Сценарий базового тестирования службы AD CS
В следующих разделах описывается настройка тестовой среды для начала оценки службы AD CS.
Процедуры, изложенные в настоящем руководстве, рекомендуется выполнять в тестовой среде. Пошаговые руководства не всегда подходят для развертывания компонентов ОС Windows Server в отсутствие дополнительной документации по развертыванию; любое такое руководство следует рассматривать как отдельный документ и применять с осторожностью.
Этапы настройки базовой тестовой среды
Начать тестирование многих функций службы AD CS можно в тестовой среде, состоящей всего из двух серверов под управлением ОС Windows Server 2008 и одного клиентского компьютера под управлением ОС Windows Vista®. В настоящем руководстве используются следующие имена компьютеров.
LH_DC1: этот компьютер будет контроллером домена в тестовой среде.
LH_PKI1: этот компьютер будет сервером для корневого центра сертификации предприятия в тестовой среде. Этот центр сертификации будет выдавать клиентские сертификаты для сетевого ответчика и клиентских компьютеров.
 Примечание
Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах под управлением ОС Windows Server 2008 Enterprise или ОС Windows Server 2008 Datacenter.
LH_CLI1: этот клиентский компьютер под управлением ОС Windows Vista будет автоматически подавать заявки на сертификаты от компьютера LH_PKI1 и проверять состояние сертификатов от компьютера LH_ PKI1.
Чтобы настроить базовую тестовую среду для службы AD CS, необходимо выполнить следующие обязательные операции:
настроить контроллер домена на компьютере LH_DC1 для домена contoso.com, включая несколько подразделений (OU), содержащих одного или нескольких пользователей для клиентского компьютера, клиентские компьютеры в домене, а также для серверов, на которых размещены центры сертификации и сетевые ответчики;
установить ОС Windows Server 2008 на компьютер LH_PKI1 и присоединить компьютер LH_PKI1 к домену;
Установить ОС Windows Vista на компьютер LH_CLI1 и присоединить компьютер LH_CLI1 к домену contoso.com.
После выполнения эти предварительных процедур по настройке можно начать выполнение следующих этапов.
Этап 1. Настройка корневого центра сертификации предприятия.
Этап 2. Установка сетевого ответчика.
Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP.
Этап 4. Создание конфигурации отзыва.
Этап 5. Проверка надлежащего функционирования настроенной тестовой среды AD CS.
Этап 1. Настройка корневого центра сертификации предприятия
Корневой центр сертификации предприятия является основой доверия в базовой тестовой среде. Он будет использоваться для выдачи сертификатов сетевому ответчику и клиентскому компьютеру, а также для публикации информации сертификатов в доменные службы Active Directory (AD DS).
Примечание
Центры сертификации предприятия и сетевые ответчики могут быть установлены только на серверах с ОС Windows Server 2008 Enterprise или ОС Windows Server 2008 Datacenter.
 Настройка корневого центра сертификации предприятия
-
|
1. Войдите в систему компьютера LH_PKI1 в качестве администратора домена.
2. Нажмите кнопку Start (пуск), выберите Administrative tools (средства администрирования), затем Server Manager (диспетчер сервера).
3. В разделе Roles Summary (сводка ролей) щелкните пункт Add Roles (добавить роли).
4. На странице Select Server Roles (выбор ролей сервера) установите флажок Active Directory Certificate Services (служба сертификации Active Directory). Нажмите кнопку Next два раза.
5. На странице Select Role Services (выбор служб ролей) установите флажок Certification Authority (центр сертификации) и нажмите кнопку Next;
6. На странице Specify Setup Type (определение типа установки) выберите Enterprise (предприятие), затем нажмите кнопку Next.
7. На странице Specify CA Type (определение типа центра сертификации) выберите Root CA (корневой центр сертификации), затем нажмите кнопку Next.
8. На страницах Set Up Private Key (настройка открытого ключа) и Configure Cryptography for CA (настройка криптографии для центра сертификации) можно настроить дополнительные параметры, включая поставщиков службы криптографии. Однако для целей базового тестирования примите значение по умолчанию, нажав кнопку Next два раза.
9. В поле Common name for this CA (общее имя этого центра сертификации) введите общее имя центра сертификации, RootCA1, затем нажмите кнопку Next.
10. На странице Set the Certificate Validity Period (настройка срока действия сертификата) примите срок действия по умолчанию для корневого центра сертификации, затем нажмите кнопку Next.
11. На странице Configure Certificate Database (настройка базы данных сертификатов) примите значения по умолчанию или установите другие места хранения базы данных сертификатов и журнала базы данных сертификатов, затем нажмите кнопку Next.
12. После проверки информации на странице Confirm Installation Options (подтверждение параметров установки) нажмите кнопку Install (установить).
13. Проверьте информацию в окне подтверждения, чтобы убедиться в успешном завершении установки.
|
Этап 2. Установка сетевого ответчика
Сетевой ответчик можно установить на любой компьютер с ОС Windows Server 2008 Enterprise или ОС Windows Server 2008 Datacenter. Данные об отзыве сертификатов могут поступать от центра сертификации на компьютере под управлением ОС Windows Server 2008, центра сертификации на компьютере под управлением ОС Windows Server 2003 или от центра сертификации, выпущенного не корпорацией Майкрософт.
Примечание
На этом компьютере также должна быть установлена служба IIS, прежде чем можно будет установить сетевой ответчик.
Установка сетевого ответчика
-
|
1. Войдите в систему компьютера LH_PKI1 в качестве администратора домена.
2. Нажмите кнопку Start, выберите Administrative tools, затем Server Manager.
3. Нажмите кнопку Manage Roles (управление ролями). В разделе Active Directory Certificate Services, щелкните Add role services (добавить службы ролей).
4. На странице Select Role Services (выбор служб ролей) установите флажок Online Responder (сетевой ответчик).
Появится запрос об установке службы IIS и службы активации Windows.
5. Выберите Add Required Role Services (добавить требуемые службы ролей), затем нажмите кнопку Next три раза.
6. На странице Confirm Installation Options (подтверждение параметров установки) нажмите кнопку Install (установить).
7. После завершения установки проверьте страницу состояния, чтобы убедиться в успешном завершении установки.
|
Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP
Настройка центра сертификации для поддержки служб сетевых ответчиков включает настройку шаблонов сертификатов и свойств выдачи для сертификатов подписи отклика протокола OCSP, а также выполнение дополнительных операций с центром сертификации для поддержки сетевого ответчика и выдачи сертификатов.
Примечание
Эти операции, связанные с шаблонами сертификатов и автоматической подачей заявок, могут также использоваться для настройки сертификатов, которые требуется выдать клиентскому компьютеру или пользователям клиентского компьютера.
Настройка шаблонов сертификатов для тестовой среды
-
|
1. Войдите в систему компьютера LH_PKI1 в качестве администратора центра сертификации.
2. Откройте оснастку Certificate Templates (шаблоны сертификатов).
3. Правой кнопкой мыши щелкните шаблон OCSP Response Signing (подпись отклика протокола OCSP), затем выберите команду Duplicate Template (скопировать шаблон).
4. Введите новое имя для копии шаблона, например OCSP Response Signing_2.
5. Правой кнопкой мыши щелкните шаблон OCSP Response Signing_2, затем выберите команду Properties (свойства).
6. Перейдите на вкладку Security (безопасность). В области Group or user name (имя группы или пользователя) нажмите кнопку Add (добавить), затем введите имя или найдите расположение и выберите компьютер, являющийся сервером для службы сетевого ответчика.
7. Выберите имя компьютера, LH_PKI1, и в диалоговом окне Permissions (разрешения) установите флажки Read (чтение) и Autoenroll (автоматическая заявка).
8. Пока открыта оснастка Certificate Templates, можно выполнить настройку шаблонов сертификатов для пользователей и компьютеров путем замены нужных сертификатов в шаге 3 и повторения шагов с 4 по 7 для настройки разрешений для компьютера LH_CLI1 и тестовых учетных записей пользователей.
|
Чтобы настроить центр сертификации для поддержки сетевых ответчиков, необходимо использовать оснастку Certification Authority (центр сертификации) и выполнить две важные операции:
добавить расположение сетевого ответчика в расширение доступа к информации о центрах сертификации для выпущенных сертификатов;
включить шаблоны сертификатов, настроенные в предыдущей процедуре для центра сертификации.
Настройка центра сертификации для поддержки службы сетевых ответчиков
-
|
1. Откройте оснастку Certification Authority (центр сертификации).
2. В дереве консоли выберите имя центра сертификации.
3. В меню Action (действие) выберите пункт Properties.
4. Откройте вкладку Extensions (расширения). В списке Select extension (выбор расширения) выберите пункт Authority Information Access (AIA) (доступ к информации о центре сертификации).
5. Установите флажки Include in the AIA extension of issue certificates (включать в расширение AIA выпущенных сертификатов) и Include in the online certificate status protocol (OCSP) extension (включать в расширение протокола OCSP).
6. Определите расположения, из которых пользователи могут получать данные об отзыве сертификатов; в этой настройке используйте расположение http://LH_PKI1/ocsp.
7. В дереве консоли оснастки Certification Authority правой кнопкой мыши щелкните запись Certificate Templates (шаблоны сертификатов), затем выберите пункт New Certificate Templates to Issue (новые шаблоны сертификатов для выпуска).
8. В списке Enable Certificate Templates (включить шаблоны сертификатов) выберите шаблон OCSP Response Signing (подпись отклика протокола OCSP) и любые другие шаблоны сертификатов, которые были настроены ранее, затем нажмите кнопку OK.
9. Откройте список Certificate Templates (шаблоны сертификатов) и проверьте, чтобы измененные шаблоны сертификатов были в списке.
|
Этап 4. Создание конфигурации отзыва
Конфигурация отзыва включает все настройки, необходимые для ответа на запросы о состоянии сертификатов, выпущенных с помощью определенного ключа центра сертификации.
Эти настройки конфигурации включают сертификат центра сертификации, сертификат подписи сетевого ответчика, а также расположения, в которые клиенты должны направлять свои запросы о состоянии.
 Внимание!
Прежде чем создавать конфигурацию отзыва, убедитесь в том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и настройте разрешения сертификата подписи, чтобы разрешить сетевому ответчику использовать его.
Проверка правильности настройки сертификата подписи
-
|
1. Запустите или перезапустите компьютер LH_PKI1, чтобы подать заявку на сертификаты.
2. Войдите в систему в качестве администратора центра сертификации.
3. Откройте консоль Certificates (сертификаты) для учетной записи компьютера. Откройте хранилище сертификатов Personal (личные) данного компьютера и проверьте, чтобы в нем был сертификат с именем OCSP Response Signing.
4. Щелкните правой кнопкой мыши этот сертификат и выберите команду Manage Private Keys (управление закрытыми ключами).
5. Перейдите на вкладку Security (безопасность). В диалоговом окне User Group or user name (имя группы пользователей или пользователя) нажмите кнопку Add, введите имя Network Service в список Group or user name (имя группы или пользователя), затем нажмите кнопку OK.
6. Щелкните запись Network Service и в диалогом окне Permissions (разрешения) установите флажок Full Control (полный доступ).
7. Нажмите кнопку ОК два раза.
|
Для создания конфигурации отзыва необходимо выполнить следующие операции:
определить сертификат центра сертификации, поддерживающего сетевой ответчик;
определить точку распределения списка отзыва сертификатов CRL для центра сертификации;
выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва;
выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком.
Создание конфигурации отзыва
-
|
1. Откройте оснастку Online Responder (сетевой ответчик).
2. На панели Actions (действия) щелкните Add Revocation Configuration (добавить конфигурацию отзыва), чтобы запустить мастер Add Revocation Configuration wizard (мастер добавления конфигурации отзыва), затем нажмите кнопку Next.
3. На странице Name the Revocation Configuration (имя конфигурации отзыва) введите имя конфигурации отзыва, например LH_RC1, затем нажмите кнопку Next.
4. На странице Select CA certificate Location (выбор расположения сертификата центра сертификации) щелкните пункт Select a certificate from an existing enterprise CA (выбрать сертификат из существующего центра сертификации предприятия), затем нажмите кнопку Next.
5. На следующей странице в поле Browse CA certificates published in Active Directory (обзор сертификатов центра сертификации, опубликованных в службе Active Directory) должно появиться имя центра сертификации LH_PKI1.
Если имя есть в списке, щелкните имя центра сертификации, который необходимо связать с созданной конфигурацией отзыва, затем нажмите кнопку Next.
Если имени в списке нет, щелкните Browse for CA Computer (найти компьютер центра сертификации) и введите имя компьютера, который является сервером для центра сертификации LH_PKI1, либо нажмите кнопку Browse (обзор), чтобы найти этот компьютер. Когда нужный компьютер будет найден, нажмите кнопку Next.
Примечание
Возможна также связь с сертификатом центра сертификации из локального хранилища сертификатов или путем импорта сертификата со съемного носителя в шаге 4.
6. Просмотрите сертификат и скопируйте точку распределения CRL для родительского корневого центра сертификации, RootCA1. Для этого выполните следующие операции:
a) откройте оснастку Certificate Services (службы сертификатов). Выберите выданный сертификат;
б) дважды щелкните сертификат, затем перейдите на вкладку Details (сведения);
в) выполните прокрутку вниз до поля CRL Distribution Points (точки распределения CRL);
г) выберите и скопируйте URL-адрес нужной точки распределения CRL;
д) нажмите кнопку ОК.
7. На странице Select Signing Certificate (выбор сертификата подписи) примите параметр по умолчанию, Automatically select signing certificate (автоматически выбирать сертификат подписи), затем нажмите кнопку Next.
8. На странице Revocation Provider (поставщик отзыва) выберите пункт Provider (поставщик).
9. На странице Revocation Provider Properties (свойства поставщика отзыва) нажмите кнопку Add, введите URL-адрес точки распределения CRL, затем нажмите кнопку OK.
10. Нажмите кнопку Finish.
11. С помощью оснастки Online Responder выберите конфигурацию отзыва, затем проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы также должны иметь возможность проверить свойства сертификата подписи, чтобы убедиться в правильности настройки сетевого ответчика.
|
Этап 5. Проверка надлежащего функционирования настроенной тестовой среды AD CS
Проверять правильность выполнения приведенных выше шагов по настройке можно по мере их выполнения.
После завершения установки необходимо проверить надлежащее функционирование базовой тестовой среды путем подтверждения возможности выполнения автоматических заявок на сертификаты, отзыва сертификатов, предоставления точных данных об отзыве через сетевой ответчик.
Проверка надлежащего функционирования настроенной тестовой среды AD CS
-
|
1. В центре сертификации настройте несколько шаблонов сертификатов для выполнения автоматических заявок на сертификаты для компьютера LH_CLI1 и пользователей этого компьютера.
2. После публикации информации о новых сертификатах в службе AD DS откройте командную строку на клиентском компьютере и введите следующую строку, чтобы подать автоматическую заявку на сертификат:
certutil -pulse
3. На компьютере LH_CLI1 с помощью оснастки Certificates проверьте правильность выпуска сертификатов для пользователя и компьютера.
4. В центре сертификации с помощью оснастки Certification Authority просмотрите и отзовите один или несколько выпущенных сертификатов, щелкнув команду Certification Authority (Computer)/CA name/Issued Certificates (центр сертификации (компьютер)/имя центра сертификации/выпущенные сертификаты) и выбрав сертификат, который необходимо отозвать. В меню Action выберите пункт All Tasks (все задачи), затем выберите команду Revoke Certificate (отозвать сертификат). Выберите причину отзыва сертификата и нажмите кнопку Yes (да).
5. В оснастке Certification Authority опубликуйте новый список CRL, щелкнув команду Certification Authority (Computer)/CA name/Revoked Certificates в дереве консоли. В меню Action выберите пункт All Tasks (все задачи), затем выберите команду Publish (опубликовать).
6. Удалите все расширения точки распределения CRL из выпускающего центра сертификации, открыв оснастку Certification Authority и выбрав центр сертификации. В меню Action выберите пункт Properties.
7. На вкладке Extensions (расширения) проверьте, чтобы для настройки Select extension (выбор расширения) было установлено значение CRL Distribution Point (CDP) (точка распределения CRL).
8. Выберите любые точки распределения CRL в списке, нажмите кнопку Remove (удалить), затем нажмите кнопку OK.
9. Выключите или перезапустите службу AD CS.
10. Повторите приведенные выше шаги 1 и 2, затем проверьте, чтобы клиенты по-прежнему могли получить данные об отзыве. Для этого используйте оснастку Certificates, чтобы экспортировать сертификат в файл (*.cer). Введите в командной строке следующий текст:
certutil -url
11. В появившемся диалоговом окне Verify and Retrieve (проверка и извлечение) выберите команду From CDP (из точки CDP) и From OCSP (из протокола OCSP) и сравните результаты.
|
|
