Чтобы настроить свойства корневого центра сертификации, выполните
следующие действия.
|
1. |
Войдите на сервер центра сертификации как член группы локальных
администраторов. |
|
2. |
Измените сценарий C:\MSSScripts\pkiparams.vbs следующим
образом:
| • |
Назначьте параметру AD_ROOT_DN различающееся имя домена
корня леса Active Directory. |
| • |
Измените параметр HTTP_PKI_VROOT в соответствии с
HTTP-путем к виртуальному каталогу IIS, созданному
ранее. | |
|
3. |
Выполните следующий сценарий: Cscript //job:RootCAConfig C:\MSSScripts\ca_setup.wsf |
Настройка административных ролей
Чтобы можно было использовать группы безопасности, созданные ранее, их
нужно сопоставить с административными ролями, такими как аудитор и
диспетчер сертификатов.
Примечание. Скорее всего, в большинстве
компаний будет реализована упрощенная модель делегирования, упомянутая
выше, но на тот случай, если потребуется дополнительное разделение, ниже
описывается более гибкая модель.
Чтобы настроить административные роли корневого центра сертификации,
выполните следующие действия.
|
1. |
Запустите консоль управления центром сертификации и щелкните
пункт «Свойства». |
|
2. |
Откройте вкладку «Безопасность» и добавьте локальные
группы безопасности, указанные в следующей таблице, с
соответствующими разрешениями.
Таблица 13. Разрешения на работу с центром
сертификации
|
CA Admins |
Управление центром сертификации |
Предоставить |
|
Certificate Managers |
Выдача сертификатов и управление
ими |
Предоставить |
|
|
3. |
Другие роли безопасности центра сертификации уже были определены
для этого сервера с помощью политики
безопасности. |
Запись сертификата и списка отзыва сертификатов корневого центра
сертификации на диск
Сертификат и список отзыва сертификатов корневого центра сертификации
нужно скопировать с центра сертификации, чтобы их можно было опубликовать
в Active Directory и на сервере публикаций сертификатов IIS и списков
отзыва сертификатов. В приведенном ниже примере используется диск, но
вместо него можно использовать любой съемный носитель, в том числе
накопители с интерфейсом USB.
Запись сертификата и списка отзыва сертификатов корневого центра
сертификации на диск
|
1. |
Войдите на сервер корневого центра сертификации как член
локальной группы CA Admins и вставьте в систему съемный
носитель. |
|
2. |
Выполните следующий сценарий, чтобы скопировать сертификат центра
сертификации на диск: Cscript //job:GetCACerts C:\MSSScripts\CA_Operations.wsf |
|
3. |
Выполните следующий сценарий, чтобы скопировать сертификат центра
сертификации на диск: Cscript //job:GetCRLs C:\MSSScripts\CA_Operations.wsf |
|
4. |
Пометьте диск, укажите на нем дату и сохраните для использования
в будущем. |
Публикация сведений о корневом центре сертификации
Перед установкой выдающего центра сертификации нужно опубликовать
сертификат корневого центра сертификации в хранилище доверенного корня
службы Active Directory, а список отзыва сертификатов корневого центра
сертификации — в контейнере CDP службы Active Directory. В ходе этого все
члены домена импортируют сертификаты корневого центра сертификации в свои
хранилища доверенного корня, что позволяет им проверять статус отзыва
любых сертификатов, выданных корневым центром сертификации.
Для выполнения этой процедуры лучше всего использовать выдающий центр
сертификации, потому что в нем установлены необходимые библиотеки
Certutil.exe, certadm.dll и certcli.dll, но с этой же целью можно
использовать любой сервер, являющийся членом домена и работающий под
управлением ОС Windows Server 2003, если на нем есть файл certutil.exe и
установлены поддерживающие DLL-библиотеки.
Чтобы опубликовать сертификат и список отзыва сертификатов корневого
центра сертификации в службе Active Directory, выполните следующие
действия.
|
1. |
Войдите в систему, которая является членом домена и отвечает
приведенным выше требованиям, как член группы Enterprise PKI Admins
и вставьте диск, на котором были сохранены сертификат и список
отзыва сертификатов корневого центра сертификации. |
|
2. |
Выполните следующий сценарий, чтобы опубликовать сертификат
центра сертификации в службе Active Directory: Cscript //job:PublishCertstoAD C:\MSSScripts\CA_Operations.wsf |
|
3. |
Выполните следующий сценарий, чтобы опубликовать список отзыва
сертификатов в службе Active Directory: Cscript //job:PublishCRLstoAD C:\MSSScript\CA_Operations.wsf |
Публикация сертификата и списка отзыва сертификатов корневого центра
сертификации на веб-сервере
Выполнить эту задачу необходимо потому, что в расширениях сертификатов,
выдаваемых этим центром сертификации, указываются HTTP-версии URL-адресов
CDP и AIA. Если эти расширения указаны, они должны быть соблюдены за счет
публикации сертификатов и списков отзыва сертификатов по указанным
URL-адресам.
Примечание. Эта процедура не зависит от того,
установлен ли веб-сервер публикации CDP и AIA на выдающем центре
сертификации, но она предполагает, что виртуальный каталог соответствует
каталогу, созданному ранее для конфигурирования IIS (C:\CAWWWPub). Если
был выбран другой путь, значение WWW_LOCAL_PUB_PATH в сценарии
PKIParams.vbs нужно будет изменить.
Чтобы опубликовать сертификат и список отзыва сертификатов корневого
центра сертификации на веб-сервере, выполните следующие действия.
|
1. |
Войдите на веб-сервер, используя учетную запись локального
администратора или эквивалентную ей. |
|
2. |
Убедитесь в наличии в компьютере диска с сертификатом и списком
отзыва сертификатов корневого центра сертификации. |
|
3. |
Выполните следующий сценарий, чтобы опубликовать сертификат
центра сертификации в папке веб-сервера: Cscript //job:PublishRootCerttoIIS
C:\MSSScripts\CA_Operations.wsf |
|
4. |
Выполните следующий сценарий, чтобы опубликовать список отзыва
сертификатов центра сертификации в папке веб-сервера: Cscript //job:PublishRootCRLstoIIS
C:\MSSScripts\CA_Operations.wsf |
Развертывание сервера выдающего центра сертификации
После установки корневого центра сертификации и публикации его
сертификатов можно развернуть сервер выдающего центра сертификации.
Установка служб сертификации включает сложную совокупность взаимодействий
между выдающим и корневым центрами сертификации, службой Active Directory
и веб-сервером. Эти взаимодействия поясняет следующая диаграмма.
Рис. 5.Процесс установки сертификата
Цифры на диаграмме обозначают указанные ниже взаимодействия.
|
1. |
Публикация сертификата и списка отзыва сертификатов корневого
центра сертификации в службе Active Directory с использованием
съемного носителя. |
|
2. |
Публикация сертификата и списка отзыва сертификатов корневого
центра сертификации на веб-сервере с использованием съемного
носителя. |
|
3. |
Установка служб сертификации, генерирующих запрос сертификата,
который нужно будет доставить с использованием съемного носителя в
корневой центр сертификации, где на основе этого запроса будет выдан
сертификат. |
|
4. |
Установка соответствующего сертификата выдающего центра
сертификации с использованием съемного носителя. |
|
5. |
Публикация сертификата и списка отзыва сертификатов выдающего
центра сертификации на веб-сервере. |
x. Этот этап выполняется
автоматически в ходе установки центра сертификации предприятия.
Подготовка файла Capolicy.inf для выдающего центра сертификации
Вообще говоря, выдающему центру сертификации файл CAPolicy.inf не
нужен. Он требуется, если нужно изменить размер ключа, используемого
центром сертификации. Этот файл следует создать перед установкой выдающего
центра сертификации, хотя в случае необходимости его можно будет добавить
позднее, а затем обновить сертификат центра сертификации.
Чтобы создать файл CAPolicy.inf, выполните следующие
действия.
|
1. |
Войдите на сервер выдающего центра сертификации, используя
учетную запись локального администратора или эквивалентную
ей. |
|
2. |
Используя Блокнот или другой текстовый редактор, создайте обычный
текстовый файл со следующим содержимым: [Version]
Signature= “ NT
[Certsrv_Server]
RenewalKeyLength=2048 |
|
3. |
Если для центра сертификации определено заявление об
использовании сертификатов, включите в файл Capolicy.inf следующие
строки: [CAPolicy]
Policies=policyname
[policyname]
OID=the.org.oid
URL=”http://the.org.url/TheCPSPage.htm”
Примечание. Значения, набранные курсивом,
нужно заменить информацией, специфичной для конкретной
организации. |
|
4. |
Сохраните этот файл как %windir%\Capolicy.inf (замените
%windir% абсолютным путем к папке установки Windows, например
C:\Windows). |
Установка программных компонентов служб сертификации
Как и при установке служб сертификации на корневой центр сертификации,
для выполнения этого этапа нужно будет использовать носитель с
установочными файлами ОС Windows Server 2003, а также мастер компонентов
Windows.
Чтобы установить службы сертификации, выполните следующие
действия.
|
1. |
Войдите в систему выдающего центра сертификации, используя
учетную запись члена группы локальных администраторов или
эквивалентную ей, и запустите диспетчер дополнительных
компонентов: sysocmgr /i:sysoc.inf |
|
2. |
Выберите службы сертификации и нажмите на кнопку ОК, чтобы
проигнорировать предупреждение об изменении имени. |
|
3. |
Выберите в качестве типа центра сертификации «Подчиненный ЦС
предприятия» и убедитесь в том, что флажок «Использовать
пользовательские параметры» установлен. |
|
4. |
Большинство значений по умолчанию в диалоговом окне «Пара из
открытого и закрытого ключей» следует оставить неизменными.
Внесите только следующие изменения:
| • |
Установите длину ключа равной 2048 битам |
| • |
Задайте в качестве типа поставщика (CSP) значение Microsoft
Strong Cryptographic Provider | |
|
5. |
Введите указанные ниже сведения о центре сертификации.
| • |
Общее имя центра сертификации |
| • |
Суффикс различающегося имени |
| • |
Срок действия: (определенный родительским центром
сертификации) | |
|
6. |
После этого поставщик службы криптографии сгенерирует пару ключей
и запишет ее в хранилище ключей на локальном компьютере. |
|
7. |
Введите предложенные ниже местоположения базы данных
сертификатов, журналов базы данных и конфигурационной папки.
| • |
База данных сертификатов: D:\CertLog |
| • |
Журнал базы данных сертификатов:
%windir%\System32\CertLog |
| • |
Общая папка: Disabled |
Ради повышения производительности и надежности базу данных центра
сертификации и журналы следует по мере возможности хранить на разных
физических дисках. База данных сертификатов и журналы базы данных
должны находиться на локальных дисках с файловой системой
NTFS. |
|
8. |
Теперь будет создан файл запроса сертификата, который следует
скопировать на диск. После этого диспетчер дополнительных
компонентов начнет установку компонентов служб сертификации, для
чего потребуется носитель с установочными файлами ОС Windows Server
2003. |
|
9. |
Нажмите на кнопку ОК, чтобы проигнорировать предупреждение
о службах IIS, и продолжите процесс установки до его завершения.
Мастер установки отобразит уведомление о том, что для продолжения
необходим сертификат родительского центра
сертификации. |
Запрос сертификата у корневого центра сертификации
Теперь нужно доставить запрос сертификата выдающего центра сертификации
корневому центру сертификации, чтобы этот запрос был подписан, а выдающему
центру сертификации был выдан сертификат.
Чтобы отправить запрос сертификата корневому центру сертификации,
выполните следующие действия.
|
1. |
Войдите в систему корневого центра сертификации, используя
учетную запись члена группы Certificate Managers. |
|
2. |
Убедитесь в том, что в компьютере находится диск, на котором был
сохранен файл запроса сертификата. |
|
3. |
Выберите в меню «Задачи ЦС» консоли управления центром
сертификации пункт «Выдать новый запрос» и отправьте запрос,
полученный от выдающего центра сертификации. |
|
4. |
Найдите выданный сертификат в контейнере выданных сертификатов и
откройте его. |
|
5. |
Убедитесь в том, что сведения о сертификате верны, и
экспортируйте сертификат в файл, нажав кнопку «Копировать в файл».
Сохраните файл на диске в виде файла PKCS#7 и укажите, что в цепочку
нужно включить все возможные сертификаты, задав соответствующий
параметр. |
Обновление информации о сертификатах в выдающем центре
сертификации
Сертификат корневого центра сертификации уже опубликован в хранилище
доверенного корня Active Directory, и теперь следует убедиться в том, что
выдающий центр сертификации загрузил эту информацию и поместил сертификат
в собственное хранилище корня.
Чтобы обновить и проверить информацию о доверии сертификатов в
выдающем центре сертификации, выполните следующие действия.
|
1. |
Войдите в систему выдающего центра сертификации, используя
учетную запись локального администратора или эквивалентную
ей. |
|
2. |
Введите в командной строке следующую команду: certutil –pulse
Эта команда указывает центру сертификации загрузить новую
информацию о доверенном корне из каталога и поместить сертификат
корневого центра сертификации в собственное хранилище доверенного
корня. Этот этап необязателен, но игнорировать его не следует, так
как он позволяет убедиться в том, что предыдущие этапы публикации
были выполнены успешно. |
|
3. |
Запустите файл mmc.exe и добавьте оснастку
«Сертификаты». |
|
4. |
Выберите в качестве хранилища сертификатов, которым нужно
управлять, вариант «Учетная запись компьютера». |
|
5. |
Убедитесь в том, что сертификат корневого центра сертификации
находится в папке Trusted Root Certificate
Authorities. |
Установка сертификата в выдающем центре сертификации
Подписанный ответ корневого центра сертификации уже создан как пакет
сертификатов PKCS#7, и теперь его можно установить в выдающем центре
сертификации. Для публикации сертификата центра сертификации в хранилище
NTAuth службы Active Directory, которое идентифицирует центр сертификации
как центр сертификации предприятия, этот сертификат нужно установить,
используя учетную запись, входящую в выдающем центре сертификации в группу
Enterprise PKI Admins и локальную группу Administrators. Первая группа
имеет права на установку сертификата центра сертификации в каталог, а
вторая — на установку сертификата на сервере центра сертификации. Если
используется уже упоминавшаяся простая модель администрирования, роль
CAAdmin уже является членом обеих этих групп.
Чтобы установить сертификат выдающего центра сертификации, выполните
следующие действия.
|
1. |
Войдите в систему выдающего центра сертификации, используя
учетную запись, входящую в группу Enterprise PKI Admins и локальную
группу Administrators. |
|
2. |
Вставьте диск с подписанным сертификатом, выданным корневым
центром сертификации. |
|
3. |
Выберите в меню «Задачи ЦС» консоли управления центром
сертификации пункт «Установить сертификат», чтобы установить
сертификат выдающего центра сертификации с дискеты.
После этого центр сертификации должен начать
работу. |
Настройка свойств выдающего центра сертификации
При выполнении следующей процедуры будут сконфигурированы специфичные
для среды параметры, информация о которых была собрана при подготовке к
созданию выдающего центра сертификации. Перед выполнением этого этапа
важно убедиться в том, что собранная информация об организации включена в
файл C:\MSSScripts\pkiparams.vbs в корневом центре сертификации и что эти
изменения были также распространены на выдающий центр сертификации.
Чтобы настроить свойства корневого центра сертификации, выполните
следующие действия.
|
1. |
Войдите на сервер выдающего центра сертификации как член
локальной группы администраторов. |
|
2. |
Убедитесь в том, что изменения, внесенные в файл
C:\MSSScripts\pkiparams.vbs, соответствуют специфическим параметрам
среды, описанным выше в этом разделе. |
|
3. |
Выполните следующий сценарий: Cscript //job:IssCAConfig C:\MSSScripts\ca_setup.wsf |
Настройка административных ролей выдающего центра сертификации
Чтобы можно было использовать административные роли, описываемые в
данном руководстве, они должны быть сопоставлены с группами безопасности.
Как уже было сказано, несмотря на то, что большинство компаний среднего
размера могут довольствоваться упрощенными ролями, данный процесс позволит
реализовать детализированные роли, обеспечивающие максимальную гибкость и
разделение областей ответственности.
Чтобы настроить роли в выдающем центре сертификации, выполните
следующие действия.
|
1. |
Войдите на сервер выдающего центра сертификации как член
локальной группы администраторов. |
|
2. |
Откройте в консоли управления центром сертификации окно свойств,
чтобы изменить свойства центра сертификации. |
|
3. |
Откройте вкладку «Безопасность» и добавьте группы
безопасности домена, указанные в следующей таблице, с
соответствующими разрешениями.
Таблица 14. Разрешения на работу с выдающим центром
сертификации
|
CA Admins |
Управление центром сертификации |
Предоставить |
|
Certificate Managers |
Выдача сертификатов и управление
ими |
Предоставить |
|
|
4. |
Группу CA Auditors следует добавить в локальную группу
администраторов, несмотря на то, что она уже была частично
определена с помощью политики безопасности, заданной
ранее. |
Публикация сведений о выдающем центре сертификации
Сертификаты и списки отзыва сертификатов выдающего центра сертификации
автоматически публикуются в службе Active Directory, но не по HTTP-путям
CDP и AIA. Для автоматизации публикации сертификата центра сертификации по
HTTP-путям CDP и AIA необходимо запланировать выполнение соответствующего
задания.
Сертификаты центра сертификации обновляются очень редко, поэтому их
можно опубликовать для AIA вручную, выполнив следующий процесс.
Чтобы установить сертификат выдающего центра сертификации, выполните
следующие действия.
|
1. |
Войдите в систему выдающего центра сертификации, используя
учетную запись с разрешениями на запись данных в опубликованную
папку веб-сервера. |
|
2. |
Обновите параметр WWW_REMOTE_PUB_PATH в файле
C:\MSSScripts\PKIParams.vbs, присвоив ему путь к папке
веб-сервера.
|
1. |
Если веб-сервер установлен на удаленном сервере, убедитесь
в том, что папка веб-сервера является общей, и запишите
UNC-путь к этой папке. |
|
2. |
Если веб-сервер установлен на том же сервере, что и центр
сертификации, запишите локальный путь к этой папке (по
умолчанию используется локальный путь
C:\CAWWWPub). | |
|
3. |
Выполните следующий сценарий, чтобы опубликовать сертификат
центра сертификации на веб-сервере: Cscript //job:PublishIssCertsToIIS
C:\MSSScripts\CA_Operations.wsf
Примечание. Эта процедура разработана для
внутренних веб-серверов. Если сертификаты будут опубликованы на
веб-сервере, подключенном к Интернету, нужно будет выполнить ряд
дополнительных действий, потому что данное решение основано на
совместном доступе к файлам через сеть Windows, который обычно
блокируется брандмауэрами. |
Списки отзыва сертификатов публикуются чаще, чем сертификаты центра
сертификации, поэтому их публикацию на веб-сервере следует
автоматизировать.
