Это краткое руководство демонстрирует развертывание и тестирование удостоверяющего центра предприятия на MS Windows Server 2008/2008R2 RC в инфраструктуре «один лес, один домен».
Развертывание УЦ выполняется в рамках подготовки к публикации веб-почты (OWA) MS Exchange Server 2007 с помощью MS ISA Server 2006.
Инфраструктура публичных ключей
Инфраструктура Публичных Ключей обеспечивает защиту электронных писем от перлюстрации, безопасную оплату в интернет-магазинах и, в целом, безопасную передачу информации. Она включает в себя сертификаты, удостоверяющие центры (УЦ) и компьютеры-клиенты. УЦ выдают сертификаты клиентам – пользователям и компьютерам. При электронной переписке, сертификат пользователя дает нам уверенность в том, что письмо получено именно от этого пользователя, а не от мошенника. При покупке на веб-сайте, сертификат компьютера (веб-сайта) дает нам уверенность в том, что мы пришли в интернет-магазин, заслуживающий доверия. Сертификаты являют видимой частью айсберга, поэтому корректнее было бы использовать название Инфраструктура Сертификатов.
В инфраструктуре публичных ключей используются неразрывные пары ключей: публичный + секретный (закрытый). Публичные ключи обычно доступны всем, а секретные хранятся только у владельцев ключей. Ключи всегда существуют парами, публичный ключ хранится в сертификате, секретный – защищенно, на компьютере или съемном носителе.
Сертификат выдается удостоверяющим центром (УЦ). УЦ присваивает сертификату запрошенное Имя (Subject Name) и записывает в сертификат публичный ключ, сведения об УЦ-эмитенте, сроке годности и другую полезную информацию. При истечении срока годности сертификат теряет свою силу и более не может быть использован. Если по какой-то причине (например, в случае кражи) сертификат должен быть объявлен негодным до окончания срока годности, администратор УЦ вносит сертификат в список «отозванных» сертификатов. В любое время клиент может проверить сертификат и отказать в сотрудничестве, если сертификат входит в черный список.
Замечание Описанная здесь инфраструктура предназначена для испытательных целей, а не для производственной системы.
Удостоверяющий центр выдает сертификаты только идентифицированным пользователям и компьютерам. Если пользователь или компьютер прошли аутентификацию в домене Windows, УЦ предприятия имеет достаточно информации и обычно не задает дополнительных вопросов.
Пользователь может запросить сертификат в MMC-консоли Certificates или через веб-форму. Хотя запрос через веб-форму является простым и в то же время безопасным (вся передаваемая информация шифруется), особенности УЦ на Windows 2008 иногда требуют работы в командной строке.
Любая внешняя сеть или сообщество внешних сетей (интернет) считаются агрессивной средой, поэтому доступ из внешней сети к веб-почте на Exchange 2007 должен быть защищен и для этого удобнее всего применять ISA 2006. Защищенный доступ клиента обеспечивает сертификат компьютера на ISA 2006. Сертификат можно купить у коммерческого УЦ, но в нашем случае сертификат выдаст «домашний» УЦ, развернутый на Windows 2008.
Полное имя компьютера: sCA.lab.dom
MS Windows Server 2008 Standard English
MS Windows Server 2008 R2 Standard English Release Candidate – допустимо для лабораторной среды.
Член домена: lab.dom.
Если на Windows 2008 развернуть удостоверяющий центр по процедуре Развертывание УЦ – вы не сможете получить сертификат для ISA 2006 с помощью Internet Explorer.
А если попытаетесь, то получите сообщение об ошибке:
На снимках хорошо видно, что компонент Certification Authority Web Enrollment требует поддержки протокола HTTPS, в то время как веб-сервер не поддерживает HTTPS. Это недоразумение сохранилось и в MS Windows Server 2008 R2 Release Candidate.
Чтобы компонент Certification Authority Web Enrollment мог нормально работать, придется сделать дополнительные шаги.
Для обеспечения защищенного доступа к веб-почте, компьютер с ISA 2006 должен располагать сертификатом компьютера. Решив первую проблему и получив доступ по протоколу HTTPS к УЦ на Windows 2008, вы все равно не сможете получить сертификат компьютера на основе шаблона Веб-сервер .
А если попытаетесь получить сертификат…
…то с удивлением обнаружите, что невозможно включить необходимый параметр .
Чтобы получить желанный сертификат компьютера, придется перейти к работе в командной строке.
Перед выполнением процедуры следует убедиться в том, что на ISA:2006:
Включено системное правило c номером 1 Allow access to directory services for authentication purposes .
Создано и включено правило, пропускающее TCP-трафик от ISA к УЦ в диапазоне портов 49152 – 65535.
На диапазон 49152 – 65535 косвенно указывает документ http://support.microsoft.com/kb/929851 . Существует возможность зафиксировать порт на Windows 2008 и затем ужесточить правило на ISA 2006.
Открыть командную консоль, перейти в каталог C:\Service (при необходимости создать каталог C:\Service).
Создать файл C:\Service\Request.inf, содержащий текст.
Signature= "$Windows NT$"
Subject = "CN=<полное_внешнее_имя_для_сервиса_OWA>"
KeyLength = 1024
Exportable = TRUE
MachineKeySet = TRUE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
OID=1.3.6.1.5.5.7.3.1
Пример файла Request.inf. На данном снимке полное внешнее имя для веб-почты: owa.ext-lab.dom
Благодаря выражению Exportable=true мы получим желанную галочку Пометить ключ как экспортируемый , а MachineKeyset=true даст сертификат компьютера.
Выполнить команду для запроса сертификата
certreq -new Request.inf Request.req
Выполнить команду для получения сертификата
certreq -submit -attrib "CertificateTemplate:WebServer" Request.req Server.crt
Появляется диалог Select Certification Authority.
В диалоге щелкнуть по единственному УЦ и затем нажать OK .
Если УЦ успешно выдал сертификат, появляется сообщение об успешном получении сертификата:
Выполнить команду для установки сертификата
certreq -accept Server.crt
Выполнить тесты Проверка наличия сертификата компьютера и Проверка пригодности сертификата для веб-прослушивателя .
О компьютере, на котором мы будем работать:
О компьютере, на котором мы будем работать:
Член домена: lab.dom.
Зарегистрироваться на компьютере с учетной записью администратора домена.
На рабочем столе открыть консоль Certificates (Local computer).msc.
(Консоль была создана на шаге Получение сертификата для УЦ и веб-сервера )
В консоли перейти к Console Root / Certificates (Local Computer) / Personal / Certificates .
В консоли должен присутствовать сертификат с именем <полное_внешнее_имя_для_сервиса_OWA>
Н а данном снимке полное внешнее имя для веб-почты: owa.ext-lab.dom
О компьютере, на котором мы будем работать:
Полное имя компьютера: r01.lab.dom
Полное имя, по которому компьютер r01.lab.dom предоставляет доступ к веб-почте из внешней сети: owa.lab.dom
MS Windows Server 2003 Standard English
Один внешний сетевой интерфейс, с единственным фиксированным IP-адресом.
Один внутренний сетевой интерфейс, с единственным фиксированным IP-адресом.
Член домена: lab.dom.
MS ISA Server 2006 Standard English
Веб-прослушиватель создан по процедуре Создание веб-прослушивателя .
Компактный вариант процедуры.
О компьютере, на котором мы будем работать:
Полное имя компьютера: r01.lab.dom
Полное имя, по которому компьютер r01.lab.dom предоставляет доступ к веб-почте из внешней сети: owa.lab.dom
MS Windows Server 2003 Standard English
Один внешний сетевой интерфейс, с единственным фиксированным IP-адресом.
Один внутренний сетевой интерфейс, с единственным фиксированным IP-адресом.
Член домена: lab.dom.
MS ISA Server 2006 Standard English
Выполняется на ISA под учетной записью администратора домена.
В консоли ISA выбрать объект Firewall Policy / Toolbox / Web Listeners .
Из контекстного меню выбрать New Web Listener.
Ввести параметры в помощнике New Web Listener Definition Wizard.
a) Web Listener Name: SSL
b) Выбрать Require SSL secured connection with clients
c) Web Listener IP Addresses
i) Выбрать только External
(1) Для выбранной сети установить
d) Назначить валидный сертификат для внешнего сетевого интерфейса.
i) Выбрать Assign a certificate for each IP address
Выбор IP-адреса происходит автоматически, поскольку есть только один внешний сетевой интерфейс и один IP-адрес для интерфейса.
ii) Нажать Select Certificate…
П оявляется диалог Select Certificate.
iii) В верхней половине диалога выбрать валидный сертификат, и затем нажать Select .
e) Выбрать Authentication Settings: HTML Form Authentication
i) По умолчанию выбрано Windows (Active Directory) – оставить выбор в силе.
f) Отключить Enable SSO for Web sites published with this Web listener
Принять изменения нажатием Apply в панели.
Владислав Артюков
(Vladislav Artukov)
Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.
Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.
Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.
Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).
Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:
Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.
Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск - Управление данным сервером - Добавить или удалить роль
.
В списке ролей выбираем роль Сервера приложений
. В следующем окне устанавливаем галочку Включить ASP.NET
, если IIS уже установлен данный шаг можно пропустить.
После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ - Установка компонентов Windows , где выбираем Службы сертификации .
Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.
Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.
В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера - Роли - Добавить роли , в списке ролей выбираем Службы сертификации Active Directory .
В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет . При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.
Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.
Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации
(Пуск - Администрирование - Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно:
Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv
, где имя_сервера
- имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL
, затем или и сохраняем сертификат в любое удобное место.
Теперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат , откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации , теперь данный ПК будет доверять всем сертификатам выданным данным ЦС.
Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата - расширенный запрос сертификата - Создать и выдать запрос к этому ЦС . Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать .
При попытке создать запрос сертификата вы можете получить следующее предупреждение:
В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX.
Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи - Выдать .
Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата , вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить.
Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.
По окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.
Цель работы.
Приобретение практических навыков развертывания и настройки центра сертификации встроенными средствами Windows Server 2008.
Используемые программные средства.
Компьютер или виртуальная машина с ОС Windows Server 2008 и установленной и настроенной ролью Active Directory Domain Services (контроллер домена).
Описание работы.
Предыдущая лабораторная работа была посвящена вопросам использования цифровых сертификатов Х.509 конечными пользователями. В данной лабораторной работе рассматриваются возможности, которые предоставляет Windows Server 2008 по созданию собственно цензра сертификации (англ. Certification Authority, СА) в организации. Соответствующие службы присутствовали в серверных операционных системах семейства Windows, начиная с Windows 2000 Server.
В Windows Server 2008 для того, чтобы сервер смог работать как центр сертификации, требуется сначала добавить серверу роль Active Directory Certificate Services. Делается это с помощью оснастки Server Manager, которую можно запустить из раздела Administrative Tools в стартовом меню.
В Server Manager раскроем список ролей и выберем добавление роли (Add Roles), см. рис. 5.19.
Рис. 5.19.
В нашем примере роль добавляется серверу, являющемуся членом домена Windows. Так как это первый СА в домене, он в нашей сети будет играть роль корневого {англ. Root). Рассмотрим по шагам процедуру установки.
В списке доступных ролей выбираем требующуюся нам Active Directory Certificate Services и нажимаем Next (рис. 5.20). После этого запускается мастер, который сопровождает процесс установки.
В дополнение к обязательной службе «Certification Authority» могут быть установлены дополнительные средства, предоставляющие Web-интерфейс для работы пользователей с СА (рис. 5.21). Это может понадобиться, например, для выдачи сертификатов удаленным или внешним пользователям, не зарегистрированным в домене. Для выполнения данной лабораторной работы эта служба не понадобится.
Рис. 5.20.
Рис. 5.21.
Следующий шаг - определения типа центра сертификации. Он может быть корпоративным (англ. Enterprise) или отдельно стоящим (анг 7. Standalone), см. рис. 5.22. Разница заключается в том, что Enterprise СА может быть установлен только на сервер, являющийся членом домена, так как для его работы требуется служба каталога Active Directory. Standalone СА может работать вне домена, например, обрабатывая запросы пользователей, полученные через Web-интсрфсйс. Для выполнения лабораторной работы нужно выбрать версию Enterprise.
Рис. 5.22.
Следующее окно мастера позволяет определить, создается корневой (англ. Root) или подчиненный (англ. Subordinate) СА, см. рис. 5.23. В нашем примере развёртываемый СА является первым и единственным, поэтому выбираем вариант Root.
Рис. 5.23.
Рис. 5.24.
Создаваемый центр сертификации должен будет использовать при работе как минимум одну ключевую пару - открытый и секретный ключ (иначе он не сможет подписывать выпускаемые сертификаты). Поэтому для продолжения установки мастер запрашивает, нужно ли создать новый секретный ключ, или будет использоваться уже существующий (тогда надо будет указать, какой ключ использовать). В нашей лабораторной работе надо создать новый ключ. При этом потребуется выбрать «криптографический провайдер» (программный модуль, реализующий криптоалгоритмы) и алгоритм хеширования. Согласимся с настройками по умолчанию (рис. 5.24).
Задание 1.
На учебном сервере или виртуальной машине установите роль Active Directory Certificate Services с настройками, аналогичными рассмотренным выше.
Управлять работой СА можно из оснастки Certification Authority, которая должна появиться в разделе Administrative Tools (рис. 5.25).
Рис. 5.25.
Как видно на рис. 5.25, только что установленный Enterprise СА уже выпустил некоторое количество сертификатов для служебных целей, в частности, сертификаты для контроллеров домена. В свойствах данного сервера (пункт Properties контекстного меню) можно посмотреть сделанные настройки. Если выбрать закладку Policy Module и там нажать кнопку Properties, можно увидеть текущую настройку, определяющую порядок выдачи сертификатов (рис. 5.26).
Рис. 5.26.
В выбранном на рис. 5.26 случае, после запроса сертификат выдастся в соответствии с настройками шаблона сертификата (или автоматически, если настроек нет). Возможен вариант, когда запрос помещается в очередь ожидающих, и сертификат выпускается только после утверждения администратором.
Задание 2.
Ознакомьтесь с текущими настройками центра сертификации.
Опишите, какие шаблоны сертификатов {англ. Certificate Templates) определены, и для каких целей служит каждый тип сертификатов.
Посмотрите, какие сертификаты выпущены {англ. Issued Certificates), есть ли отозванные сертификаты (ангч. Revoked Certificates).
Теперь рассмотрим процесс получения цифрового сертификата. Сделать это можно с помощью оснастки Certificates, с которой мы познакомились в предыдущей работе. Если она не установлена, запустите консоль mmc и добавьте эту оснастку для текущей учетной записи.
Запустим оснастку, откроем раздел, посвященный сертификатам пользователя {англ. Personal) и запросим сертификат (рис. 5.27). Из перечня предложенных шаблонов сертификатов выберем User. Данный тип сертификатов может использоваться для шифрования файлов с помощью EFS (Encrypted File System - шифрующая файловая система), защиты электронной почты и аутентификации пользователей.
Рис. 5.27.
Для пользователя будет сгенерирована ключевая пара, и на основе данных, взятых из базы службы Active Directory и шаблона, будет выпущен сертификат, удостоверяющий открытый ключ. Этот ссртификат будет виден и в оснастке Certification Authority в списке выпущенных данным сервером.
Задание 3.
