Мой маленький офис на пару тысяч пользователей. Часть 2.1. Центр сертификации на базе MS AD CS для тестовой среды

19.03.2014 - 14:07

Добрый день!

Тема сертификации, на текущий момент, очень важна. Ни одна из бизнес систем Microsoft, систем безопасности различных вендоров, сетевых железяк не могут работать без сертификатов. Корпоративный центр сертификации - первый шаг на пути к повышению уровня безопасности корпоративной ИТ инфраструктуры.
В этой статье я хочу отобразить простую настройку центра сертификации для тестовых сред, для продуктивных сред данная конфигурация крайне не рекомендуется, так как очень небезопасна. Также, будет рассмотрена базовая настройка и создана политика автоматического распространения корневых сертификатов для участников сети.
Для экономии ресурсов, было принято установить ЦС на контроллере домена. Разворачиваемые роли:

  • Certification Authority - сам центр сертификации
  • Certification Authority Web Enrollment - веб сервис выдачи сертификатов по CSR (хеш сертификата)
  1. Добавляем новую роль через Server Manager и пропускаем несколько страниц приветствия и ненужного текста.
  2. Выбираем сервер, на котором будем разворачивать роль ЦС (текущий сервер):
    1.png
  3. Выбираем роль сервера - Active Directory Certification Authority:
    2.png
  4. Подтверждаем установку фьючерсов:
    3.png
    и нажимаем Next.
  5. Выбираем сервисы, которые мы хотим развернуть. Как я и писал ранее, это центр сертификации и веб-сервис выдачи сертификатов
    5.png
  6. Последний сервис требует установки IIS, соглашаемся:
    6.png
  7. Пропускаем ещё пару страниц и переходим к выбору необходимых параметров IIS, где ничего не трогаем и переходим далее.
    9.png
  8. Подтверждаем установку сервиса:
    10.png
  9. Сервис установлен:
    11.png
  10. В панели Server Manager, рядом с установкой новых ролей, нажимаем на флажок, который уведомляет о необходимости настройки сервиса:
    12.png
  11. Выбираем пользователя, от имени которого настраиваем сервис (подтверждаем, что от имени администратора домена):
    13.png
  12. Выбираем сервисы для настройки:
    14.png
  13. Определяем тип установки ЦС - Enterprise, так как он находится на сервере, который входит в домен и будет онлайн:
    15.png
  14. Определяем тип ЦС - корневой центр сертификации, т.е. данный сервер будет издавать и хранить корневые сертификаты, и на их основе будет выдавать клиентские сертификаты:
    16.png
  15. Создаём новый приватный ключ:
    17.png
  16. Выбираем параметры ключа (всё по умолчанию):
    18.png
  17. Определяем имя ЦС (как по мне - ненужная операция):
    19.png
  18. Определяем период, в течении которого будет валиден корневой сертификат - 5 лет, по умолчанию, с головой хватит:
    20.png
  19. Оставляем пути баз данных ЦС по умолчанию:
    21.png
  20. Резюмируем "настройки" и приступаем к настройке:
    22.png
  21. Сервис настроен:
    23.png

Центр сертификации успешно настроен. Я предлагаю настроить политику распространения корневых сертификатов для всех участников домена:

  1. Открываем Group Policy Management и создаём новую политику (Create a GPO in this domain, and Link it here...):
    31.png
  2. Назовём политику как-нибудь:
    24.png
  3. Проходим по пути: "Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies", где находим шаблон "Certificate Services Client - Auto-Enrollment"
    32.png
  4. Определяем параметры политики:
    33.png

После создания данной политики, на работающей машине запускаем команду:

gpupdate /force

и находим наш корневой сертификат в консоли сертификатов:
34.png

Запустить консоль:

  1. mmc.exe
  2. Certificate Snap-In
  3. Computer account
  4. Local computer
  5. В дереве: Console root > Certificates > Trusted Root Certificates

На этом всё. Следующая статья - как настроить центр сертификации для продуктивной среды. Там всё гораааааздо сложнее Winking

Ваша оценка: Нет Средняя: 3.8 (4 голосов)