3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf
З а н я т ие |
1 |
|
Установка |
с л у ж б с е р т и ф и к а ц и и |
|
Active |
Directory |
75 - ] |
||
|
• |
Ц е н т р С Л |
в ы д а ч и |
с е р т и ф и к а т о в с л е д у е т у с т а н о в и т ь в |
W i n d o w s |
Ser - |
||||
|
|
ver 2 0 0 8 E n t e r p r i s e |
E d i t i o n |
и л и |
W i n d o w s Server 2008 |
D a t a c e n t e r Edition . |
||||
|
• |
К о р н е в о м у |
С А т р е б у ю т с я |
к а к |
м и н и м у м д в а диска, |
а |
С А в ы д а ч и серти - |
|||
|
|
ф и к а т о в — т р и : д л я х р а н е н и я б а з ы д а н н ы х с е р т и ф и к а т о в и ее журналов . |
||||||||
• |
Д л я у с т а н о в к и |
с л у ж б ы N D E S |
п о т р е б у е т с я о с о б а я у ч е т н а я з а п и с ь пользо - |
|||||||
|
в а т е л я . С о з д а й т е у ч е т н у ю з а п и с ь д о м е н а и д о б а в ь т е ее в г р у п п у I I S _ I U S R S |
|||||||||
|
н а |
к а ж д о м с е р в е р е , к о т о р ы й у п р а в л я е т э т о й с л у ж б о й . Н а п р и м е р , в ы можете |
||||||||
|
з а д а т ь д л я э т о й у ч е т н о й з а п и с и и м я N D E S S e r v i c e . |
|
|
|
|
|||||
• |
К л и е н т с к и е к о м п ь ю т е р ы (в и д е а л е — W i n d o w s V i s t a ) |
д л я запроса и |
полу - |
|||||||
че н и я с е р т и ф и к а т о в .
КС В Е Д Е Н И Ю Развертывание AD CS
Б о л е е п о д р о б н у ю и н ф о р м а ц и ю о |
развертывании AD CS можно найти по адресу |
|
http://technet2Microsoft.com/windowsserver2008/en/library/a8/53a9b-f3/6-4b13-8253- |
||
dbf183a5aa621033.mspx?mfr-true. |
|
|
Т е п е р ь м о ж е т е п е р е х о д и т ь к |
с а м о м у |
п р о ц е с с у у с т а н о в к и . Д л я установки |
н е з а в и с и м о г о к о р н е в о г о ц е н т р а |
с е р т и ф и к а ц и и и с п о л ь з у й т е и н с т р у к ц и и , при- |
|
в е д е н н ы е в м а т е р и а л а х п р а к т и ч е с к и х з а н я т и й . |
||
Практические занятия. Установка иерархии центров |
||
сертификации |
|
|
В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х в ы |
с о з д а д и т е д в у х ъ я р у с н у ю архитектуру |
|
A D C S и у с т а н о в и т е к о м п о н е н т |
N D E S . |
Д л я в ы п о л н е н и я у п р а ж н е н и й нужно |
п о д г о т о в и т ь х о т я бы |
т р и в и р т у а л ь н ы х сервера, как описано в подразделе «Пре- |
ж д е в с е г о » в н а ч а л е |
э т о й г л а в ы . |
Упражнение 1. Установка AD CS в качестве независимого центра сертификации
В э т о м у п р а ж н е н и и в ы с о з д а д и т е н е з а в и с и м ы й к о р н е в о й центр сертификации, к о т о р ы й б у д е т и с п о л ь з о в а т ь с я в и е р а р х и и СА . У п р а ж н е н и е н у ж н о в ы п о л -
н и т ь н а м а ш и н е S E R V E R 0 3 . Д л я |
в ы п о л н е н и я |
у п р а ж н е н и я т а к ж е требуется |
|||||
з а п у с т и т ь к о н т р о л л е р S E R V E R 0 1 |
д о м е н а , р я д о в ы м членом которого я в л я е т с я |
||||||
м а ш и н а S E R V E R 0 3 . |
|
|
|
|
|
|
|
1 . В о й д и т е н а |
м а ш и н у |
S E R V E R 0 3 к а к а д м и н и с т р а т о р домена . |
|
||||
Н а с а м о м д е л е в а м |
н у ж н ы л и ш ь п р а в а |
д о с т у п а л о к а л ь н о г о |
администра - |
||||
т о р а , о д н а к о |
д л я в ы п о л н е н и я |
д а н н о г о |
у п р а ж н е н и я следует |
использовать |
|||
р а з р е ш е н и я |
д о с т у п а |
а д м и н и с т р а т о р а д о м е н а . Н а сервере м о ж н о использо- |
|||||
в а т ь с и с т е м ы W i n d o w s |
S e r v e r 2 0 0 8 S t a n d a r d |
Edition, W i n d o w s Server 2008 |
|||||
E n t e r p r i s e E d i t i o n и л и |
W i n d o w s S e r v e r 2 0 0 8 |
D a t a c e n t e r Edition. |
|||||
2. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) .
3 . На п а н е л и д е р е в а |
щ е л к н и т е п р а в о й к н о п к о й м ы ш и узел Р о л и (Roles) и вы- |
п о л н и т е к о м а н д у |
Д о б а в и т ь р о л и ( A d d Roles). |
[. 7 5 0 |
Службы сертификации Active Directory |
Глава 15 |
4 . Просмотрите сведения на с т р а н и ц е П е р е д н а ч а л о м р а б о т ы |
( B e f o r e You |
|
Begin) и щелкните кнопку Далее (Next) . |
|
|
5. На странице Выбор ролей сервера (Select Server Roles) выберите роль С л у ж -
бы сертификации Active Directory (Active D i r e c t o r y C e r t i f i c a t e |
Services) |
|
и щелкните кнопку Далее (Next) . |
|
|
6 . На странице З н а к о м с т в о со с л у ж б а м и с е р т и ф и к а ц и и A c t i v e |
D i r e c t o r y |
|
(Active Directory |
Certificate Services) п р о с м о т р и т е с в е д е н и я о в ы б р а н н о й |
|
роли и щелкните |
кнопку Далее (Next) . |
|
7. На странице Выбор служб ролей (Select Role Services) выберите службу Центр
сертификации |
(Certification A u t h o r i t y ) и |
щ е л к н и т е к н о п к у Д а л е е ( N e x t ) . |
|||
Поскольку вы |
устанавливаете |
к о р н е в о й |
СА, к о т о р ы й будет о т к л ю ч е н от |
||
сети сразу после создания СА |
выдачи с е р т и ф и к а т о в , |
не н а з н а ч а й т е э т о м у |
|||
серверу дополнительные роли и службы . |
|
|
|||
8 . На странице |
Задание типа установки (Specify S e t u p |
Т у р е ) в ы б е р и т е т и п |
|||
Автономный |
ЦС (Standalone) |
и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) . |
|||
9 . На странице Задание типа ЦС ( С А Туре) выберите т и п К о р н е в о й ЦС ( R o o t СА) и щелкните кнопку Далее (Next) .
10. На странице Установка закрытого к л ю ч а ( S e t Up P r i v a t e K e y ) в ы б е р и т е параметр Создать новый закрытый ключ (Create A N e w Private Key) и щ е л к - ните кнопку Далее (Next).
Новый частный ключ необходим, поскольку вы создаете н о в ы й к о р н е в о й центр сертификации. Однако если вы переустанавливаете СА и з - з а с и с т е м - ного сбоя, нужно использовать с у щ е с т в у ю щ и й ключ, к о т о р ы й б ы л сгене - рирован во время исходной установки корневого СА. К р о м е того, е с л и вы создавали корневой СА для связывания с в н е ш н и м с т о р о н н и м СА, следует выбрать последний параметр и использовать к л ю ч с т о р о н н е г о СА . Ч т о б ы получить доступ к этой опции, перед инсталляцией AD CS этот к л ю ч н у ж н о установить на сервере. Д л я установки сертификата используйте и н с т р у к ц и и стороннего СА.
11. Н а странице Настройка ш и ф р о в а н и я д л я Ц С ( C o n f i g u r e C r y p t o g r a p h y For СА) выберите рекомендуемого поставщика с л у ж б ы ш и ф р о в а н и я C S P (Cryptographic Service Provider). Выберите д л и н у к л ю ч а 2048. В ы б е р и т е алгоритм хэширования shal для подписи сертификатов, в ы д а в а е м ы х э т и м СА. Кроме того, установите ф л а ж о к Использовать н а д е ж н ы е средства защиты закрытого ключа, предоставленные C S P ( U s e S t r o n g P r i v a t e Key Protection Features Provided By This C S P ) .
На этой странице есть несколько опций.
• Поставщики служб шифрования ( C S P ) представляют собой механизмы,
которые будут использоваться программным |
A P I - и н т е р ф е й с о м прило - |
|||
жения Microsoft Crypto для генерирования |
пары к л ю ч е й этого корне - |
|||
вого СА. Поставщики CS могут быть |
аппаратными и п р о г р а м м н ы м и . |
|||
Например, поставщик R S A # M i c r o s o f t |
Software Key |
S t o r a g e |
P r o v i d e r |
|
является программным, а поставщик |
R S A # M i c r o s o f t |
S m a r t |
C a r d Key |
|
Storage Provider — аппаратным. |
|
|
|
|
Занятие 1 |
|
Установка служб сертификации Active Directory |
75-] |
||
. |
• |
Д л и н а к л ю ч а в з н а к а х определяет д л и н у ключей в паре. На странице |
|||
|
|
д о с т у п н ы |
ч е т ы р е з н а ч е н и я д л и н ы . Помните: чем длиннее ключ, |
тем |
|
|
|
б о л ь ш е м о щ н о с т е й потребуется серверу для его обработки и расшиф- |
|||
|
|
р о в к и . |
|
|
|
|
• |
А л г о р и т м ы х э ш и р о в а н и я и с п о л ь з у ю т с я д л я генерирования и назначе- |
|||
|
|
н и я х э ш - з н а ч е н и я к л ю ч е й в паре. Поскольку они назначаются ключам, |
|||
|
|
п р и подделке к л ю ч а будет изменено хэш-значение и ключ станет недейс- |
|||
|
|
т в и т е л ь н ы м . Х э ш - з н а ч е н и я обеспечивают дальнейшую защиту ключей. |
|||
|
|
В ы б и р а е м ы й а л г о р и т м просто использует другой метод вычисления для |
|||
|
|
г е н е р и р о в а н и я х э ш - з н а ч е н и я , |
|
||
|
ш |
П о с л е д н я я о п ц и я на этой странице обеспечивает дальнейшую защиту |
|||
|
|
к о р н е в о г о |
СА, п о с к о л ь к у д л я его использования необходимы админис- |
||
|
|
т р а т и в н ы е |
п р а в а доступа . Э т а опция н у ж н а для дальнейшей защиты |
||
|
|
д а н н о г о к о р н е в о г о СА. |
|
||
12. |
Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) . |
|
|||
13. На с т р а н и ц е |
З а д а н и е и м е н и ЦС (Configure C A N a m e ) введите имя Contoso- |
||||
|
Root-CA, оставьте о б щ е е и м я и с у ф ф и к с по умолчанию и щелкните кнопку |
||||
|
Д а л е е ( N e x t ) . |
|
|
||
|
Вы и с п о л ь з у е т е это и м я , п о с к о л ь к у оно вкладывается в каждый подчинен- |
||||
|
н ы й с е р т и ф и к а т , в ы д а в а е м ы й п о цепочке. |
|
|||
14. |
На |
с т р а н и ц е |
|
У с т а н о в и т ь с р о к д е й с т в и я (Set Validity Period) выставьте |
|
|
значение 20 л е т и щ е л к н и т е кнопку Далее (Next). |
|
|||
15. На с т р а н и ц е |
Н а с т р о й к а базы данных сертификатов (Configure Certificate |
||||
|
Database) у к а ж и т е место хранения базы данных сертификатов и ее журнала. |
||||
|
П о с к о л ь к у этот к о р н е в о й СА н у ж н о отключить от сети и использовать |
||||
|
только с ц е л ь ю г е н е р и р о в а н и я сертификатов д л я СА, выдающих сертифи- |
||||
|
к а т ы по цепочке, базу д а н н ы х и ее журнал нужно поместить на диск D. |
||||
16. Ч т о б ы указать р а з м е щ е н и е базы данных, щелкните кнопку Обзор (Browse),
о т к р о й т е |
д и с к D, |
щ е л к н и т е к н о п к у Создать |
папку (Make New Folder) и |
задайте д л я п а п к и |
и м я C e r t D a t a . Щ е л к н и т е |
О К . Д л я журналов создайте |
|
на диске |
D п а п к у с и м е н е м CertLogs. Щ е л к н и т е кнопку Далее (Next). |
||
К о р н е в о й |
ц е н т р с е р т и ф и к а ц и и установлен. |
|
|
Отметим, что вы больше не сможете изменить имя этого сервера, пока пред- в а р и т е л ь н о не у д а л и т е с л у ж б ы AD CS. Поэтому не следует использовать имя сервера в и м е н и СА в шаге 12.
СОВЕТ К ЭКЗАМЕНУ
Изучите эти опции установки, поскольку они являются темой экзамена.
Корневой центр сертификации установлен. Вернитесь к Диспетчеру сервера (Server M a n a g e r ) и просмотрите результаты установки. Например, на странице результатов у с т а н о в к и р о л и AD CS должно быть перечислено событие с кодом 103, как показано на рис. 15-6. В этом событии указано, что имя центра сертификации будет добавлено в контейнер Центры сертификации (Certificate
[. 7 5 2 |
Службы сертификации Active Directory |
Глава15 |
Authority) домена AD DS. В нем также указана команда, с помощью которой можно просмотреть информацию в каталоге после добавления имени.
Отключите этот центр сертификации от сети после обновления цикла групповой политики для обеспечения дальнейшей защиты сервера. Теперь можете приступать к установке первого центра выдачи сертификатов. Для обеспечения высокой готовности инфраструктуры AD CS нужно установить несколько центров выдачи сертификатов, однако установка каждого СА выполняется одним и тем же способом.
EES
Общие Подробности j |
|
|
|
|
|
Службы сертификации Active Directory добавили корневой сертификат цепочки |
|
|
|||
сертификатов 0 в ыгружениое хранилище доверенных корневых цемтрое сертификации |
|
|
|||
предприятия на компьютере ЦС Это хранилище будет обновлено И5 контейнера центров |
|
|
|||
сертификации в Active Directory при следующем применении групповой политики. |
|
|
|||
Чтобы убедиться, что сертификат ЦС опубликован правильно в Active Directory, |
|
|
|||
выполните следующую команду: cwtutil -viewstore "ldap:///CN=cootoso-Raat- |
|
|
|||
CA,CN= Certification Authofities.CN=Public Key |
|
|
j r j |
•J |
|
Имя журнала: |
Приложение |
|
|
|
|
|
|
|
•J |
||
Подач a: |
Certification Authority |
Дата: |
21Л 2.2008 6:56:35 |
|
|
Кед события; |
103 |
Категория задачи: |
Отсутствует |
|
|
Уровень: |
Предупреждение |
Ключевые слова: |
Классический |
|
|
Пользователь: |
S-1-5-1S |
Компьютер: |
SERVETO1 .contoso.com |
|
|
Код операции: |
Сведения |
|
|
|
|
Подробности: |
Веб-справка журнала |
|
|
|
|
Кспиро«ать |
|
|
|
Закрыть |
|
Рис. 15-6. Просмотр содержимого сообщения 103
ПРИМЕЧАНИЕ Установки AD CS
Пошаговое руководство по установке AD CS можно найти по адресу http://go.microsoft. com/fwlink/?LinkI d=90856.
У п р а ж н е н и е 2. Установка AD CS в качестве СА п р е д п р и я т и я , выдающего с е р т и ф и к а т ы
Теперь вы можете приступать к установке СА выдачи сертификатов. Обычно следует установить несколько центров выдачи сертификатов, чтобы обеспечить высокую готовности инфраструктуры AD CS, однако мы ограничимся одним центром сертификации. Запустите машины SERVER01, SERVER03 и SERVER04.
1. Войдите на машину SERVER04 как администратор домена.
На самом деле вам нужны лишь права доступа локального администратора, однако для выполнения данного упражнения следует использовать разрешения доступа администратора домена. На сервере можно использо-
Занятие 1 |
Установка служб сертификации Active Directory 75-] |
вать системы Windows Server 2008 Standard Edition, Windows Server 2008 Enterprise Edition или Windows Server 2008 Datacenter Edition.
2.В программной группе Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager).
3.В п а н е л и дерева щелкните правой кнопкой мыши узел Роли (Roles) и выполните команду Добавить роли (Add Roles).
4.П р о с м о т р и т е сведения на странице Перед началом работы (Before You Begin) й щелкните кнопку Далее (Next).
5.На странице Выбор ролей сервера (Select Server Roles) выберите роль Служ-
бы |
с е р т и ф и к а ц и и Active |
Directory (Active Directory Certificate |
Services) |
И щ е л к н и т е кнопку Далее (Next). |
|
||
6. На |
с т р а н и ц е З н а к о м с т в о |
со службами сертификации Active |
Directory |
(Active Directory Certificate Services) просмотрите сведения о выбранной р о л и и щелкните кнопку Далее (Next).
7. На с т р а н и ц е Выбор служб ролей (Select Role Services) выберите Центр с е р т и ф и к а ц и и (Certification Authority), Служба сетевого ответчика (Online Responder) и щелкните кнопку Далее (Next). При выборе сетевого ответчика также потребуется добавить роль веб-сервера (IIS) вместе с необхо- д и м ы м и службами. Щелкните кнопку Добавить необходимые службы роли ( A d d Required Role Services).
8. Щ е л к н и т е кнопку Далее (Next).
Вы не в ы б р а л и службу подачи заявок в центр сертификации через Интернет ( С А Web Enrollment), поскольку она представляет внутренний СА п р е д п р и я т и я , а для распространения сертификатов среди пользователей и устройств центры сертификации предприятия задействуют AD DS. Если вы установили этот СА во внешней сети, можете включить подачу заявок
' через Интернет, чтобы пользователи могли запрашивать сертификаты в вашем СА.
Вы не можете сейчас установить службу подачи заявок на сетевые устройства (Network Device Enrollment Service, NDES), поскольку службы AD CS не поддерживают одновременную установку СА и NDES. Чтобы установить N D E S , после установки СА нужно применить команду Добавить службы ролей (Add Role Services) диспетчера сервера.
9. На странице Задание типа установки (Specify Setup Туре) выберите тип Предприятие (Enterprise) и щелкните кнопку Далее (Next).
10. На странице Задание типа ЦС (Specify СА Туре) выберите тип Подчинен- н ы й ЦС (Subordinate СА) и щелкните кнопку Далее (Next).
11.На странице Установка закрытого ключа (Set Up Private Key) выберите параметр Создать новый закрытый ключ (Create A New Private Key) и щелкните кнопку Далее (Next).
12.На странице Настройка шифрования для ЦС (Configure Cryptography For СА) задайте параметры по умолчанию и щелкните кнопку Далее (Next).
[ . 7 5 4 |
Службы сертификации Active Directory |
|
|
|
|
|
|
|
|
|
|
|
|
Глава 15 |
|||||||||
13. Н а |
странице |
З а д а н и е |
и м е н и |
Ц С ( C o n f i g u r e |
C A N a m e ) |
в в е д и т е |
и м я |
Contoso- |
|||||||||||||||
Issuing-CA01, оставьте |
с у ф ф и к с и м е н и |
по |
у м о л ч а н и ю |
и |
щ е л к н и т е |
к н о п к у |
|||||||||||||||||
Далее (Next) . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
В ы |
используете п о д л и н н о е и м я и |
н о м е р , |
п о с к о л ь к у |
д л я |
о б е с п е ч е н и я в ы - |
||||||||||||||||||
сокой г о т о в н о с т и вам н у ж н о |
с о з д а т ь |
н е с к о л ь к о |
ц е н т р о в |
в ы д а ч и с е р т и ф и - |
|||||||||||||||||||
катов. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
14. Н а странице |
З а п р о с с е р т и ф и к а т а и з р о д и т е л ь с к о г о |
Ц С ( R e q u e s t |
C e r t i f i c a t e |
||||||||||||||||||||
From A Parent С А ) |
в ы б е р и т е п а р а м е т р С о х р а н и т ь |
з а п р о с с е р т и ф и к а т а в |
|||||||||||||||||||||
ф а й л и позднее отправить |
в р у ч н у ю в р о д и т е л ь с к и й |
ЦС |
( S a v e |
A |
C e r t i f i c a t e |
||||||||||||||||||
Request То File And |
M a n u a l l y |
Send |
It |
L a t e r |
To A |
P a r e n t |
C A ) . |
|
|
|
|
||||||||||||
15. В поле И м я |
ф а й л а |
(File N a m e ) в ы д е л и т е |
и м я |
ф а й л а |
з а п р о с а |
с е р т и ф и к а т а , |
|||||||||||||||||
скопируйте |
его в |
б у ф е р обмена с |
п о м о щ ь ю |
к о м б и н а ц и и |
к л а в и ш |
C t r l + C , |
|||||||||||||||||
а затем щ е л к н и т е |
к н о п к у О б з о р |
( B r o w s e ) |
и н а й д и т е |
|
п а п к у |
Д о к у м е н т ы |
|||||||||||||||||
(Documents), |
Вставьте и м я ф а й л а в п о л е И м я ф а й л а ( F i l e N a m e ) |
с п о м о щ ь ю |
|||||||||||||||||||||
комбинации к л а в и ш |
Ctrl+V, |
щ е л к н и т е к н о п к у С о х р а н и т ь ( S a v e ) , |
а з а т е м |
||||||||||||||||||||
кнопку Далее |
(Next) . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
16. На |
странице |
Настройка б а з ы |
д а н н ы х |
с е р т и ф и к а т о в |
( C o n f i g u r e |
C e r t i f i c a t e |
|||||||||||||||||
Database) у к а ж и т е |
р а з м е щ е н и е б а з ы данных, с е р т и ф и к а т о в и |
ее |
ж у р н а л а . |
||||||||||||||||||||
Поскольку этот центр в ы д а ч и с е р т и ф и к а т о в |
б у д е т |
и с п о л ь з о в а т ь с я |
т о л ь к о |
||||||||||||||||||||
для тестирования, д а н н ы е и ж у р н а л ы |
м о ж н о п о м е с т и т ь н а д и с к D . О д н а к о |
||||||||||||||||||||||
в производственной среде выдача с е р т и ф и к а т о в д о л ж н а |
о с у щ е с т в л я т ь с я без |
||||||||||||||||||||||
осложнений. Поэтому базу д а н н ы х н у ж н о р а з м е с т и т ь |
н а д и с к е |
D , а ж у р н а - |
|||||||||||||||||||||
лы — на диске Е. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
17. Чтобы указать размещение б а з ы д а н н ы х , щ е л к н и т е к н о п к у |
О б з о р |
( B r o w s e ) , |
|||||||||||||||||||||
откройте диск |
D, щ е л к н и т е к н о п к у |
С о з д а т ь |
п а п к у ( M a k e |
N e w F o l d e r ) и з а - |
|||||||||||||||||||
дайте д л я папки и м я |
C e r t D a t a . Щ е л к н и т е О К . |
|
|
|
|
|
|
|
|
|
|
||||||||||||
18. Д л я журналов создайте папку на д и с к е D |
и |
з а д а й т е |
д л я |
н е е и м я |
C e r t L o g s . |
||||||||||||||||||
Щ е л к н и т е кнопку |
Д а л е е |
( N e x t ) . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
19. Просмотрите |
п а р а м е т р ы |
у с т а н о в к и в е б - с е р в е р а |
( I I S ) . |
Щ е л к н и т е |
к н о п к у |
||||||||||||||||||
Далее (Next). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
20. Н а |
странице |
выбора |
с л у ж б р о л е й |
в е б - с е р в е р а п р о с м о т р и т е |
н е о б х о д и м ы е |
||||||||||||||||||
службы и щелкните к н о п к у Д а л е е |
( N e x t ) . |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
21. Н а |
с т р а н и ц е |
П о д т в е р д и т е в ы б р а н н ы е п а р а м е т р ы |
|
( C o n f i r m I n s t a l l a t i o n |
|||||||||||||||||||
Selections) |
п р о с м о т р и т е |
в ы б р а н н ы е |
п а р а м е т р ы |
и |
щ е л к н и т е |
к н о п к у Ус- |
|||||||||||||||||
тановить (Install). |
После |
з а в е р ш е н и я |
у с т а н о в к и |
п р о с м о т р и т е |
р е з у л ь т а т ы |
||||||||||||||||||
и щелкните кнопку |
З а к р ы т ь |
(Close) . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
Подчиненный центр |
с е р т и ф и к а ц и и н е л ь з я |
и с п о л ь з о в а т ь |
д о |
тех |
пор, п о к а |
||||||||||||||||||
не |
будет выдан с е р т и ф и к а т к о р н е в о г о СА, |
к о т о р ы й |
и с п о л ь з у е т с я |
д л я за - |
|||||||||||||||||||
вершения установки этого п о д ч и н е н н о г о |
С Л . |
|
|
|
|
|
|
|
|
|
|
||||||||||||
СОВЕТ К ЭКЗАМЕНУ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Помните, что центр сертификации и службу |
N D E S нельзя установить одновре- |
||||||||||||||||||||||
менно. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Занятие 1 Установка служб сертификации Active Directory 75-]
Упражнение 3. Получение и установка сертификата для центра выдачи сертификатов
Д а л е е в ы п о л у ч и т е |
с е р т и ф и к а т д л я |
з а в е р ш е н и я у с т а н о в к и ц е н т р а выдачи сер- |
т и ф и к а т о в . О б ы ч н о |
э т у п р о ц е д у р у |
н у ж н о в ы п о л н я т ь в автономном режиме с |
п о м о щ ь ю с ъ е м н о г о |
у с т р о й с т в а х р а н е н и я , н а п р и м е р дискеты и л и флэш - памяти |
|
U S B , о д н а к о в д а н н о м у п р а ж н е н и и вы и с п о л ь з у е т е о б щ у ю папку для передачи з а п р о с а с е р т и ф и к а т а и с а м о г о с е р т и ф и к а т а п о с л е его получения .
1 . Н а м а ш и н е S E R V E R 0 4 о т к р о й т е П р о в о д н и к W i n d o w s ( W i n d o w s Explorer), с о з д а й т е на д и с к е С н о в у ю п а п к у и з а д а й т е д л я нее и м я Temp.
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Тешр и примените команду Общий
д о с т у п ( S h a r e ) . |
|
|
|
|
|
|
|
|
|
|||
3. В |
д и а л о г о в о м о к н е |
|
О б щ и й д о с т у п |
к ф а й л у (File Sharing) выберите в рас- |
||||||||
|
к р ы в а ю щ е м с я с п и с к е г р у п п у Все |
( E v e r y o n e ) и щ е л к н и т е кнопку Добавить |
||||||||||
|
( A d d ) . |
|
|
|
|
|
|
|
|
|
|
|
4. В |
с т о л б ц е |
У р о в е н ь |
р а з р е ш е н и й (Permission Level) выберите в раскрываю- |
|||||||||
|
щ е м с я с п и с к е у р о в е н ь |
С о а в т о р |
( C o n t r i b u t o r ) д л я группы Все и щелкните |
|||||||||
|
к н о п к у О б щ и й д о с т у п ( S h a r e ) . |
|
|
|
|
|
||||||
5. С к о п и р у й т е в п а п к у T e m p з а п р о с |
сертификата, сгенерированный в папке |
|||||||||||
|
Д о к у м е н т ы ( D o c u m e n t s ) . |
|
|
|
|
|
|
|||||
6 . Н а м а ш и н е S E R V E R 0 3 в п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е |
||||||||||||
|
( A d m i n i s t r a t i v e Tools) |
о т к р о й т е к о н с о л ь |
Центр сертификации (Certification |
|||||||||
|
A u t h o r i t y ) . |
|
|
|
|
|
|
|
|
|
||
7. В |
п а н е л и д е р е в а к о н с о л и |
Ц е н т р с е р т и ф и к а ц и и щелкните правой кнопкой |
||||||||||
|
м ы ш и и м я |
к о р н е в о г о |
СА, |
в ы б е р и т е Все задачи (All Tasks) и щелкните за- |
||||||||
|
д а ч у В ы д а т ь н о в ы й |
з а п р о с ( S u b m i t N e w Request). |
|
|||||||||
8. В |
д и а л о г о в о м о к н е |
|
О т к р ы т ь ф а й л запроса ( O p e n Request File) перейдите • |
|||||||||
|
в |
а д р е с н у ю с т р о к у |
и |
в в е д и т е |
|
адрес |
\\SERVER04\Temp. Выберите |
в папке |
||||
|
з а п р о с и щ е л к н и т е к н о п к у О т к р ы т ь ( O p e n ) . |
|
||||||||||
9. В |
п а н е л и д е р е в а п е р е й д и т е в у з е л |
З а п р о с ы в ожидании (Pending Request), |
||||||||||
|
щ е л к н и т е |
п р а в о й к н о п к о й м ы ш и |
о ж и д а ю щ и й запрос в панели сведений, |
|||||||||
|
в ы б е р и т е |
Все з а д а ч и (All Tasks) |
и щ е л к н и т е задачу Выдать (Issue). |
|||||||||
10. |
В |
п а н е л и |
д е р е в а |
|
п е р е й д и т е |
в |
|
у з е л |
В ы д а н н ы е с е р т и ф и к а т ы |
(Issued |
||
|
Certificates), в п а н е л и с в е д е н и й |
щ е л к н и т е правой кнопкой мыши |
выдан- |
|||||||||
|
н ы й с е р т и ф и к а т и |
в ы п о л н и т е команду |
О т к р ы т ь (Open) . |
|
||||||||
11. |
В д и а л о г о в о м окне С е р т и ф и к а т (Certificate) перейдите на вкладку Сведения |
|||||||||||
|
( D e t a i l s ) и щ е л к н и т е к н о п к у Копировать в ф а й л (Copy То File) в нижней |
|||||||||||
|
части д и а л о г о в о г о |
окна . |
|
|
|
|
|
|
||||
|
З а п у с т и т с я М а с т е р |
|
э к с п о р т а с е р т и ф и к а т а (Certificate Export Wizard). |
|||||||||
12. Щ е л к н и т е |
к н о п к у Д а л е е |
(Next) . |
|
|
|
|
||||||
13. В ы б е р и т е сначала C r y p t o g r a p h i c Message Syntax Standard — PKCS 27 Certificates ( P 7 B ) , затем — о п ц и ю Включить по возможности все сертификаты
в путь с е р т и ф и к а ц и и |
( I n c l u d e All |
Certificates In T h e Certification Path If |
Possible) и щ е л к н и т е |
к н о п к у Д а л е е |
(Next) . |
[. 7 5 6 |
Службы сертификации Active Directory |
Глава 15 |
Существует несколько поддерживаемых ф о р м а т о в . |
• |
|
• |
Формат Distinguished Encoding Rules ( D E R ) E n c o d e d |
Binary X.509 час- |
|
то используется для компьютеров не на п л а т ф о р м е |
W i n d o w s . Ф а й л ы |
|
сертификации создаются в ф о р м а т е C E R . |
|
•Формат Base-64 Encoded Х.509 поддерживает ф о р м а т S / M I M E , п р и м е -
|
няемый для пересылки з а щ и щ е н н о й |
э л е к т р о н н о й |
п о ч т ы по И н т е р н е - |
|
|
ту. На серверах этот формат обычно |
и с п о л ь з у е т с я |
д л я о п е р а ц и о н н ы х |
|
|
систем не на п л а т ф о р м е W i n d o w s . |
Ф а й л ы с е р т и ф и к а ц и и с о з д а ю т с я |
||
|
в формате CER. |
|
|
|
• |
Формат Cryptographic Message Syntax Standard ( P K C S # 7 ) и с п о л ь з у е т с я |
|||
|
для пересылки сертификатов и их пути в ц е п о ч к е с одного к о м п ь ю т е р а |
|||
|
на другой. Данный формат использует ф а й л о в ы й ф о р м а т Р 7 В . |
|||
• |
Формат Personal Information Exchange |
( P K C S # 1 2 ) |
т а к ж е и с п о л ь з у е т с я |
|
|
для передачи сертификатов и их пути |
в ц е п о ч к е с о д н о г о к о м п ь ю т е р а |
||
|
на другой, однако этот формат т а к ж е |
п о д д е р ж и в а е т п е р е д а ч у з а к р ы - |
||
|
того ключа вместе с открытым . Д а н н ы й ф о р м а т и с п о л ь з у е т ф а й л о в ы й |
|||
|
формат PFX. |
|
|
|
• |
Настраиваемый формат Microsoft Serialized C e r t i f i c a t e S t o r e с л е д у е т |
|||
|
использовать для переноса корневых с е р т и ф и к а т о в с одного к о м п ь ю т е р а |
|||
|
на другой. Использует ф а й л о в ы й ф о р м а т SST. |
|
||
14. |
В диалоговом окне Экспортируемый ф а й л (File То E x p o r t ) щ е л к н и т е к н о п к у |
|
|
Обзор (Browse) и сохраните сертификат в папке \ \ S E R V E R 0 4 \ T e m p . З а д а й - |
|
|
те для файла имя Issuing-СА01 .р7Ь и щ е л к н и т е к н о п к у С о х р а н и т ь (Save) . |
|
15. |
Вернувшись к мастеру, щелкните кнопку Д а л е е |
( N e x t ) . |
16. |
Просмотрите выбранные параметры и щ е л к н и т е |
к н о п к у Готово ( F i n i s h ) . |
17. Когда мастер отобразит сообщение об у с п е ш н о м экспорте, щ е л к н и т е О К . Вернитесь к машине S E R V E R 0 4 . Помните: о б ы ч н о д л я переноса с е р т и ф и - ката с одного сервера на другой используется с ъ е м н о е устройство .
18. Перейдите к Диспетчеру сервера (Server M a n a g e r ) и в п а н е л и дерева выбе - рите элемент Contoso-Issuing-CAOl в папке Р о л и \ С л у ж б ы с е р т и ф и к а ц и и Active Directory (Roles\Active Directory Certificate Services).
19. Щелкните правой кнопкой м ы ш и элемент Contoso - Issuing - CAOl, в ы б е р и т е Все задачи (All Tasks) и щелкните задачу Установить с е р т и ф и к а т ЦС (Install
СА Certificate). |
|
|
20. Перейдите к папке C:\Temp, выберите с е р т и ф и к а т и щ е л к н и т е к н о п к у |
О т - |
|
крыть (Open). |
|
|
21. Сертификат будет импортирован на сервер. |
|
|
22. Щелкните правой кнопкой м ы ш и и м я сервера, |
в ы б е р и т е Все задачи |
(АН |
Tasks) и щелкните задачу Запуск службы ( S t a r t |
Service). |
|
Ваш центр выдачи сертификатов теперь может выдавать с е р т и ф и к а т ы . На этом этапе S E R V E R 0 3 следует отключить от сети, однако, поскольку мы работаем в тестовой среде и нам нужно экономить ресурсы процессоров и дискового пространства, оставьте сервер подключенным .
Занятие 1 |
Установка служб сертификации Active Directory 75-] |
ВНИМАНИЕ1 |
Защита сертификата |
Теперь, когда сервер готов к работе, сохраните переданный сертификат в безопасном месте. Кроме того, после выполнения этой задачи и выдачи сертификатов для всех СА в инфраструктуре также необходимо отключить корневой центр сертификации. Если корневой СА находится на виртуальной машине, выключите ее и удалите файлы виртуальной машины с хост-сервера. Например, их можно скопировать на DVD-диск, который следует хранить в безопасном месте.
Упражнение 4. Подготовка к установке службы NDES
Теперь вы у с т а н о в и т е с л у ж б у N D E S . Опять - таки, это упражнение необходимо в ы п о л н я т ь на м а ш и н е S E R V E R 0 4 , однако д л я создания учетной записи поль-
з о в а т е л я в н а ч а л е н у ж н о |
и с п о л ь з о в а т ь машину SERVER01 . |
1. В о й д и т е на м а ш и н у |
S E R V E R 0 1 как администратор домена. |
2. В п р о г р а м м н о й группе Администрирование (Administrative Tools) запустите оснастку Active D i r e c t o r y — пользователи и компьютеры (Active Directory
Users A n d |
C o m p u t e r s ) . |
3 . С о з д а й т е |
с л е д у ю щ у ю с т р у к т у р у подразделений: Contoso . com\Admins\ |
Service Identities .
4. Щ е л к н и т е правой к н о п к о й м ы ш и подразделение Service Identities, примени-
те к о м а н д у С о з д а т ь ( N e w ) , |
а затем выберите объект Пользователь (User). |
5. З а д а й т е д л я п о л ь з о в а т е л я |
и м я NDESService, которое используйте для вхо- |
да и в качестве и м е н и входа пред - Windows 2000. Щелкните кнопку Далее (Next) .
6. Н а з н а ч ь т е у ч е т н о й |
з а п и с и строгий пароль. Сбросьте флажки Требовать |
смену п а р о л я п р и с л е д у ю щ е м входе в систему (User Must Change Password |
|
At N e x t L o g o n ) и |
С р о к д е й с т в и я пароля не ограничен (Password Never |
Expires). |
|
7. Щ е л к н и т е к н о п к у Д а л е е (Next), а затем кнопку Готово (Finish) для создания учетной записи .
8. Вернитесь к м а ш и н е S E R V E R 0 4 и войдите как администратор домена.
9. |
В программной группе Администрирование (Administrative Tools) запустите |
|
|
Д и с п е т ч е р с е р в е р а (Server |
Manager) . |
10. |
Разверните узел К о н ф и г у р а ц и я \ Л о к а л ь н ы е пользователи и группы\Группы |
|
|
( C o n f i g u r a t i o n \ L o c a l Users |
and Groups\Groups) . |
11. |
Д в а ж д ы щ е л к н и т е группу |
I I S _ I U S R S . |
12. |
Добавьте в эту группу учетную запись NDESService и щелкните ОК. |
|
Упражнение 5. Установка службы NDES
Теперь вы можете установить службу N D E S .
1. В |
п а н е л и дерева Д и с п е т ч е р а сервера (Server Manager) щелкните пра- |
вой |
к н о п к о й м ы ш и узел С л у ж б ы сертификации Active Directory (Active |
Directory Certificate Services) и примените команду Добавить службы ролей (Add Role Services).