2. Получение сертификата для сервера шлюза служб терминалов
Для полноценного восприятия материала, изложенного в настоящем разделе, необходимо иметь представление о цепочках доверия, подписывании сертификатов и общих принципах их настройки. Инструкции по настройке инфраструктуры открытых ключей PKI в ОС Windows Server 2008 см. в документе «ITPROADD-204: (Усовершенствованная инфраструктура открытого ключа в ОС Windows Vista и Windows Server 2008)» (на английском языке, http://go.microsoft.com/fwlink/?LinkId=93995). Инструкции по настройке инфраструктуры открытых ключей PKI в ОС Windows Server 2003 см. в документе «Инфраструктура открытого ключа» (на английском языке, http://go.microsoft.com/fwlink/?LinkID=54917).
Как указывалось ранее в настоящем руководстве, пакеты, которыми обмениваются через интернет клиенты служб терминалов и серверы шлюзов служб терминалов, по умолчанию зашифровываются средствами протокола TLS 1.0. TLS – это стандартный протокол, обеспечивающий безопасность передачи данных в интернете и интрасетях. Протокол TLS представляет собой новейшую и в наилучшей степени защищенную версию протокола SSL. Подробнее о протоколе TLS можно узнать из следующих материалов:
«Протоколы SSL и TLS в ОС Windows Server 2003» (на английском языке, http://go.microsoft.com/fwlink/?LinkID=19646);
«RFC 2246: «Протокол TLS версии 1.0» (на английском языке, http://go.microsoft.com/fwlink/?LinkID=40979).
Для обеспечения корректной работы протокола TLS на сервере шлюза служб терминалов необходимо установить SSL-совместимый сертификат X.509.
Требования к сертификатам шлюза служб терминалов
Сертификаты шлюза служб терминалов должны отвечать следующим требованиям.
Имя (имя сертификата, CN), указанное в строке темы сертификата сервера, должно совпадать с DNS-именем, при помощи которого клиент подключается к серверу шлюза служб терминалов. Исключения из этого правила связаны с применением групповых сертификатов и атрибутов сертификатов системной сети SAN. Если сертификаты в организации выдаются корпоративным центром сертификации (CA), необходимо настроить шаблон сертификата таким образом, чтобы в запросе на выдачу сертификата содержалось соответствующее имя. Если же сертификаты выдаются изолированным центром сертификации, данное требование не применяется.
 Примечание
В случае применения сертификатов с атрибутами системной сети SAN на любом компьютере, подключающемуся к серверу шлюза служб терминалов, должен работать клиент подключения к удаленному рабочему столу (RDC) 6.1 (клиент RDC 6.1 [6.0.6001] поддерживает протокол удаленного рабочего стола 6.1). Клиент RDC 6.1 входит в состав ОС Windows Server 2008, а также бета-версий ОС Windows Vista с пакетом обновления 1 (SP1) и Windows XP с пакетом обновления 3 (SP3). Бета-версии пакета обновления 1 (SP1) для Windows Vista и пакета обновления 3 (SP3) для Windows XP доступны участникам соответствующих программ Microsoft® Connect Beta на веб-узле MS Connect по адресу http://go.microsoft.com/fwlink/?LinkID=102024.
Сертификат должен быть сертификатом компьютера.
Назначением сертификата должна быть проверка подлинности сервера. Значением параметра Extended Key Usage (EKU, расширенное использование ключа) должно быть Server Authentication (1.3.6.1.5.5.7.3.1).
С сертификатом должен быть сопоставлен закрытый ключ.
Сертификат не должен быть просрочен. Рекомендуется устанавливать сертификат, действительный в течение одного года.
Наличие идентификатора объекта сертификата (OID) 2.5.29.15 не является обязательным. В то же время, если устанавливаемый сертификат содержит идентификатор объекта 2.5.29.15, он применим только при наличии следующих значений использования ключа: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE и CERT_DATA_ENCIPHERMENT_KEY_USAGE.
Подробнее об этих значениях см. в документе Advanced Certificate Enrollment and Management (подача заявок и управление сертификатами для опытных пользователей) (на английском языке) на веб-ресурсе http://go.microsoft.com/fwlink/?LinkID=74577.
Клиенты должны признавать сертификат достоверным. Иначе говоря, общедоступный сертификат центра сертификации, от которого был получен сертификат сервера шлюза служб терминалов, должен находиться в хранилище доверенных корневых центров сертификации на каждом клиентском компьютере.
Применение имеющихся сертификатов
Имеющийся сертификат можно применять с сервером шлюза служб терминалов при условии, что:
он выдан одним из доверенных общедоступных центров сертификации, участвующих в программе корневых сертификатов корпорации Microsoft согласно перечню, приведенному в статье 931125 базы знаний корпорации Майкрософт на веб-ресурсе http://go.microsoft.com/fwlink/?LinkID=59547;
он отвечает требованиям к сертификации сервера шлюза служб терминалов.
Если применяемый сертификат не участвует в программе корневых сертификатов корпорации Майкрософт (к примеру, если на сервере шлюза служб терминалов создан и установлен самозаверяющий сертификат, но не выполнена ручная настройка доверия компьютеру клиента служб терминалов), то при попытке клиента установить подключение через сервер шлюза служб терминалов будет выведено предупреждение об отсутствии достоверного сертификата, и попытка подключения будет отклонена. Чтобы избежать этой ошибки, перед тем как клиент попытается установить подключение через сервер шлюза служб терминалов, поместите сертификат в хранилище сертификатов клиентского компьютера.
Обзор процесса установки и настройки сертификата
Процесс получения, установки и настройки сертификата сервера шлюза служб терминалов состоит из следующих этапов.
1. Получите сертификат сервера шлюза служб терминалов одним из перечисленных ниже способов.
Если в компании имеется центр сертификации предприятия или изолированный центр сертификации, настройки которого позволяют выдавать SSL-совместимые сертификаты X.509, соответствующие требованиям шлюза служб терминалов, то сформировать и отправить запрос на выдачу сертификата можно несколькими способами, в зависимости от политик и настроек центра сертификации. Методы получения сертификата таковы:
автоматическая подача заявки из оснастки Certificates (сертификаты);
отправка запроса на сертификат при помощи мастера запроса сертификатов;
отправка запроса на сертификат через интернет;
Примечание
При работе с центром сертификации ОС Windows Server 2003 имейте в виду, что служба подачи заявок на сертификат через интернет, реализованная в ОС Windows Server 2003, зависит от элемента управления ActiveX под именем Xenroll. Он предусмотрен в ОС Microsoft Windows 2000, Windows Server 2003 и Windows XP. В то же время, в ОС Windows Server 2008 и Windows Vista элемент управления Xenroll считается устаревшим. Образцы веб-страниц для подачи заявок на сертификаты, представленные в первоначальных выпусках ОС Windows Server 2003, пакетов обновления 1 (SP1) и 2 (SP2) для ОС Windows Server 2003, не учитывают изменения в процедуре подачи заявок на сертификаты, реализованные в ОС Windows Server 2008 и Windows Vista. Подробнее о способах решения этой проблемы см. в статье 922706 базы знаний корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=94472).
отправка запроса на сертификат при помощи программы командной строки Certreq.
Инструкции по получению сертификатов для ОС Windows Server 2008 перечисленными методами см. в разделе «Obtain a Certificate» (получение сертификатов) справочной системы оснастки Certificates и в разделе «Certreq» справочника команд ОС Windows Server 2008. Для просмотра разделов справочной системы оснастки Certificates нажмите кнопку Start, выберите вариант Run (выполнить), введите команду hh certmgr.chm и нажмите кнопку OK. Инструкции по отправке запросов на сертификаты для ОС Windows Server 2003 см. в статье Requesting Certificates (отправка запросов на сертификаты) (на английском языке, http://go.microsoft.com/fwlink/?LinkID=19638).
Сертификат, выданный центром сертификации предприятия или изолированным центром сертификации, должен быть также подписан доверенным общедоступным центром сертификации, участвующем в программе корневых сертификатов корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkID=59547). В противном случае попытки подключения к ресурсам с домашних компьютеров и компьютеров-киосков через серверы шлюзов служб терминалов могут завершаться ошибками. Подобные ошибки связаны с тем, что доверие к корневым сертификатам, выданным центром сертификации предприятия, со стороны компьютеров, не входящих в домен предприятия, в том числе домашних компьютеров и компьютеров-киосков, не гарантируется.
Если в организации нет ни центра сертификации предприятия, ни изолированного центра сертификации, способного выдавать SSL-совместимые сертификаты X.509, сертификат можно приобрести у доверенного общедоступного центра сертификации, участвующего в программе корневых сертификатов корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkID=59547). Некоторые поставщики предоставляют бесплатные сертификаты на ограниченный период.
Если в компании нет ни центра сертификации предприятия, ни изолированного центра сертификации, ни совместимого сертификата, полученного от доверенного общедоступного центра сертификации, то в целях технической оценки и тестирования для сервера шлюза служб терминалов можно создать самозаверяющий сертификат. Пошаговые инструкции по созданию самозаверяющих сертификатов см. в разделе «Создание самозаверяющего сертификата для шлюза служб терминалов».
Образцы конфигураций, приведенные в настоящем руководстве, основываются на применении самозаверяющих сертификатов.
 Внимание!
В случае применения первых двух методов получения сертификата (от изолированного центра сертификации, центра сертификации предприятия или доверенного общедоступного центра сертификации) его следует установить на сервере шлюза служб терминалов и выполнить сопоставление. Установка и сопоставление самозаверяющего сертификата не выполняются, если он был создан с помощью мастера добавления ролей Add Roles Wizard во время установки службы роли «шлюз служб терминалов» или посредством диспетчера шлюза служб терминалов после завершения ее установки (так, как описано в разделе «Создание самозаверяющего сертификата для шлюза служб терминалов»). В таком случае сертификат автоматически создается, устанавливается в нужном каталоге на сервере шлюза служб терминалов и сопоставляется с этим сервером.
Примечание
У каждого клиента служб терминалов в хранилище доверенных корневых центров сертификации должен находиться сертификат, выданный тем же центром сертификации, от которого получен сертификат сервера. Следовательно, после создания самозаверяющего сертификата согласно процедуре, описанной в настоящем руководстве, необходимо скопировать этот сертификат на клиентский компьютер (или в общую сетевую папку, доступ к которой с клиентского компьютера разрешен), а затем установить его в хранилище доверенных корневых центров сертификации этого компьютера. Пошаговые инструкции см. в разделе «Установка корневого сертификата сервера шлюза служб терминалов в хранилище доверенных корневых центров сертификации клиента служб терминалов».
В случае применения одного из первых двух методов получения сертификата и при условии, что клиент служб терминалов доверяет выдавшему сертификат центру сертификации, устанавливать в хранилище сертификатов клиентского компьютера сертификат, выданный тем же центром сертификации, что и сертификат сервера, не требуется. В частности, устанавливать сертификат центра сертификации в хранилище сертификатов клиентского компьютера не нужно, если на сервере шлюза служб терминалов установлен сертификат VeriSign или любой другой сертификат, полученный от доверенного общедоступного центра сертификации.
В случае получения сертификата по третьему методу (т.е. при создании самозаверяющего сертификата) сертификат, полученный от того же центра сертификации, что и сертификат сервера, необходимо скопировать на клиентский компьютер. Затем его следует установить в хранилище доверенных корневых центров сертификации этого компьютера. Подробную информацию см. в разделе «Установка корневого сертификата сервера шлюза служб терминалов в хранилище доверенных корневых центров сертификации клиента служб терминалов».
2. Установите сертификат.
См. последующий раздел «Установка сертификата на сервере шлюза служб терминалов», содержащий инструкции по установке сертификата на сервере шлюза служб терминалов.
3. Выполните сопоставление сертификата.
См. последующий раздел «Сопоставление сертификата сервера шлюза служб терминалов», содержащий инструкции по настройке применения сервером шлюза служб терминалов существующего сертификата.
Создание самозаверяющего сертификата для шлюза служб терминалов
В настоящем разделе излагается процедура создания при помощи диспетчера шлюза служб терминалов самозаверяющего сертификата в целях выполнения технической оценки и тестирования. Данная процедура применяется в тех случаях, когда при установке службы роли «шлюз служб терминалов» самозаверяющий сертификат не был создан средствами мастера Add Roles Wizard.
Внимание!
Самозаверяющие сертификаты рекомендуется применять исключительно в целях технической оценки и тестирования. После создания самозаверяющего сертификата его необходимо скопировать на клиентский компьютер (или в общую сетевую папку, доступ к которой с клиентского компьютера разрешен), а затем установить в хранилище доверенных корневых центров сертификации этого компьютера.
Установка и сопоставление самозаверяющего сертификата не выполняются, если он был создан с помощью мастера Add Roles Wizard во время установки службы роли «шлюз служб терминалов» или посредством диспетчера шлюза служб терминалов после завершения ее установки (так, как описано в настоящей процедуре).
 Создание самозаверяющего сертификата для сервера шлюза служб терминалов
-
|
1. Откройте диспетчер шлюза служб терминалов. Для этого нажмите кнопку Start, выберите вариант Administrative Tools, затем Terminal Services (службы терминалов), а затем – TS Gateway Manager (диспетчер шлюза служб терминалов).
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. В секции Configuration Status (состояние конфигурации) в области результатов нажмите кнопку View or modify certificate properties (просмотреть или изменить свойства сертификата).
4. На вкладке SSL Certificate (SSL-сертификат) последовательно нажмите кнопки Create a self-signed certificate for SSL encryption (создать самозаверяющий сертификат для SSL-шифрования) и Create Certificate (создать сертификат).
5. При появлении диалогового окна Create Self-Signed Certificate (создание самозаверяющего сертификата) выполните следующие действия:
a) убедитесь в том, что в поле Certificate name (имя сертификата) указано верное общее имя (CN) самозаверяющего сертификата, или укажите новое имя, имея в виду, что, за исключением случаев применения групповых сертификатов и атрибутов SAN сертификатов, общее имя должно соответствовать DNS-имени, с помощью которого клиенты подключаются к серверу шлюза служб терминалов;
б) чтобы сохранить корневой сертификат в каталоге, из которого удобно вручную распространить его среди клиентских компьютеров, проверьте, установлен ли флажок Store the root certificate (сохранить корневой сертификат) в секции Certificate location (расположение сертификата), а затем укажите искомое расположение сертификата; по умолчанию указанный флажок установлен, а сертификат сохраняется в папке %Windir%\Users\<�имя_пользователя>\Documents;
в) нажмите кнопку OK.
6. Если установлен флажок Store the root certificate и указано искомое расположение сертификата, на экране появится сообщение об успешном создании шлюзом служб терминалов самозаверяющего сертификата с указанием каталога, в котором этот сертификат будет сохранен. Чтобы закрыть это сообщение, нажмите кнопку OK.
7. Чтобы закрыть диалоговое окно Properties (свойства) сервера шлюза служб терминалов, нажмите кнопку OK еще раз.
|
|
