Использование инструментов мониторинга сертификатов с Windows Server 2008

Опубликовано: 9 Апреля, 2023


Введение


Одной из основных целей администрирования сертификатов является достижение повышенного уровня безопасности на вашем предприятии. К управлению идентификацией и доступом следует относиться очень серьезно. В этой статье мы очень кратко рассмотрим, что такое центры сертификации, а затем рассмотрим важные аспекты использования конкретных инструментов мониторинга сертификатов, таких как PKIView.msc и certutil.exe, в Windows Server 2008. Важно знать, как сертификаты влияют на вашу безопасность и если они исправны или требуют обслуживания, например, замены. Сертификат с истекшим сроком действия может отображать запрос службы, чтобы показать, что ваша безопасность слаба или отсутствует; много раз это может даже спровоцировать нападение. Это также может указывать на то, что вы не позаботились о своих обновлениях, у вас нет процедуры обслуживания и вы не получаете в режиме реального времени электронные или текстовые оповещения об ошибках или что-то еще хуже. В этой статье рассказывается о важности использования сертификатов и о том, как их отслеживать с помощью Windows Server 2008.


Сертификаты и безопасность


Безопасность — это не маленькая проблема. На самом деле безопасность необходимо учитывать на всех уровнях инфраструктуры, от самых простых локальных сетей до того, как веб-сервер позволит внешним пользователям получать доступ к веб-странице через соединение Secure Sockets Layer (SSL). Каждый аспект безопасности должен быть тщательно изучен. Это верно при развертывании центра сертификации (CA) или инфраструктуры открытых ключей (PKI). Повышение уровня безопасности вашей сети и систем поможет защитить вас от угроз, рисков и возможных атак. При использовании Windows Server 2008 это достигается с помощью ряда различных методов, включая сертификаты безопасности, различные формы шифрования и огромное количество технологий, доступных в наборе инструментов и функций, доступных в Windows Server 2008. Вы можете использовать Мастер добавления ролей для настройки ЦС в Windows Server 2008.


Установка ADCS


Вы можете установить и настроить службы сертификации, запустив мастер добавления ролей. Выбрав Службы сертификатов Active Directory (ADCS) в списке Роли сервера, вы позволяете Windows Server 2008 действовать в качестве ЦС или Центра сертификации. ADCS используется для создания ЦС или центра сертификации для выпуска и управления сертификатами для различных приложений.


Изображение 23913
Рисунок 1: Настройка служб сертификатов Active Directory


Вы обнаружите, что многие службы безопасности на основе Windows работают с ADCS. Чтобы отслеживать сертификаты, вам необходимо понимать, что вы отслеживаете. Далее мы рассмотрим инфраструктуру открытых ключей.


Что такое PKI?


Всякий раз, когда организация использует такие технологии, как смарт-карты, IPsec, Secure Sockets Layer (SSL), цифровые подписи, шифрованную файловую систему (EFS) или другие технологии, основанные на использовании определенных уровней шифрования, организации необходимо создать общедоступную систему. шифрования и идентификации. PKI, или инфраструктура открытых ключей, используется, чтобы гарантировать, что все, кто использует систему, действительно авторизованы для доступа к ней. Использование PKI позволит использовать цифровые сертификаты между аутентифицированными и доверенными объектами. Сертификат — это не что иное, как официальный электронный документ, который помогает клиенту, просматривающему сертификат, проверить подлинность хоста с сертификатом. Наиболее распространенной причиной использования системы сертификатов является Secure Sockets Layer (SSL), который проверяет личность пользователя и безопасно передает данные. Сертификаты в PKI используются для защиты данных и управления идентификационными данными ресурсов внутри и за пределами организации. Центр сертификации (CA) является частью инфраструктуры открытых ключей (PKI), которая отвечает за проверку сертификатов, выдачу сертификатов и отзыв сертификатов. Как минимум, предприятие, использующее службы сертификатов Microsoft Active Directory (ADCS), должно иметь хотя бы один центр сертификации, который выдает и отзывает сертификаты. В целях избыточности в организации обычно развертывается более одного ЦС. Кроме того, центры сертификации могут быть как внутренними, так и внешними и могут существовать на нескольких различных уровнях, выступая в качестве корневого центра сертификации или центра сертификации только для выдачи. Существует множество различных способов развертывания вашего ЦС, поэтому разумно понять ваши потребности перед развертыванием.


Использование инструментов мониторинга сертификатов


В состав Windows Server 2008 входят два важных и полезных инструмента для мониторинга сертификатов: PKIView.msc и удобный инструмент certutil.exe.


PKIView.msc


При использовании инструмента PKIView.msc вы откроете MMC для PKI. Эта команда запустит инструмент PKI Health, чтобы вы могли отслеживать все действия и работоспособность вашей текущей PKI. PKIView также будет отслеживать расширения доступа к авторитетной информации (AIA) и распространения CRL (CDP), чтобы убедиться, что все идет гладко и в обслуживании нет перебоев. PKIView.msc впервые появился в наборе ресурсов Windows Server 2003. Вы можете загрузить это из загрузок Microsoft, а затем быстро запустить. PKIView может помочь вам проверить состояние вашей PKI, следить за ее работоспособностью и общей активностью. Существует несколько визуальных индикаторов, которые помогут вам получить представление об общем состоянии вашей PKI. Например, зеленая галочка будет означать, что ваша PKI исправна. Желтый предупреждающий знак указывает на то, что срок действия сертификата или списка отзыва сертификатов (CRL) близок к истечению. Красная ошибка указывает на невозможность доступа к расположениям CRL или доступа к авторитетной информации (AIA). Красные ошибки также могут указывать на то, что ЦС не является доверенным.


Примечание:
 PKIView изначально был частью набора ресурсов Windows Server 2003 и назывался инструментом PKI Health. Более новая версия (собственная оснастка MMC) теперь является частью ОС. Новейшая версия также поддерживает Unicode.


certutil.exe


Команда утилиты сертификации (certutil.exe) позволяет определить действительность выданных сертификатов с помощью двух переключателей:



Использование переключателя -verify -urfetch FileName позволяет увидеть вывод URL-адреса для каждого сертификата. Если это удастся, он отобразит «проверенный» вывод. Если это не удается, он отобразит вывод «ошибка».



Выходные данные -viewstore позволяют просмотреть содержимое определенного хранилища или объекта доменных служб Active Directory, что позволяет выбрать просмотр всех сертификатов в этом хранилище.


Если команда certutil работает неправильно или у вас нет сертификата, вы получите сообщение об ошибке.


Проверка CRL важна и является основной функцией мониторинга сертификации. Очевидно, вы не хотите, чтобы срок действия сертификата истек без его правильной замены или обновления. CRL или список отозванных сертификатов — это список сертификатов, которые необходимо отозвать, как следует из названия. Проверка CRL используется для проверки того, действителен ли доверенный сертификат. Этот инструмент имеет решающее значение для точного определения работоспособности вашего сертификата. Это необходимо сделать обязательно, потому что certutil.exe проверит CRL ЦС, тогда как оснастка MMC Certificate не проверит CRL сертификатов.


Использование certreq


Certreq можно использовать для запроса сертификатов. Вы можете использовать certreq для запроса центра сертификации (ЦС) и создания нового запроса на сертификат.


Резюме


В этой статье мы рассмотрели, как Windows Server 2008 работает со службами сертификации, а также какие инструменты можно использовать для мониторинга. Мы также рассмотрели использование как консоли PKIView.msc, так и инструмента certutil.exe на основе командной строки.


Ссылки и ресурсы



  • Поддержка Майкрософт
  • Информация Microsoft об PKI
  • Усовершенствования PKI в Windows
  • Проблемы с автоматической регистрацией с помощью инструмента certutil.exe
  • Настройка расширений CDP и AIA
  • Инструменты комплекта ресурсов Windows Server 2003
  • Использование шаблонов сертификатов
  • Лучшие практики шаблонов сертификатов
  • Концепции шаблонов сертификатов
  • Устранение неполадок с шаблонами сертификатов
  • Устранение неполадок со статусом и отзывом сертификата
  • Пакет управления службами сертификатов Active Directory для Windows Server 2008 для Microsoft OpsMgr 2005
  • Понимание структуры CERT_TRUST_STATUS
  • Настройка службы регистрации сетевых устройств для Windows Server 2008 с пользовательскими сертификатами
  • Закалка ADCS
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023