Внедрение и устранение неполадок при развертывании сертификатов в ISA Server 2006

Давайте начнем

Давайте начнем с некоторых основных сведений об определениях PKI, цифровых сертификатах и центрах сертификации.

PKI

С точки зрения криптографии, инфраструктура открытых ключей (PKI) является строительным блоком для нескольких других технологических аспектов с целью выдачи сертификатов для пользователей, компьютеров и служб из центра сертификации (CA). Роль PKI, выдающая сертификаты, называется центром регистрации (RA).

Сертификаты

В криптографии сертификат открытого ключа (или сертификат удостоверения личности) представляет собой электронный документ, который включает цифровую подпись для связывания открытого ключа с идентификационной информацией, такой как имя человека или организации, их адрес и т. д. Сертификат можно использовать для проверки того, что открытый ключ принадлежит физическому лицу. В типичной схеме инфраструктуры открытых ключей (PKI) подпись будет принадлежать центру сертификации (CA). Источник: http://en.wikipedia.org/wiki/Цифровой_сертификат.

Центр сертификации

С точки зрения криптографии центр сертификации (ЦС) — это сервер или набор серверов в иерархии ЦС, который выдает цифровые сертификаты для использования пользователями, компьютерами и службами. Windows Server 2003 (и более ранние версии) имеет собственную реализацию ЦС.

Центры сертификации могут быть отдельными серверами или могут быть объединены в цепочки сертификатов, где каждая иерархия имеет специальные задачи, такие как промежуточный ЦС, выдающий ЦС и многое другое. Вы увидите иерархию ЦС на следующем рисунке.

Рис. 1. Иерархия ЦС

Расширения файлов, используемые в криптографии

Есть несколько расширений файлов, которые используются при работе с ISA Server 2006 и сертификатами. Вот некоторые примеры:

Таблица 1: Расширения файлов PKI

Установка ЦС

Установка и эксплуатация ЦС — относительно простой процесс. Что делает проекты PKI сложными, так это несколько приложений, которые используют эту PKI для разных целей.

Эта статья не предназначена для того, чтобы показать вам весь процесс установки; Я приведу только некоторые фотографии.

Рисунок 2: Установка ЦС Windows

После установки ЦС имя сервера и членство в домене не должны изменяться (если вы чувствуете боль: есть статья базы знаний, которая дает вам возможность переместить ЦС).

Существует несколько типов ЦА. Для этого примера мы выбираем корпоративный корневой ЦС, который интегрируется в Active Directory.

Рисунок 3: Выберите тип ЦС

Дайте CA имя и время жизни.

Рис. 4. Имя ЦС

После установки ЦС его можно использовать для выдачи сертификатов.

Оснастка сертификата

Каждая современная версия Windows имеет оснастку сертификата, которая обрабатывает локально установленные сертификаты. Если вы вошли в систему как администратор, вы можете управлять сертификатами для своей учетной записи пользователя, учетной записи службы и учетной записи компьютера.

Рисунок 5: Управление сертификатами

Обычная учетная запись пользователя может открыть только собственное хранилище сертификатов.

Сертификатами можно управлять в консоли (импорт, экспорт, запрос новых сертификатов и удаление сертификатов).

Рисунок 6: Управление сертификатами

Существует также веб-сайт, который можно использовать для запроса новых сертификатов или для загрузки корневых сертификатов ЦС.

Рисунок 7: Веб-сайт ЦС

Параметры в сценарии обратной публикации

Если вы хотите использовать ISA Server в качестве прокси-сервера обратной публикации для публикации таких служб, как Outlook Web Access (OWA) или Outlook Anywhere (OA), можно включить мост SSL для повышения безопасности ISA Server. Когда SSL Bridging включен, ISA Server разрывает SSL-соединение между сервером и клиентом; Затем ISA проверяет трафик и снова шифрует трафик в HTTPS. Это самый безопасный сценарий.

В этом сценарии ISA-серверу требуется корневой сертификат ЦС от внутреннего ЦС, выпустившего сертификаты для публикации сервером. Серверу ISA также требуется сертификат для прослушивателя ISA, общее имя которого (CN) имеет ту же запись, что и общедоступное имя, которое вводят клиенты, когда пытаются установить соединение с опубликованным сервером.

Во время процесса публикации ISA Server 2006 имеет новый помощник по сертификатам, который поможет вам выбрать правильный сертификат. В целях устранения неполадок прочитайте статью об устранении неполадок SSL, ссылка на которую находится в конце этой статьи.

Сертификат должен быть выдан доверенным ЦС, сертификат должен быть действительным и внимательно следить за общим именем сертификата. CN должен совпадать с общедоступным именем, которое клиенты используют для подключения к серверу.

Рисунок 8: Помощник по сертификации

Что такое вкладка моста в ISA Server 2006?

Вы когда-нибудь пытались использовать функцию Bridging в правиле публикации? Если попробовать выбрать сертификат, ISA часто говорит, что сертификата нет, да?

Чтобы это работало, вы должны выдать пользовательский сертификат для обычного пользователя. Этот выданный сертификат необходимо импортировать (вместе с закрытым ключом) в локальное хранилище сертификатов службы брандмауэра Microsoft ISA Server. После этого вы можете использовать сертификат для перенаправления входящего запроса на внутренний сервер, который требует аутентификации сертификата.

Рисунок 9: SSL-мост

Нет доступных сертификатов, так как сертификат не установлен в локальном хранилище сертификатов службы брандмауэра ISA Server.

Рисунок 10: Мост SSL — выберите сертификат

Отзыв сертификата

Отзыв сертификата — это процесс, когда приложение запрашивает механизм цепочки сертификатов для оценки сертификата, проверка выполняется для всех сертификатов в этой цепочке сертификатов. Сюда входят все сертификаты от выдавшего ЦС до выданного сертификата. В качестве первого шага будет оценена цепочка сертификатов. Если цепочка сертификатов не повреждена, процесс проверяет, что:

• Подпись сертификата действительна
• Убедитесь, что текущая дата и время из сертификата попадают в допустимый период времени сертификата.
• Убедитесь, что каждый сертификат не поврежден или неправильно сформирован

Список отозванных сертификатов больше не содержит действительных сертификатов. Процесс или программное обеспечение, такое как ISA Server, может проверить запрошенный сертификат по списку отозванных сертификатов.

Можно настроить ISA Server для нескольких запросов проверки. ISA Server может проверить, отсутствуют ли входящие сертификаты в списке отозванных сертификатов (CRL).

Рисунок 11: Отзыв сертификата

Убедитесь, что входящие клиентские сертификаты не отозваны

Вы должны выбрать этот сертификат, если хотите, чтобы ISA Server выполнял проверку входящего сертификата по списку отзыва сертификатов (CRL), чтобы узнать, отозван ли сертификат. Если сертификат отозван, запрос клиента будет отклонен.

Убедитесь, что входящие сертификаты сервера не отзываются в сценарии переадресации.

Этот вариант немного отличается от сценария выше. В этом сценарии сервер ISA проверяет, не отозван ли входящий сертификат сервера в сценарии моста SSL. Если сертификат отозван, запрос будет отклонен.

Убедитесь, что входящие сертификаты сервера не отзываются в обратном сценарии.

Установите этот флажок, чтобы указать, что ISA Server будет автоматически проверять список отзыва сертификатов (CRL), чтобы узнать, отозваны ли сертификаты сервера в сценарии веб-публикации. Если сертификат отозван, запрос будет отклонен.

Вывод

В этой статье я попытался показать вам все аспекты использования сертификатов в ISA Server 2006 для сценариев обратной публикации для Outlook Web Access (OWA), Outlook Anywhere (OA) и других. Я также попытался дать вам некоторые основы о сертификатах, центрах сертификации и проверках сертификатов.

Ссылки по теме

• Устранение неполадок SSL-сертификатов в ISA Server 2004 Publishing
• Устранение неполадок публикации Outlook Web Access
• Отзыв сертификата и проверка статуса
• Инфраструктура открытых ключей — Википедия, бесплатная энциклопедия

Microsoft ISA Server 2006 — Устранение неполадок с сертификатами (часть 2)