клиентам: автоматически или вручную. Вариант Автоматически подходит для тех случаев, когда в сети имеется установленный и настроенный DHCP сервер. Иначе указываем Из заданного диапазона адресов (From a specified range of addresses) и вводим диапазон IP-адресов. Если в сети не используется RADIUS сервер, то аутентификацию пользователей можно производить средствами RRAS, для этого следующем окне оставляем значение Нет, использовать службу маршрутизации и удаленного доступа … (No, use Routing and Remote Access Server …). По окончании настроек появится сообщение, говорящее о том, что выбранный режим распределения IP-адресов потребует наличия агента DHCP-ретрансляции (DHCP Relay Agent). Просто принимаем это к сведению, никаких действий больше производить не нужно.
В окне консоли Маршрутизация и удаленный доступ стали доступны дополнительные вкладки, в которых настраивается маршрутизация (IPv4 и IPv6) и сетевые интерфейсы, список подключившихся клиентов и состояние портов и другие. Выбрав свойства сервера RRAS, мы получим еще ряд настроек на 7 вкладках. Здесь найдем все что установлено при помощи мастера, назначение большинства должно быть понятно, стоит просто пройтись по пунктам, чтобы разобраться со всеми возможностями сервера.
Самой интересной является вклада Безопасность . В частности в списке Поставщик службы проверки подлинности указывается RADIUS серверы (если используются). По умолчанию для PPTP используются механизмы проверки подлинности EAP и MS-CHAPv2, которые являются наиболее защищенными и поэтому рекомендуемыми. В случае необходимости, нажав кнопку Методы проверки подлинности, можно добавить поддержку PAP, CHAP, IKEv2 или разрешить анонимный вход (без проверки подлинности). Для протокола SSTP следует активировать флажок Использование HTTP и указать сертификат при помощи раскрывающегося списка Сертификат . Сертификата пока у нас нет, мы его сгенерируем далее.

Чтобы разрешить HTTP и HTTPS запросы на сервер сертификации, выбираем IPv4 -Преобразование сетевых адресов (NAT) и в контекстном меню, всплывающем по щелчку мышки на внешнем сетевом интерфейсе, выбираем его свойства. Теперь переходим в окно Службы и порты (Services and Ports) и устанавливаем флажки в пункты Веб-сервер (HTTP) и Безопасный веб-сервер (HTTPS). В диалоговом окне Изменить службу вводим IP-адрес сервера сертификации, находящегося во внутренней сети.

Создание политики NPS

Теперь нужно создать политики NPS в консоль управления Сервер политики сети . Это можно сделать несколькими способами — самый простой выбрать нужную конфигурацию в списке Стандартная конфигурация на заглавной странице. В контексте статьи это пункт RADIUS-сервер для подключений удаленного доступа или VPN , запустится очередной мастер. Самый важный шаг – правильный выбор позиции в списке Способ сетевого подключения (Network Connection method). В нашем случае “Подключение к виртуальной частной сети (VPN)”, в поле внизу вводим его имя. Затем следует указать расположение RADIUS клиентов (серверов сетевого доступа). После чего переходим к выбору методов аутентификации. По умолчанию здесь активирован только MS-CHAPv2, его отключаем и отмечаем флажок “Расширенный протокол проверки подлинности (EAP) ” и в списке Введите “Microsoft сертификат или смарт-карта” и нажав кнопку Настроить выбираем из списка сертификат. На следующем шаге указываем группы пользователей, которые будут участвовать в соединении через VPN. Настройки RRAS позволяют ограничить тип отправляемого/получаемого трафика, все они настраиваются на шаге “Задайте IP-фильтры”. Далее выбор механизма шифрования. Из трех вариантов представленных в списке, лучше всего оставить один MPPE 128 бит, который поддерживается всеми современными ОС. Настройки на шаге “Укажите имя Сферы” позволяют подменять имя домена учетной записи указанным значением. Это все настройки. Подтверждаем нажатием кнопки Готово.
Более тонко политики доступа задаются уже в отдельных меню. В результате своей работы мастер сгенерирует три вида политик: запросов на подключение, сетевые и работоспособности. Выбираем в каждой созданную политику и проверяем свойства.

Подключение клиентом

Теперь сервер готов подключению клиентов. Настройка клиентской части как в Windows Server 2008 R2, так и Windows Vista и 7 практически совпадает и очень проста. Документация Microsoft советует вначале настроить PPTP соединение, получить и установить сертификат сервера, и если все в порядке, переходить уже на L2TP или SSTP. Будем придерживаться этой рекомендации. Для создания VPN вызываем Центр управления сетями и общим доступом и запускаем мастера по ссылке Настройка нового подключения или сети. Расписывать его смысла не вижу, в процессе выбираем аутентификацию при помощи смарт-карт или сертификата. Тип VPN настраивается в окне свойств соединения и во вкладке Безопасность в списке Тип VPN (Type of VPN). По умолчанию режим установлен в Автоматически , но в большинстве случаев его лучше зафиксировать, указав конкретный протокол, например SSTP (Secure Socket Tunneling Protocol).

Здравствуйте, друзья!

Одним из преимуществ ЛОЦМАН:ПГС является применение цифровых подписей достоверно подтверждающих личность и роль подписавшего документ. Для создания цифровых подписей необходимы сертификаты выданные удостоверяющим центром сертификации.

На этапе внедрения не всегда хватает опыта для установки и настройки центра сертификации, чтобы Вам не пришлось собирать крупицы информации по просторам интернета, мы предлагаем подробно рассмотреть установку и настройку центра сертификации.

В наших примерах мы будем использовать контроллер домена на Microsoft Windows Server 2008 и клиент Microsoft Windows 7.

1. Для начала нам нужно добавить роль (Службы сертификации Active Directory ) на контроллере домена. Откройте Server Manager и выполните команду «Add Role» («Добавить роли» ).
2. Откроется Add Roles Wizard (Мастер добавления ролей ). Нажмите Next .
   
   
3. Выберите роль Active Directory Certification Services (Службы сертификации Active Directory) . Нажмите Next .
   
   
4. Next .
   
   
5. Проверьте, что отмечена служба Certification Authority (Центр сертификации) .
   
   
6. Вариант установки должен быть указан «Enterprise» .
   
   
7. Тип центра сертификации Root CA (Корневой ЦС) .
   
   
8. Создайте новый приватный ключ.
   
   
9. Укажите параметры шифрования, например:
   
   
   Если Вы меняете параметры, рекомендуем Вам ознакомиться с советами компании Microsoft по безопасности в части выбираемой длины ключа.
10. Проверьте имя и суффиксы центра сертификации, например:
    
    
11. Задайте срок действия сертификата, например:
    
    
12. Next .
    
    
13. Install.
    
    
14. Процесс установки…
    
    
15. Установка завершена. Close .
    
    
    Центр сертификации установлен. Теперь нужно создать шаблон сертификатов.
16. Перейдите в Certificate Templates (Шаблоны сертификатов ) и выполните команду Duplicate Template (Скопировать шаблон ) на существующем шаблоне, например User .
    
    
17. Выберите версию Windows Server минимально поддерживаемую ЦС.
    
    
    Не выбирайте Windows Server 2008, иначе при подписании созданным сертификатом документов в программных продуктах использующих.NET Framework 4.0 Вы получите сообщение «Указан неправильный тип поставщика (mscorlib)». Иными словами Вы не сможете использовать сертификат.
18. В открывшихся свойствах шаблона укажите имя и отключите Publish certificate in Active Directory (Опубликовать сертификат в Active Directory ):
    
19. Перейдите на вкладку Request Handling (Обработка запроса ) и измените цель на «Signature» («Подпись» ).
    
20. Проверьте параметры на вкладке Subject Name (Имя субъекта ).
    
21. На вкладке Security (Безопасность ) для группы Authenticated Users (Прошедшие проверку ) разрешите Enroll (Заявка ).
    
22. На вкладке Extensions (Расширения ) скорректируйте Application Policies (Политика применения ) .
    Выберите Document Signing (Подписывание документа ).
    
    ОК.
    Шаблон сертификата создан, теперь необходимо его опубликовать.
23. Перейдите в Certificate Templates (Шаблоны сертификатов ) и выполните команду «New -> Certificate Template to Issue» («Новый -> Выдать шаблон сертификата» ).
    
    
24. Выберите ранее созданный шаблон. ОК.
    
    
    Установка и настройка шаблона сертификатов закончена. Перейдем на клиента и попробуем получить сертификат.
25. На клиенте запустите Certificate Manager Tool выполнив команду certmgr.msc .
    
    
26. Перейдите в Personal (Личное ) и создайте запрос на получение сертификата, выполнив Request New Certificate (Запросить новый сертификат ).
    
    
27. Next .
    
    
28. Выберите политику Active Directory. Next .
    
    
29. В типах сертификатов отметьте ранее созданный шаблон.
    
    
    Если планируется использование нескольких сертификатов для одного пользователя, желательно присвоить имя запрашиваемому сертификату. Откройте свойства заявки.
30. На вкладке General (Общие ) укажите Friendly name (Понятное имя ).
    
    Сохраните и закройте свойства.
31. Enroll.
    
    
32. Заявка успешно завершена, сертификат получен.
    
    
33. В Certificate Manager Tool можно посмотреть параметры сертификата.
    
    
    Мы получили сертификат только для одного пользователя, а когда пользователей много, такой способ не очень удобен. Для облегчения процесса давайте настроим автоматическую раздачу сертификатов групповой политикой.
34. Для начала необходимо изменить свойства, созданного ранее шаблона, сделать его доступным для автоматической выдачи. Найдите созданный шаблон в Server Manager и откройте свойства.
    
    
35. Перейдите на вкладку Security (Безопасность ) и для группы Authenticated Users (Прошедшие проверку ) разрешите Autoenroll (Автозаявка ).
    
36. Следующий шаг — настроить групповую политику автоматической регистрации сертификатов для домена. Можно изменить политику по-умолчанию, но лучше создать новую, так мы сможем ограничить круг пользователей, охватываемых политикой. На домене выполните команду Create a GPO in this domain, and Link it there… (Создать ОГП в документе и связать его… ).
    
    
37. Введите имя групповой политики, например:
    
38. Отредактируйте созданную политику.
    
    
39. Перейдите в раздел «User configuration — Policies — Widows Settings — Security Settings — Public Key Policies» (Конфигурация пользователя — Политики — Конфигурация Windows — Параметры безопасности — Политики открытого ключа ) и откройте свойства Certificate Services Client — Auto-Enrollment (Клиент службы сертификации — автоматическая регистрация ).
    
    
40. Включите автоматическую регистрацию сертификатов и флажки:
    • Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты;
    • Обновлять сертификаты, использующие шаблоны сертификатов.

    

41. Закройте редактор групповой политики и в Server Manager при необходимости ограничьте круг пользователей или компьютеров, на которые будет применена политика. Как пример, ниже показана политика, которая будет распространена только на ПК DOMAIN\COMPUTER.
    Групповая политика создана, проверим как она работает.
42. На клиенте откройте CMD.exe с правам администратора и выполните команду «gpupdate /force /boot /logoff» или перезапустите ПК.
    
    
43. Сертификат должен быть автоматически запрошен и получен. Полученный сертификат можно увидеть в Certificate Manager Tool (пункт 33) или в Control Panel — Internet Options , вкладка Content — Certificates — Personal (Панель управления — Свойства обозревателя, вкладка Содержание — Сертификаты — Личные ).
    
    
    Это всё, что мы хотели сказать про установку и настройку центра сертификации. Спасибо, что читаете наш блог, до свидания!

Служба сертификации Active Directory (AD CS) является очень удобным и полезным инструментом в доменной сети. Данный компонент входит в состав Windows Server 2012 R2, позволяет бесплатно выдавать ssl-сертификаты внутри вашего домена и управлять ими. Такие сертификаты могут понадобиться при работе с почтовым сервером Microsoft Exchange, сеансами удаленных рабочих столов и т. д.

Службу AD CS не рекомендуется устанавливать на контроллер домена. В данной статье в качестве примера будут использоваться 3 сервера под управлением операционной системы Windows Server 2012 R2: DC-01 (контроллер домена), FS-01 (сервер, на который будет установлена служба AD CS) и TS-00 (сервер, для которого мы будем получать ssl-сертификат).

1. Заходим в Диспетчер серверов на сервере FS-01:

Выбираем пункт «Управление» и далее «Добавить роли и компоненты».

2. Откроется Мастер добавления ролей и компонентов. На вкладке «Тип установки» выбираем пункт «Установка ролей и компонентов»:

Нажимаем «Далее».

3. На вкладке «Выбор сервера» отмечаем пункт «Выберите сервер из пула серверов» и в области «Пул серверов» выбираем конечный сервер для установки Active Directory Certificate Services:

В моем случае это локальный сервер FS-01 с ip-адресом 192.168.1.22. Нажимаем «Далее».

4. На вкладке «Роли сервера» выбираем роль «Службы сертификатов Active Directory»:

В новом окне предстоит добавить компоненты, необходимые для Службы сертификатов Active Directory:

Ставим галочку напротив пункта «Включить средства управления (если применимо)» и нажимаем кнопку «Добавить компоненты». После этого вновь откроется Мастер добавления ролей и компонентов на вкладке «Роли сервера», где необходимо нажать кнопку «Далее».

5. На вкладке «Компоненты» оставляем все настройки по умолчанию и нажимаем «Далее»:

6. Информационная вкладка Службы сертификации Active Directory:

На данной вкладке представлены краткие сведения о Службах сертификации Active Directory. В частности сообщается о том, что нельзя менять имя и параметры домена компьютера, на котором установлена AD CS. После прочтения информации нажимаем «Далее».

7. На вкладке «Службы ролей» выбираем службу «Центр сертификации»:

Нажимаем «Далее».

8. На вкладке «Подтверждение» можно ознакомиться со списком всех служб ролей и компонентов, которые будут установлены на данном сервере:

Для изменения настроек воспользуйтесь кнопкой «Назад». Если все правильно, нажимаем кнопку «Установить». Перед установкой рекомендую активировать пункт «Автоматический перезапуск конечного сервера, если потребуется», чтобы при необходимости сервер смог автоматически перезагрузиться в процессе установки службы сертификации AD CS.

9. Начнется установка службы сертификации AD CS и других служб ролей и компонентов:



Дождитесь завершения установки. Данное окно можно закрыть.

10. Когда установка AD CS завершится, перейдите в Диспетчер серверов, нажмите на «флажок» с восклицательным знаком в желтом треугольнике и выберите пункт «Настроить службы сертификатов Active Directory»:

11. Откроется окно «Конфигурация службы сертификатов Active Directory». На вкладке «Учетные данные» укажите учетные данные пользователя для настройки служб роли:

Обратите внимание, что для установки служб ролей «Автономный центр сертификации», «Служба регистрации в центре сертификации через Интернет» и «Сетевой ответчик» пользователь должен быть членом локальный группы «Администраторы». Для установки служб ролей «Центр сертификации предприятия», «Веб-служба политик регистрации сертификатов», «Веб-служба регистрации сертификатов» и «Служба регистрации на сетевых устройствах» пользователь должен быть членом доменной группы «Администраторы предприятия». Выберите пользователя при помощи кнопки «Изменить» и нажмите «Далее».

12. Выбор службы роли для настройки (Центр сертификации):

На вкладке «Службы ролей» выбираем «Центр сертификации» и нажимаем «Далее». Обратите внимание, что необходимо сначала настроить службу роли «Центр сертификации», а затем другие службы, т. е. одновременный выбор нескольких служб на данной вкладке не поддерживается.

13. Вариант установки Центра сертификации:

На вкладке «Вариант установки» выберите пункт «ЦС предприятия» и нажмите «Далее».

14. Тип Центра сертификации:

На вкладке «Тип ЦС» выбираем пункт «Корневой ЦС» и нажимаем «Далее».

15. Тип закрытого ключа:

На вкладке «Закрытый ключ» выбираем пункт «Создать новый закрытый ключ» и нажимаем «Далее».

16. Параметры шифрования:

На вкладке «Шифрование» предлагаю параметры «Поставщик служб шифрования» (RSA#Microsoft Software Key Storage Provider) и «Длина ключа» (2048) оставить по умолчанию, а значение «Хэш-алгоритма для подписывания сертификатов, выдаваемых этим ЦС» указать «SHA256». Нажимаем «Далее».

17. Имя Центра сертификации:

На вкладке «Имя ЦС» можно указать общее имя для этого центра сертификации, суффикс различающегося имени и предпросмотр различающегося имени. В моем случае все значения остаются по умолчанию. Нажимаем «Далее».

18. Срок действия сертификата:

На вкладке «Срок действия» необходимо указать период действия сертификата для данного Центра сертификации. Обратите внимание, что срок действия сертификата для Центра сертификации должен превышать срок действия сертификатов, которые он будет выдавать. Нажимаем «Далее».

19. Расположение базы данных сертификатов:

На вкладке «База данных сертификатов» укажите расположение базы данных сертификатов и журнала базы данных сертификатов. В моем случае значения остаются по умолчанию. Нажимаем «Далее».

20 Подтверждение установки Центра сертификации:

На данной вкладке можно ознакомиться со всеми выбранными настройками и при необходимости их изменить, воспользовавшись кнопкой «Назад». Если все правильно, нажимаем «Настроить».

21. Настройка Центра сертификации выполнена успешно:

Если процесс завершился без ошибок, нажимаем кнопку «Закрыть».

22. Переходим в Диспетчер серверов:

Установка Службы сертификации Active Directory (AD CS) выполнена успешно.

Итак, мы имеем установленный и настроенный корневой центр сертификации. Теперь надо настроить подчиненный центр сертификации. Делать мы это будем не на контроллере домена, а на другой машине с установленной Windows Server 2008 R2 Enterprise и введенной в домен. Для этого в настройках корневого центра сертификации мы ставили crl вместо www, чтобы когда в сети появится веб-сервер, запросы шли на центр сертификации.

Перед тем, как что-то делать, надо сохранить сертификаты корневого СА на нашем будущем Enterprise CA. Заходим на сервер администратором, добавляем группу Enterprise Admins в локальные админы сервера, после чего заходим как Enterprise Admin. Итак, копируем с папки C:\WINDOWS\system32\certsrv\CertEnroll файлы с расширениями *.crl *.crt на наш центр сертификации, к примеру, в d:\certs. Далее, заходим на наш центр сертификации, открываем командную строку от администратора, и пришем:
cd d:\certs
certutil -addstore -f Root RootCACertificateFile.crt
certutil -addstore -f Root RootCACRLFile.crl
где RootCACertificateFile и RootCACRLFileимя файла сертификата и crl.
Теперь необходимо опубликовать сертификаты в AD:
certutil -dspublish -f RootCACertificateFile.crt RootCA
certutil -dspublish -f rootca.crl
(Если при выполнении последней команды Вам выдаст ошибку о том, что CRL невозможно опубликовать из-за того, что Вы не правильно ввели имя домена, то надо будет ввести на корневом центре сертификации такую команду:
certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=com
и перевыдать CRL. Проверено, так как сам наступил на эти грабли:))

Вот теперь точно приступаем к установке.
Для начала необходимо сделать файл c:\windows\CAPolicy.inf:

Signature="$Windows NT$"

Policies=BubnilaCPS

NOTICE=Horns And Hooves Team CPS
URL=http://crl.bubnila.org/CPS/CPStatement.asp

renewalkeylength=2048
RenewalValidityPeriodUnits=5
RenewalValidityPeriod=years

CRLPeriod=7
CRLPeriodUnits=days
CRLOverlapPeriod=4
CRLOverlapUnits=hours
CRLDeltaPeriod=24
CRLDeltaPeriodUnits=hours

Empty=True

Empty=True

Теперь можно приступать к установке.
1. Проверяем, что сервер введен в домен.
2. Проверяем корректность даты и времени.
3. Жмем Start, Administrative Tools, и кликаем Server Manager.
4. В секции Roles Summary, жмем Add Roles.
5. На странице Before You Begin, выбираем Skip This Page By Default, и жмем Next.
6. На странице Select Server Roles, выбираем Active Directory Certificate Services, жмем Next.
7. На странице Introduction To Active Directory Certificate Services жмем Next.
8. На странице Role Services, выбиваем Certification Authority, далее выбираем Certification Authority Web Enrollment.
9. В окне Add Roles Wizard, которое предлагает поставить Web Server (IIS) role,
нажимаем Add Required Role Services.
10. На странице Select Role Services жмем Next.
11. В Specify Setup Type выбираем Enterprise, и нажимаем Next.
12. В Specify CA Type выбираем Subordinate CA, нажимаем Next.
13. В окне Private Key нажимаем Create A New Private Key, нажимаем Next.
14. В Configure Cryptography For CA, выбиваем следующее, и жмем Next.
❑ Select a cryptographic service provider (CSP): RSA#Microsoft Software Key
Storage Provider
❑ Key character length: 2048
❑ Select the hash algorithm for signing certificates issued by this CA: sha256 (если корневой центр сертификации настроен под Windows 2003/2000, то надо выбрать sha1)
15. На странице Configure CA Name, вводим следующую информацию и жмем Next.
❑ Common name for this CA: Bubnila Enterprise CA (у каждого свое)
❑ Distinguished name suffix: DC=HornsAndHooves,DC=com
16. На странице Request Certificate From A Parent CA, выбираем Save a Certificate Request To File And Manually Send It Later To A Parent CA, подтверждаем имя по умолчанию, и жмем Next.
17. На странице Configure Certificate Database, вводим следующую информацию, и жмем Next:
❑ Certificate database: D:\CertDB
❑ Certificate database log: D:\CertLog
(Согласно M$ Best Practicies, эти папки должны находиться на разных физических дисках, но так как это все на виртуалке, то особой разницы нет...)
18. На странице Web Server (IIS) жмем Next.
19. В Select Role Services принимаем предложенный вариант установки и жмем Next.
20. После проверки правильности введенной информации на странице Confirm Installation Selections смело жмем Install.
21. На странице Installation Results, мы видим, что установка не завершена, так как сартификат данного сервера еще не подписан. Короче, жмем Close.
22. Открываем диск C:\.
23. Копируем FABINCCA03.fabrikam.com_Fabrikam Corporate Issuing CA.req (на самом деле, у Вас он будет называться по другому) на флешку, или по сети на root CA.

Следующие действия будем делать на RootCA:

1. Вставляем флешку в RootCA, или забираем файл по сети.
2. Из Start menu, Administrative Tools, заходим в Certification Authority.
3. В дереве консоли, right-click по Fabrikam Corporate Policy CA, выбираем All Tasks, после чего выбираем Submit New Request.
4. В диалоговом окне Open Request File, в File Name box, выбираем диск D:\, на котором выбираем файо FABINCCA03.fabrikam.com_Fabrikam Corporate Policy CA.req, и жмем Open.
5. В дереве консоли, разкрываем BubnilaRootCA, и кликаем Pending
Requests.
6. В правой панели, right-click по запросу, выбираем All Tasks, и выбираем
Export Binary Data.
7. В диалоговом окне Export Binary Data, в Columns That Contain Binary Data
необходимо выбрать из выпадающего списка Binary Request, и нажать OK.
8. Проверяем правильность запроса на сертификата:
❑ Verify that the subject name is Fabrikam Corporate Issuing CA.
Subject:
CN=Fabrikam Corporate Issuing CA
O=Fabrikam Inc.
C=US
❑ Ensure that public key length is 2048 bits.
Public Key Length: 2048 bits
❑ Ensure that the basic constraints indicate Subject Type=CA.
Basic Constraints
Subject type=CA
❑ Verify that the Signature Algorithm is SHA256RSA.
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
❑ Verify that the signature matches the public key.
Signature matches Public Key
9. Закрываем окно.
10. В правой части окна, right-click по ожидающему SubCA сертификату, выбираем All Tasks, и кликаем Issue.
11. В дереве консоли, кликаем Issued Certificates.
12. В правой части окна, double-click по выданному сертификату.
13. В диалоговом окне Certificate, выбираем вкладку Details.
14. На вкладке Details, жмем Copy To File.
15. В Certificate Export Wizard, жмем Next.
16. На странице Export File Format, кликаем Cryptographic Message Syntax Standard—
PKCS #7 Certificates (.P7B), выбираем чекбокс Include All Certificates In The Certification Path If Possible, и жмем Next.
17. На странице File To Export, в поле File Name пишем D:\issuingca.p7b, и жмем Next.
18. На странице Completing The Certificate Export Wizard жмем Finish.
19. В Certificate Export Wizard жмем OK.
20. В окне Certificate, жмем OK.
21. Закрываем консоль Certification Authority.
22. Копируем файл для переноса на флешку, или прямо на EnterpriseCA по сети.

Теперь, когда мы получили экспортированный сертификат, надо завершить установку нашего Enterprise CA, внедрив сертификат. Для этого надо:

1. Скопировать на сервер файл PKCS#7.
2. Из меню Start, click Administrative Tools, и click Certification Authority.
3. В дереве консоли, right-click Bubnila Issuing CA, выбрать All Tasks, и click Install CA Certificate.
4. В окне Select File To Complete CA Installation, в строке File Name, вводим
С:\issuingca.p7b, и click Open.
5. В дереве консоли, right-click Fabrikam Corporate Issuing CA, выбираем All Tasks, и click Start Service.

После того, как сервис запустился, установку можно считать законченой. Теперь можно переходить к настройке. Но это уже будет в следующей части.