Публикация инфраструктуры открытых ключей с помощью ISA Server 2004 (часть 3)

В части 1 была подготовлена подготовительная работа по созданию PKI, а в части 2 описана настройка «корневого» центра сертификации. В этой части 3 мы создадим «выдающий» ЦС для предоставления сертификатов, подходящих для использования за пределами вашей локальной сети.

Введение

В этой статье мы создаем двухуровневую иерархию PKI; мы уже создали «корневой» ЦС верхнего уровня в Части 2 и теперь собираемся рассказать о «выдающем» ЦС второго уровня. Некоторые иерархии PKI могут иметь дополнительные уровни, возможно, со вторым уровнем автономных автономных ЦС и выдающими ЦС на третьем уровне. Эти несколько уровней кажутся чрезмерно сложными для большинства развертываний, и даже общедоступные PKI редко используют более двух уровней ЦС.

В этой статье будет рассмотрен только один выдающий ЦС, но вы можете выбрать больше для доступности, распределения нагрузки по разным местоположениям или для конкретных целей и проектов.

Процесс создания выпускающего ЦС часто повторяет процесс установки корневого ЦС, описанный в части 2, поэтому здесь мы сконцентрируемся на описании различий.

Создание выпускающего ЦС

Выпускающий ЦС общего назначения, такой как описанный в этой статье, будет установлен в качестве подчиненного ЦС предприятия на рядовом сервере домена. Корпоративные центры сертификации (корневые или подчиненные) должны быть всегда доступны и, конечно же, не должны находиться в автономном режиме.

Администраторы обычно устанавливают выдающие центры сертификации на свои контроллеры домена. Это вполне разумно, учитывая, что вы должны защищать безопасность своего ЦС с той же строгостью, что и контроллеры домена. Однако обычно для выдающего центра сертификации предоставляются функции веб-регистрации, и многим администраторам будет неудобно устанавливать IIS на контроллере домена: предпочтительнее использовать выдающий центр сертификации, установленный на рядовом сервере.

В Части 2 использование Windows 2000 SP4 было предложено как удовлетворительный вариант для Windows 2003 для автономного корневого ЦС, но для выпускающего ЦС предприятия вы будете использовать дополнительные функции Windows 2003. Существуют также большие различия между ЦС предприятия. в редакциях Windows 2003 Standard и Enterprise: редакция Enterprise позволяет создавать настраиваемые шаблоны сертификатов и автоматически регистрировать сертификаты по учетным записям компьютеров и пользователей. Вы можете обойтись Windows 2003 Standard, но эти пользовательские шаблоны сертификатов могут оказаться очень полезными для расширенного использования сертификатов.

Примечание об автоматической регистрации сертификатов Компьютеры могут автоматически регистрировать сертификаты, начиная с Windows 2000. Для этого необходимые сертификаты загружаются в объект групповой политики в разделе «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности», «Политики открытых ключей» и «Параметры автоматического запроса сертификата». Объекты групповой политики в Windows 2003 имеют объект в политиках открытого ключа, называемый «Параметры автоматической регистрации», который использует настраиваемые шаблоны сертификатов, доступные в Windows 2003. Предприятие версия. Это два отдельных механизма; либо использовать старый или новый, как вам будет угодно

Установка служб сертификации

Что касается корневого центра сертификации в части 2, начните с мастера компонентов Windows (из «Установка и удаление программ» на панели управления). В этом случае вам не нужен файл CAPOLICY.INF, но вы должны быть временным членом группы администраторов предприятия.

фигура 1

Выберите Службы сертификации и обратите внимание на предупреждение о переименовании сервера. В этом случае вы также можете выбрать службу World Wide Web, скрытую под сервером приложений. Добавление WWW-сервиса позволит использовать инструменты веб-регистрации, но эта функция не является неотъемлемой частью служб сертификатов. Нажмите «Далее».

фигура 2

Мы устанавливаем подчиненный ЦС предприятия, поэтому выберите его и также установите флажок «Использовать пользовательские настройки» (это позволяет вам установить больший размер ключа). Нажмите «Далее».

На следующем экране отображается размер ключа по умолчанию, равный 1024 битам; обычной практикой является увеличение этого значения до 2048 для подчиненных ЦС, особенно если вы решили использовать 4096-битный ключ для корневого ЦС. Остальные параметры можно оставить со значениями по умолчанию, как это было для корневого центра сертификации. Нажмите «Далее».

Рисунок 3

Укажите общее имя для этого центра сертификации. Суффикс Distinguished name автоматически создается для вас из имени домена AD (например , DC=Company1,DC=local ): такая «местная» информация не подходит для сертификатов, которые будут появляться в Интернете, поэтому либо очистите это поле (как указано выше). ) или заполните его другими строками в стиле X.500 (см. Часть 2). Обратите внимание, что срок действия не может быть установлен; это сделает корневой ЦС. Нажмите «Далее».

Нажмите «Далее », чтобы перейти к следующему экрану (вам на самом деле не нужны «общие папки», о которых он говорит).

Рисунок 4

Выберите Сохранить запрос в файл (вы можете изменить место сохранения по умолчанию, если хотите). Вы не можете отправить запрос напрямую, потому что ваш корневой ЦС отключен, если вы следуете рекомендуемому пути. Нажмите «Далее». Вам потребуется предоставить установочный компакт-диск Windows 2003.

Рисунок 5

В конце концов эти инструкции появляются. Нажмите ОК.

Рисунок 6

Вы можете увидеть это предупреждение, которое особенно актуально для тех, кто решил установить ЦС на контроллере домена. Если вы видите его, нажмите Да. Нажмите Готово в диалоговом окне завершения.

Найдите этот файл «req» и скопируйте его на съемный носитель (дискету, флешку и т. д.) для передачи в автономный корневой ЦС чуть позже.

Настройка служб сертификации

Найдите консоль центра сертификации среди инструментов администрирования.

Рисунок 7

Поскольку мы еще не обработали запрос сертификата ЦС, в консоли будет указано, что служба остановлена. Неважно, просто щелкните правой кнопкой мыши имя ЦС и выберите «Свойства». Нажмите OK для предупреждения об остановленной службе.

Рисунок 8

Перейдите на страницу расширений. Игнорируйте первую запись, выберите LDAP и снимите все флажки, кроме опубликовать списки отзыва сертификатов в этом расположении и опубликовать разностные списки отзыва сертификатов в этом расположении.

Сертификаты, выдаваемые этим ЦС, должны использоваться внешне с ISA Server, поэтому снятие флажков для записи LDAP гарантирует, что неиспользуемые местоположения LDAP не будут отображаться в сертификатах, выдаваемых этим ЦС. Оставить запись LDAP на месте и опубликовать CRL в AD, даже если они не будут использоваться, — это просто моя прихоть! Если бы этот ЦС выдавал только сертификаты, используемые только во внутренней сети, вы могли бы также оставить все флажки на месте.

Выберите HTTP а также ФАЙЛ записи и удалить их, так как мы не будем их использовать.

Теперь нажмите «Добавить» и создайте местоположение HTTP так же, как это было сделано для корневого ЦС в части 2 (обратитесь к этому для некоторых предупреждений). В примере здесь используются:

http://certificates.company1.local/Company1IssuingCA.crl

Как и при настройке корневого ЦС, я рекомендую использовать имя файла на основе аббревиатуры имени ЦС без пробелов, а не с использованием переменной '<CAName>'.

Рисунок 9

Выделите запись HTTP и установите флажок Включить в расширение CDP выданных сертификатов.

Нажмите «Добавить» еще раз и создайте запись следующего содержания:

файл://\DC01.company1.localCertificate$Company1IssuingCA.crl

Это общий ресурс, который мы создали ранее в части 1, из которого наши сертификаты и CRL публикуются с помощью IIS. Запись, которую вы используете, будет отражать выбранную вами долю. Нажмите ОК.

Если этот ЦС должен быть очень занят многочисленными отзывами сертификатов, вы можете рассмотреть возможность использования разностных CRL. Если это так, используйте переменные «<CRLNameSuffix><DeltaCRLAllowed>» в именах файлов (но не в расположении HTTP) и установите флажок «Включить в CRL…» для записей HTTP и «Публиковать разностные CRL в этом расположении для записей FILE». Большинство из нас может пропустить все это.

Рисунок 10

Установите флажок Опубликовать CRL в этом расположении.

В раскрывающемся списке «Выберите расширение» выберите «Доступ к информации о полномочиях» (AIA). Снова удалите записи HTTP и FILE по умолчанию и нажмите «Добавить». Добавьте URL-адрес вашей точки распространения с именем файла в следующих строках:

http://certificates.company1.local/Company1IssuingCA.crt

Рисунок 11

Установите флажок Включить в расширение AIA выданных сертификатов для нашего местоположения HTTP и убедитесь, что все флажки для местоположения LDAP сняты (если вы его тоже не удалили). Нажмите ОК.

При желании вы можете использовать переменную «<CertificateName>», чтобы добавить суффикс обновления к имени файла и избежать ручного переименования при обновлении сертификата ЦС через несколько лет. Цель незначительного изменения имени при обновлении — позволить старому и новому сертификату ЦС сосуществовать. Однако экономия труда минимальна при использовании длительных периодов действия, таких как пять лет в этом примере.

Рисунок 12

Интервал публикации по умолчанию в одну неделю должен быть приемлемым, но если вы не знаете, что ваш ЦС будет чрезвычайно загружен, с вероятным большим количеством отзывов сертификатов, снимите флажок Опубликовать разностные CRL. Нажмите ОК.

Подписание сертификата выдавшего ЦС

Возьмите дискету (или что-то еще), содержащее файл запроса, сгенерированный при установке служб сертификатов, в корневой центр сертификации. Откройте консоль центра сертификации на этом сервере.

Рисунок 13

Щелкните правой кнопкой мыши имя центра сертификации и выберите «Все задачи» и «Отправить новый запрос».

Рисунок 14

Перейдите к сохраненному файлу запроса, выберите его и нажмите «Открыть».

Рисунок 15

Щелкните папку «Ожидающие запросы» и щелкните правой кнопкой мыши отправленный запрос, который теперь отображается на правой панели. Выберите «Все задачи» и «Просмотреть атрибуты/расширения».

Рисунок 16

Перейдите на вкладку «Расширения» и убедитесь, что записи «Точки распространения CRL» и «Доступ к информации о центрах сертификации» соответствуют ожиданиям. Нажмите ОК.

Снова щелкните правой кнопкой мыши наш отправленный запрос в папке Pending Requests. Выберите Все задачи и Проблема. Если нас не устраивают отмеченные выше записи CDP и AIA, вы должны выбрать здесь Запретить, исправить все ошибки в конфигурации корневого центра сертификации для этих записей, а затем повторить процесс с тем же файлом запроса. Теперь нажмите на папку «Выданные сертификаты».

Рисунок 17

Дважды щелкните только что созданный сертификат, появившийся на правой панели. Выберите страницу Details из открывшихся листов свойств.

Рисунок 18

Нажмите «Копировать в файл», чтобы открыть мастер экспорта сертификатов, который мы быстро рассмотрим:

1. Нажмите Далее на странице приветствия.
2. На странице «Формат файла экспорта» установите флажок «Стандарт синтаксиса криптографических сообщений — сертификаты PKCS # 7 (.P7B)». и установите флажок Включить все сертификаты в путь сертификации, если это возможно. Службам сертификации нравится вся информация в этом одном пакете, когда дело доходит до импорта нового сертификата ЦС. Нажмите «Далее».

Рисунок 19

3. На странице «Файл для экспорта» нажмите «Обзор», перейдите к съемному носителю и введите имя файла, которое вы будете использовать для публикации сертификата (в данном примере это будет Company1IssuingCA ). Нажмите «Сохранить», затем «Далее».
4. Нажмите «Готово» на странице «Завершение» и нажмите «Подтвердить».

Повторите шаги экспорта, но на этот раз выберите двоичный файл X.509 (.CER) в кодировке DER. Переименуйте созданный файл так, чтобы он имел расширение CRT вместо CER. Сделав это, выходите.

Скопируйте недавно подписанный сертификат выдающего ЦС (теперь с расширением CRT) в общую папку точки распространения. Файл P7B будет использоваться позже.

Теперь корневой ЦС можно создать резервную копию и заблокировать, но перед этим запустите certutil –cainfo в командной строке сервера корневого ЦС и запишите «продезинфицированное» или сокращенное имя ЦС (это понадобится вам позже, если это произойдет). имя отличается от полного имени ЦС).

Завершение настройки PKI

Перед установкой подписанного сертификата выдающего центра сертификации есть несколько необязательных шагов, которые можно выполнить заранее, чтобы облегчить процесс.

Тестирование конфигурации сертификата

На сервере выдающего ЦС запустите следующую командную строку (используя расположение общего ресурса и имя файла сертификата вместо приведенного здесь примера):

certutil –URL \DC01Certificate$Company1IssuingCA.crt

Рисунок 20

Щелкните Получить. Это позволит вам проверить точку распространения и сертификаты ЦС и убедиться, что все в порядке, прежде чем продолжить. Если вы используете параметр «Сертификаты (от AIA)», статус будет сообщать «Нет CRL», что ожидается, поскольку сертификат корневого ЦС не имеет записи CDP.

Вы также можете запустить следующую командную строку:

certutil – проверить \DC01Certificate$Company1IssuingCA.crt

Вывода будет много, но любые ошибки должны выделяться.

Публикация корневого сертификата CA и CRL в Active Directory

Как упоминалось ранее, наличие корневого сертификата ЦС в AD для этой статьи не требуется, но наличие его для будущего использования не является необоснованным шагом.

На сервере выдающего центра сертификации запустите следующую командную строку, чтобы опубликовать сертификат корневого центра сертификации (используя расположение общего ресурса и имя файла сертификата вместо приведенного здесь примера):

certutil –dsPublish –f \DC01Certificate$Company1RootCA.crt RootCA

Команда должна сообщить, что сертификат был успешно добавлен в двух местах.

Затем запустите следующую командную строку, чтобы опубликовать CRL корневого центра сертификации:

certutil –dsPublish –f \DC01Certificate$Company1RootCA.crl ROOTCA «Корневой центр сертификации компании 1»

Здесь используется «ROOTCA», и он отражает запись CDP LDAP, созданную в Части 2. Имя ЦС в конце команды — это «очищенное» или сокращенное имя, упомянутое ранее, хотя обычно оно идентично имени, которое вы использовали. все это время. Вернитесь к обсуждению всего этого в Части 2.

Вам нужно будет запускать команду для публикации списка отзыва сертификатов (но можно опустить ключ «-f») всякий раз, когда вы создаете новый список отзыва сертификатов в корневом ЦС и копируете его в точку распространения.

Перезапустите выпускающий CA-сервер.

В этот момент перезапустите сервер выдающего ЦС. Это необходимо для того, чтобы сервер установил свое членство во встроенной локальной группе Cert Publishers. Это потребуется для публикации первого CRL.

Установка сертификата выдавшего ЦС

Наконец, когда сервер перезапущен и все проверено и установлено на место, вернитесь в консоль центра сертификации на выдающем ЦС:

Рисунок 21

Щелкните правой кнопкой мыши имя ЦС и выберите «Все задачи» и «Установить сертификат ЦС».

Рисунок 22

Найдите съемный носитель, который вы используете, выберите только что выпущенный сертификат P7B и нажмите «Открыть». Через некоторое время вы вернетесь в консоль: щелкните правой кнопкой мыши имя CA и выберите All Tasks and Start Service.

Проверьте общую папку точки распространения: вы должны увидеть список отзыва сертификатов выдающего ЦС, который был опубликован там автоматически. CA будет продолжать делать это каждую неделю с этого момента.

Тестирование PKI

Центр сертификации теперь готов выдавать сертификаты! Вы можете дополнительно проверить работоспособность вашей PKI с помощью оснастки MMC «Enterprise PKI», которая является частью инструментов Windows 2003 Resource Kit (которую также можно загрузить отдельно).

Рисунок 23

Мастер сертификатов IIS предоставляет удобное место для запроса первого сертификата. Настройте безопасный веб-сайт, откройте его в Internet Explorer и щелкните значок замка в правом нижнем углу.

Рисунок 24

Идеальный!

Вывод

Потребовалось довольно много времени, чтобы, наконец, установить все части этой PKI; но это существенно сокращенная версия документации «наилучшей практики» Microsoft! Этот процесс может оттолкнуть многих администраторов, но его правильное выполнение является огромным улучшением по сравнению с альтернативой, когда по всей организации появляются специальные корневые центры сертификации; сопровождается появлением всех этих предупреждающих сообщений о сертификатах!

Добавьте к этому ISA Server 2004, и ваши сертификаты будут продолжать безотказно работать даже в Интернете. Это должно стоить усилий!