Упражнение 14. Установка и конфигурирование служб сертификации

Установите корневой ЦС предприятия и с его помощью выпустите, устано­вите и отзовите несколько сертификатов. Рекомендуется всегда создавать корневой ЦС, который будет лишь генерировать сертификаты для подчи­ненных ЦС. А они в свою очередь будут выпускать сертификаты для конкретных целей — обслуживания приложений и аутентификации. Применять главный ЦС для этих целей небезопасно, так как при нарушении его защи­ты все выпущенные сертификаты будут скомпрометированы. Впрочем, для обучения установке и конфигурированию достаточно настроить только кор­невой ЦС.

Задание 1: установка служб сертификации и конфигурирование ЦС

Установите службы сертификации на ServerX. Он будет выполнять роль корневого ЦС предприятия.

1. Зарегистрируйтесь на ServerX как Administrator (Администратор) с паролем password.

2. Раскройте меню Start\Settings (Пуск\Настройка) и щелкните ярлык Control Panel (Панель управления). Откроется окно Control Panel (Панель управления).

3. Дважды щелкните значок Add/Remove Programs (Установка и удаление программ). Откроется одноименное окно.

4. На левой панели щелкните значок Add/Remove Windows components (Добавление и удаление компонентов Windows). Откроется окно мастера компонентов Windows.

5. Пометьте флажок Certificate Services (Службы сертификации).

Появится сообщение, что после установки служб сертификации данный компьютер не сможет быть переименован, включен в домен или удален из его состава.

6. Щелкните кнопку Yes (Да).

7. В окне Windows Components (Компоненты Windows) щелкните кнопку Details (Состав). Откроется окно Certificate Services (Службы сертификации).

Дополнительные компоненты включают как службу для создания ЦС, так и регистрационную Web-форму для запросов и получения сертификатов от ЦС.

8. Щелкните кнопку ОК.

9. В окне Windows Components (Компоненты Windows) щелкните кнопку Next (Далее). Откроется окно Certification Authority Type (Тип центра сертификации).

10. Выберите последовательно каждый переключатель и изучите описание каждого типа ЦС.

Заметьте: ЦС предприятия можно установить, только если на сервере установлены службы Active Directory. Изолированный ЦС не зависит от Active Directory, хотя, если эта служба каталогов установлена, будет к ней обращаться. Подчиненный ЦС можно создать только при наличии вышестоящего ЦС.

11. Щелкните переключатель Enterprise Root CA (корневой ЦС предприятия), пометьте флажок Advanced Options (Дополнительные возможности) и щелкните кнопку Next (Далее).

Откроется окно Public and Private Key Pair (Пара из открытого и закрытого ключей). На Ваш выбор предлагается несколько поставщиков служб шифрования (Cryptographic Service Providers, CSP), каждый из которых имеет один или несколько алгоритмов хеширования для генерации пар ключей. Здесь же Вы можете задать длину ключа или применить существующий ключ, установленный на компьютере, а также импортировать ключи и просматривать сертификаты.

12. Убедитесь, что в списке CSP (Поставщик CSP) выбран пункт Microsoft Base Cryptographic Provider vl.0, в списке Hash Algorithm (Алгоритм хеширования) — SHA-1, а в списке Key Length (Длина ключа) — Default (По умолчанию). Щелкните кнопку Next (Далее). Откроется окно СА Identifying Information (Сведения о центре сертификации).

13. Введите информацию из следующей таблицы в текстовые поля этого окна:

Поле	Вводимое значение
СА name (Имя ЦС)	Enterprise СА
Organization (Организация)	Microsoft Corporation
Organizational unit (Подразделение)	Microsoft Press
City (Город)	Redmond
State or province (Область)	Washington
E-mail (Электронная почта)	camp@nucrosoft.com
СА description (Описание ЦС)	Root СА for self-study training only

Заметьте: данный сертификат будет иметь силу в течение двух лет.

14. Щелкните кнопку Next (Далее).

Откроется окно Data Storage Location (Размещение хранилища данных).

По умолчанию БД сертификатов и ее журнал CertLog помещаются в загрузочном разделе диска. Если его емкость невелика, укажите другой защищенный раздел.

Флажок Store configuration information in a shared folder (Сохранить сведения о конфигурации в общей папке) не имеет значения, если на компьютере есть Active Directory и компьютер, работающий как ЦС, входит в какой-либо домен. Ин формация о конфигурации данного ЦС автоматически публикуется в хранилище Active Directory.

15. Щелкните кнопку Next (Далее).

Появится сообщение, что в данный момент работает служба IIS и для продолжения установки надо завершить работу этой службы.

16. Щелкните кнопку ок.

Откроется окно Configuring Components (Настройка компонентов), а затем — окно Completing the Windows Components Wizard (Завершение работы мастера компонентов Windows).

17. Щелкните кнопку Finish (Готово), а затем в окне Add/Remove Programs — кнопку Close (Закрыть).

18. Закройте окно Control Panel.

Задание 2: работа со службами сертификации

Сгенерируйте, установите и отзовите сертификат для ServerX. Для этого задействуй те Web-страницу работы с сертификатами и оснастку Certificate Authority (Центр сертификации).

1. Раскройте меню Start\Programs\Administrative Tools (Пуск\Программы \Администрирование) и щелкните ярлык Certification Authority (Центр сертификации). Откроется оснастка Certification Authority (Центр сертификации).

2. В дереве консоли раскройте узел Enterprise СА.

3. 3. Выберите папку Pending Requests (Запросы в ожидании) и сверните окно оснастки.

4. В меню Start (Пуск) и выберите команду Run (Выполнить). Откроется диалоговое окно Run (Запуск программы).

5. В поле Open (Открыть) наберите http://serverx/certsrv и щелкните кнопку ОК. Откроется окно мастера подключения к Интернету.

6. Выберите способ подключения — I Connect Through A Local Area Network (LAN) (С помощью локальной сети). Затем щелкните кнопку Next (Далее).

Откроется окно Local Area Network Internet Configuration (Параметры Интернета для локальной сети).

7. Сбросьте флажок Automatic Discovery Of Proxy Server (Recommended) (Автоматическое определение прокси-сервера) и щелкните •кнопку Next (Далее). Откроется окно Set Up Your Internet Mail Account (Настройте учетную запись почты Интернета).

8. Щелкните переключатель No (Нет), а затем — кнопку Next (Далее).

Откроется окно Completing The Internet Connection (Завершение настройки).

9. Щелкните кнопку finish (Готово).

В Internet Explorer откроется страница работы с сертификатами.

10. Изучите информацию на этой странице и убедитесь, что выбран переключатель Request A Certificate (Запросить сертификат).

11. Щелкните кнопку Next (Далее).

Откроется страница Choose Request Type (Выбор Типа запроса) с выбранным пунктом User Certificate Request (Запрос сертификата пользователя).

12. Щелкните кнопку Next (Далее).

Откроется страница User Certificate — Identifying Information (Сертификат про граммы Обзора веба — Идентифицирующая информация).

13. Заполните два первых поля и щелкните кнопку More Options (Дополнительные параметры).

Заметьте: выбран тот тип CSP, который Вы задали при установке служб сертификации.

14. Щелкните кнопку Submit (Выдать запрос)¹.

15. Щелкните ссылку Ноmе (Домой), чтобы вернуться на основную страницу работы с сертификатами.

16. Сверните окно Internet Explorer и восстановите окно оснастки Certification Authority (Центр сертификации).

На правой панели оснастки появится Ваш запрос сертификата. Если Вы не увидите его, нажмите клавишу F5, чтобы обновить содержимое панели.

17. Щелкните значок запроса правой кнопкой мыши, в контекстном меню выбери те All Tasks (Все задачи), а затем — команду Issue (Выдать).

18. В дереве консоли выберите папку Issued Certificates (Выданные сертификаты). На правой панели оснастки появится Ваш сертификат; Если Вы не увидите его, нажмите клавишу F5, чтобы обновить содержимое панели.

19. Дважды щелкните этот сертификат. Откроется диалоговое окно Certificate (Сертификат) с тремя вкладками.

20. Перейдите на вкладку Details (Состав).

21. В списке под раскрывающимся списком Show (Показать) щелкните строку Issuer (Поставщик).

В нижнем текстовой области будут отражены сведения, которые Вы ввели в окне СА Identifying Information (Сведения о центре сертификации).

22. Щелкните кнопку ОК, чтобы закрыть окно свойств сертификата.

23. Сверните окно оснастки Certification Authority и восстановите окно Internet Explorer.

24. Щелкните переключатель Check on a pending certificate (Проверить ожидающий выполнения запрос на сертификат), а затем — кнопку Next (Далее). Откроется страница с информацией об ожидающих выполнения запросах сертификатов.

25. Щелкните кнопку Next (Далее).

Откроется страница Certificate Issued (Сертификат выдан).

26. Щелкните ссылку Install This Certificate (Установить этот сертификат). Откроется страница Certificate Installed (Сертификат установлен).

27. Закройте Internet Explorer.

28. Восстановите окно оснастки Certification Authority (Центр сертификации) и на ее правой панели выберите Ваш сертификат.

29. В меню Action (Действие) выберите All Tasks (Все задачи), а затем — команду Revoke Certificate (Отзыв сертификата). Откроется диалоговое окно Certificate Revocation (Отзыв сертификатов).

30. В списке Reason Code выберите Key Compromise (Компрометация ключа) и щелкните кнопку Yes (Да).

31. В дереве консоли щелкните папку Revoked Certificates (Отозванные сертификаты). Отозванный сертификат появится на правой панели.

32. В меню Action (Действие) выберите All Tasks (Все задачи), а затем — команду Publish (Публикация).

Откроется диалоговое окно Certificate Revocation List (Список отзыва сертификатов) с сообщением, что предыдущий список еще действителен.