Проверка отзыва сертификата в тестовых лабораториях
Введение
Я помню трудности, через которые мы прошли, создавая испытательные лаборатории много лет назад. В 1990-х компьютеры были далеко не такими дешевыми, как сегодня, и требовалось много денег, чтобы собрать даже несколько компьютеров для тестовой лаборатории. Иногда нам приходилось проводить тестирование в производственной среде просто потому, что мы не могли позволить себе оборудование для надлежащей тестовой среды. Как вы понимаете, это иногда вызывало плач, причитания и скрежет зубов. Но выбор был не так уж велик, потому что программное обеспечение для создания образов дисков либо не было доступно, либо было не очень надежным, а также не существовало жизнеспособного решения для виртуализации серверов. Мы сделали все возможное с тем, что у нас было.
Мир сильно изменился за последние 15 лет — и, по крайней мере, в чем-то к лучшему. Одно из наиболее значительных изменений связано с виртуализацией рабочих столов и серверов. Используя такие инструменты, как VMware или Microsoft Hyper-V, теперь мы можем приобрести умеренно мощный сервер с процессором Nehalem и 16 ГБ оперативной памяти и проводить очень сложные тесты, которые могут точно имитировать наши физические развертывания.
Однако при работе с тестовыми лабораториями могут возникнуть проблемы, и PKI всегда находится в верхней части этого списка. Инфраструктура открытых ключей является важным фактором в любой тестовой лаборатории, поскольку сертификаты используются во многих сценариях при тестировании продуктов и технологий Майкрософт. И одна из самых сложных частей PKI — доступность списка отзыва сертификатов (CRL). Это связано с тем, что для некоторых решений требуется успешная проверка списка отзыва сертификатов, а для некоторых нет. Проблема в том, что документация Microsoft не всегда ясно дает понять, что имеет место для конкретного сценария, поэтому в конечном итоге вам приходится гадать, требуется ли это или нет (или, что еще хуже, пройти весь процесс настройки и обнаружить, что это не так). т работать).
Один из подходов заключается в отключении ошибок проверки CRL путем удаления любых ссылок на точку распространения CRL в сертификатах, доставляемых клиентам. Когда вы сделаете это, проверки CRL не завершатся ошибкой, потому что проверять нечего. Конечно, это снижает безопасность, поэтому обычно вы не захотите делать это в производственной среде, но на испытательном стенде, где доверие не является проблемой, есть несколько способов сделать это.
Если вы не хотите отключать проверку CRL в своей среде, вы можете создать свои собственные точки распространения сертификатов, которые можно использовать в тестовой лаборатории, а затем настроить сервер сертификатов для включения этих DP CRL в выдаваемые ими сертификаты.
Сначала мы опишем два метода отключения проверки CRL.
Отключение проверки CRL
В первом методе мы настраиваем центр сертификации так, чтобы он не включал информацию о расположении точки распространения CRL в выдаваемые им сертификаты. Для этого перейдите в меню «Администрирование» и нажмите «Центр сертификации».
фигура 1
В консоли Центра сертификации щелкните правой кнопкой мыши имя сервера на левой панели и выберите пункт Свойства.
фигура 2
В диалоговом окне «Свойства» сервера сертификатов щелкните вкладку «Расширения». Обратите внимание, что в раскрывающемся списке «Выбрать расширение» указано «Точка распространения CRL (CDP)». Под ним вы увидите четыре локации. Обратите внимание, что выбрано первое местоположение. Убедитесь, что ни один из флажков в нижней части диалогового окна не установлен. НЕ должно быть галочки в пунктах Опубликовать CRL в этом расположении и Опубликовать разностные CRL в этом расположении.
Рисунок 3
Щелкните вторую запись в списке, как показано на рисунке ниже. Убедитесь, что НЕТ флажков в следующих флажках: Публиковать CRL в этом расположении, Включать в расширение CDP выданных сертификатов и Публиковать разностные CRL в этом расположении.
Рисунок 4
Щелкните третью запись в списке. Убедитесь, что НЕТ флажков в следующих местах: Включить в список отзыва сертификатов. Клиенты используют это для поиска местоположений Delta CRL, включения в расширение CDP выданных сертификатов и включения в расширение IDP выданных CRL.
Рисунок 5
Нажмите на четвертое место. Убедитесь, что ни в одном из флажков нет галочек, как показано на рисунке ниже.
Рисунок 6
Нажмите OK после внесения изменений. Вас могут попросить перезапустить службы сертификации — если это так, сделайте это.
Описанная выше процедура позволяет настроить ее таким образом, чтобы все сертификаты, поставляемые ЦС, исключали эту информацию. Но, возможно, вы хотите сделать это только для определенного шаблона сертификата, а не для всех сертификатов, выпущенных ЦС. В этом сценарии вы можете создать или настроить шаблон сертификата, чтобы исключить информацию DP CRL для сертификатов, выпущенных с использованием этого конкретного шаблона.
Чтобы увидеть, как это работает, нажмите «Пуск», а затем в поле «Поиск» введите MMC и нажмите клавишу ВВОД.
Рисунок 7
В новой MMC откройте меню «Файл » и выберите «Добавить/удалить оснастку…». Добавьте оснастку «Шаблоны сертификатов », как показано на рисунке ниже.
Рисунок 8
В консоли «Шаблоны сертификатов» щелкните узел «Шаблоны сертификатов» на левой панели. В правой панели консоли щелкните правой кнопкой мыши шаблон сертификата и выберите «Свойства».
Рисунок 9
В диалоговом окне «Свойства» шаблона сертификата щелкните вкладку «Сервер». На вкладке Сервер вы увидите параметр Не включать информацию об отзыве в выданные сертификаты (применимо только для Windows Server 2008 R2 и более поздних версий). Если вы выберете этот параметр, сертификаты, выпущенные с использованием этого шаблона, не будут включать информацию об отзыве сертификата, и проверки отзыва сертификата для этих сертификатов не завершатся ошибкой.
Рисунок 10
Создание точки распространения CRL для вашей тестовой лаборатории
Если вы не хотите отключать проверку CRL в своей среде, вы можете создать свои собственные точки распространения сертификатов, которые можно использовать в тестовой лаборатории, а затем настроить сервер сертификатов для включения этих DP CRL в выдаваемые ими сертификаты. Первый шаг — настроить CA так, чтобы он указывал на точку распространения CRL, которую вы собираетесь создать. Второй общий шаг — создать CRL DP и опубликовать CRL в расположении CRL DP.
Начнем с настройки параметров точки распространения CRL в центре сертификации. Поскольку шаги по настройке ЦС и самой точки распространения CRL очень подробные и точные, мы перейдем к пошаговому подходу, чтобы быть уверенными, что не пропустим ни одного шага.
- На компьютере, на котором размещается Центр сертификации, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
- В левой панели консоли щелкните правой кнопкой мыши имя сервера и выберите «Свойства».
- В диалоговом окне «Свойства» перейдите на вкладку «Расширения».
- На вкладке «Расширения» нажмите «Добавить». В поле Location введите URL-адрес, который клиенты могут использовать для подключения к точке распространения CRL с помощью HTTP-соединения. В этом примере мы будем использовать http://crl.corp.contoso.com/crld/. Убедитесь, что у вас есть запись DNS, которая сопоставляет это полное доменное имя с сервером, на котором размещена точка распространения CRL. Мы создадим путь и привяжем его к веб-сайту позже в этой статье.
- В поле «Переменная» нажмите <CANName> и нажмите «Вставить».
- В поле «Переменная» нажмите <CRLNameSuffix> и нажмите «Вставить».
- В поле «Переменная» нажмите <DeltaCRLAllowed> и нажмите «Вставить».
- В поле «Расположение» введите .crl в конце строки «Расположение» и нажмите «ОК».
Рисунок 11
- Выберите Включить в CRL. Клиенты используют это для поиска местоположений разностных CRL и включения в расширение CDP выданных сертификатов, а затем нажимают «Применить». Нажмите Нет в диалоговом окне, предлагающем перезапустить службы сертификатов Active Directory.
- Щелкните Добавить.
- В поле Расположение введите UNC-путь к общему файловому ресурсу, на котором будет размещена точка распространения CRL. В этом примере мы будем использовать \app1crldist$, где app1 — это имя сервера, на котором будет размещаться точка распространения CRL, а путь к общему ресурсу, на котором размещается DP CRL, — crldist$. Мы настроим эти местоположения на следующем общем шаге.
- В Переменная щелкните <CANName>, а затем щелкните Вставить.
- В Переменная щелкните <CRLNameSuffix>, а затем щелкните Вставить.
- В Переменная щелкните <DeltaCRLAllowed>, а затем щелкните Вставить.
- В Location введите .crl в конце строки и нажмите OK.
Рисунок 12
- Выберите «Опубликовать CRL в этом расположении» и «Опубликовать разностные CRL в этом расположении», а затем нажмите «ОК».
Рисунок 13
- Теперь нажмите «Да», чтобы перезапустить службы сертификации Active Directory.
- Закройте консоль центра сертификации.
Теперь давайте создадим веб-точку распространения CRL на машине, где вы хотите разместить CRL. Мы создадим веб-точку распространения CRL, чтобы клиенты могли получать доступ к CRL через HTTP-соединение.
- На машине, где вы хотите разместить список отзыва сертификатов, нажмите «Пуск» и выберите «Администрирование». Щелкните Диспетчер информационных служб Интернета (IIS).
- На левой панели консоли перейдите к <computer_name>SitesDefault Web Site. Щелкните правой кнопкой мыши Веб-сайт по умолчанию и выберите Добавить виртуальный каталог.
Рисунок 14
- В диалоговом окне «Добавить виртуальный каталог» в текстовом поле «Псевдоним» введите CRLD (это может быть любое имя, которое вам нравится, в этом примере мы используем CRLD). Рядом с текстовым полем «Физический путь» нажмите кнопку с многоточием «…».
Рисунок 15
- В диалоговом окне «Обзор папок» щелкните запись «Локальный диск (C:)», а затем нажмите «Создать новую папку».
- Введите CRLDist, чтобы назвать папку, и нажмите ENTER. Нажмите «ОК» в диалоговом окне «Обзор папок».
Рисунок 16
- Нажмите «ОК» в диалоговом окне «Добавить виртуальный каталог».
Рисунок 17
- В средней панели консоли дважды щелкните «Просмотр каталогов».
- В правой панели консоли нажмите Включить.
Рисунок 18
- В левой панели консоли щелкните папку CRLD.
- В средней панели консоли дважды щелкните значок редактора конфигурации.
- Щелкните стрелку вниз для раскрывающегося списка Раздел, перейдите к system.webServersecurity
equestFiltering.
- В средней панели консоли дважды щелкните запись allowDoubleEscaping, чтобы изменить значение с False на True.
Рисунок 19
- На правой панели консоли нажмите «Применить».
Рисунок 20
- Закройте консоль диспетчера информационных служб Интернета (IIS).
Далее нам нужно настроить разрешения для общей папки CRL Distribution Point. Здесь мы настроим разрешения общего доступа к файлам для только что созданной папки CRL Distribution Point.
- На компьютере, на котором размещается CRL DP, нажмите «Пуск», а затем нажмите «Компьютер».
- Дважды щелкните Локальный диск (C:).
- В правой панели проводника Windows щелкните правой кнопкой мыши папку CRLDist и выберите «Свойства».
- В диалоговом окне «Свойства CRLDist» щелкните вкладку «Общий доступ». На вкладке «Общий доступ» нажмите кнопку «Расширенный общий доступ».
- В диалоговом окне «Расширенный общий доступ» установите флажок « Поделиться этой папкой».
- В текстовом поле Имя общего ресурса добавьте символ $ в конце имени общего ресурса, чтобы имя общего ресурса читалось как CRLDist$.
- В диалоговом окне «Расширенный общий доступ» нажмите кнопку «Разрешения».
- В диалоговом окне «Разрешения для CRLDist$» нажмите «Добавить».
Рисунок 21
- В диалоговом окне «Выбор пользователей, компьютеров, учетных записей служб или групп» нажмите кнопку « Типы объектов».
- В диалоговом окне «Типы объектов » установите флажок « Компьютеры» и нажмите «ОК».
- В диалоговом окне «Выбор пользователей, компьютеров, учетных записей служб или групп » в текстовом поле «Введите имена объектов для выбора » введите имя компьютера, на котором размещен центр сертификации, а затем нажмите «Проверить имена». Нажмите ОК.
- В диалоговом окне Разрешения для CRLDist$ выберите имя компьютера, на котором размещаются службы сертификации, из списка имен групп или пользователей. В разделе «Разрешения» поставьте галочку в поле «Разрешить » для «Полный доступ». Нажмите ОК.
Рисунок 22
- В диалоговом окне «Расширенный общий доступ» нажмите «ОК».
- В диалоговом окне «Свойства CRLDist» щелкните вкладку «Безопасность».
- На вкладке «Безопасность» нажмите «Изменить».
- В диалоговом окне «Разрешения для CRLDist» нажмите кнопку «Добавить».
- В диалоговом окне «Выбор пользователей, компьютеров, учетных записей служб или групп» нажмите кнопку « Типы объектов».
- В диалоговом окне «Типы объектов» установите флажок «Компьютеры». Нажмите ОК.
- В диалоговом окне «Выбор пользователей, компьютеров, учетных записей служб или групп » в текстовом поле «Введите имена объектов для выбора » введите имя компьютера, на котором размещен центр сертификации, и нажмите «Проверить имена». Нажмите ОК.
- В диалоговом окне «Разрешения для CRLDist» выберите имя компьютера, на котором размещаются службы сертификации, из списка имен групп или пользователей. В разделе «Разрешения» поставьте галочку в поле «Разрешить » рядом с «Полный доступ». Нажмите ОК.
Рисунок 23
- Нажмите «Закрыть» в диалоговом окне «Свойства CRLDist».
- Закройте окно проводника Windows.
Теперь вам нужно опубликовать информацию CRL в созданной вами точке распространения. Для этого вам нужно обратиться в центр сертификации и вручную опубликовать CRL.
- На компьютере, на котором размещен ваш центр сертификации, нажмите «Пуск» и выберите «Администрирование». Щелкните Центр сертификации.
- В левой панели консоли дважды щелкните имя сервера, а затем щелкните правой кнопкой мыши Отозванные сертификаты, выберите Все задачи и щелкните Опубликовать.
- В диалоговом окне «Публикация CRL» выберите параметр «Новый CRL» и нажмите «ОК».
- Нажмите «Пуск», а затем в текстовом поле «Найти программы и файлы» введите \<имя_компьютера>CRLDist$ и нажмите клавишу ВВОД. В этом случае <имя_компьютера> — это имя компьютера, который вы настроили для размещения списка отзыва сертификатов.
- В окне проводника Windows вы должны увидеть два файла в общей папке CRL DP.
Рисунок 24
- Закройте окно проводника Windows.
- Закройте консоль центра сертификации.
Резюме
В этой статье мы описали шаги для нескольких процедур, которые можно использовать для упрощения проверки CRL в лабораторной среде. Мы начали с нескольких методов, которые по существу отключат сбои проверки CRL для вашей тестовой лаборатории. Затем мы прошли более детальную процедуру, где вы фактически устанавливаете точку распространения CRL, чтобы проверки сертификатов не завершались ошибкой, поскольку CRL действительно будет доступен. Я должен отметить, что эти проверки CRL будут работать для клиентов интрасети в вашей тестовой лаборатории. Если у вас есть клиенты, которые будут находиться за пределами вашей интрасети, вам придется найти способ опубликовать внутренний CRL для этих внешних пользователей тестовой лаборатории. Это может стать немного сложным, поэтому я не могу охватить здесь бесконечное количество сценариев. Отправьте мне сообщение, если вас интересует конкретный сценарий, и я напишу статью о том, как заставить публикацию CRL работать для вашего сценария. Спасибо! – Деб.