Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Книга Active directory

.pdf

Скачиваний:

267

Добавлен:

02.02.2021

Размер:

8.2 Mб

Скачать

☆

<<< < Предыдущая 68 69 70 71 72 73 74 75 76 77 78 7980 / 9680 81 82 83 84 85 86 87 88 89 90 91 92 > Следующая >>>

[. 791 Службы сертификации Active Directory

Глава 15

Центр выдачи сертификатов готов к работе н будет автоматически выдавать сертификаты, запрашиваемые устройствами и пользователями .

Завершение настройки сетевого ответчика

В случае использования сетевых ответчиков необходимо п о л н о с т ь ю настроить их конфигурацию. Сетевые ответчики способны создать массив систем, обеспечивая таким образом высокую готовность службы . Такой массив может состоять из двух центров сертификации, и с п о л н я ю щ и х роль сетевых ответчиков, или из большего числа серверов.

Для завершения настройки сетевого ответчика н у ж н о о т к о н ф и г у р и р о в а т ь и установить сертификат Подписывание о т к л и к а O C S P ( O C S P R e s p o n s e Signing), а затем отконфигурировать для его поддержки р а с ш и р е н и е Сведения о шаблоне сертификата (Authority Information Access). После этого н у ж н о назначить данный шаблон для центра сертификации и в ы п о л н и т ь подачу з а я в к и системы для получения сертификата. Д л я настройки с е р т и ф и к а т а подписыва - ния отклика OCSP используйте следующую процедуру.

1.Войдите на сервер выдачи сертификатов, используя у ч е т н у ю з а п и с ь с правами локального администратора.

2. В Диспетчере сервера (Server Manager)			р а з в е р н и т е у з е л Р о л и \ С л у ж б ы
сертификации Active Directory\UIa6flOHbi				с е р т и ф и к а т о в		(имя	сервера)
(Roles\Active Directory Certificate Services\Certificate Templates).
3. Щелкните правой	кнопкой	мыши шаблон П о д п и с ы в а н и е о т к л и к а					O C S P
( O C S P Response	Signing)	и примените	к о м а н д у		С к о п и р о в а т ь ш а б л о н
(Duplicate Template). Выберите шаблон			W i n d o w s		Server 2008 E n t e r p r i s e
Edition и щелкните ОК.
4. Введите имя для	нового шаблона, например			OCSP Response		Signing	WS08.

5. Установите флажок Опубликовать сертификат в Active Directory (Publish Certificate In Active Directory).

6. На вкладке Безопасность	(Security) в секции Группы и л и		п о л ь з о в а т е л и
(Group Or User Names) щелкните кнопку Добавить (Add),			затем кнопку
Типы объектов (Object Types), выберите тип		объектов К о м п ь ю т е р		(Com -
puter) и щелкните ОК .
7. Введите имя и щелкните	кнопку Проверить	имена ( C h e c k N a m e s )		л и б о

вручную найдите компьютер, управляющий сетевым ответчиком. Щелкните

8.Щелкните имя компьютера и в секции Разрешения (Permissions) диалогового окна разрешите права доступа Чтение (Read), З а я в к а (Enroll) и Автоматическая подача заявок (Autoenroll).

9.Щелкните О К, чтобы создать копию шаблона.

Шаблон сертификата готов к использованию. Теперь для поддержки сетевого ответчика необходимо отконфигурировать расширение Доступ к сведениям о центрах сертификации (Authority Information Access).

Занятие 2

Настройка и использование служб сертификации Active Directory

7 6 9

ВНИМАНИЕ! Назначение прав доступа

Обычно права доступа следует назначать группам, а не отдельным объектам в каталоге AD DS, особенно если вы используете несколько сетевых ответчиков. Лучше всего создать группу AD DS, задать ей соответствующее имя, например Сетевые ответчики, и добавить в эту группу учетные записи компьютеров с сетевыми ответчиками. После этого разрешения доступа к шаблону подписывания отклика OCSP следует назначить группе, а не отдельным системам. Таким образом, разрешение доступа задается лишь один раз.

1. В о й д и т е	на сервер в ы д а ч и	сертификатов, используя доменную учетную
запись с	п р а в а м и л о к а л ь н о	г о администратора.

2. В программной группе Администрирование (Administrative Tools) запустите


Д и с п е т ч е р	сервера (Server Manager) .
3 . Р а з в е р н и т е	у з е л Р о л и \ С л у ж б ы с е р т и ф и к а ц и и Active		Directory\iMW_Z/C
( R o l e s \ A c t i v e		Directory Certificate Services \Issuing С A	servername).
4 . На п а н е л и	Д е й с т в и я (Actions) выберите команду Свойства (Properties).
5. П е р е й д и т е на		в к л а д к у Р а с ш и р е н и я (Extensions), щелкните раскрывшийся

список В ы б е р и т е р а с ш и р е н и е (Select Extension) и укажите в нем расши- р е н и е Д о с т у п к с в е д е н и я м о центрах сертификации (Authority Information Access, AIA) .

6. Укажите, откуда пользователи могут получить сертификат этого центра серти- ф и к а ц и и . В д а н н о м случае выберите размещение, начинающееся с HTTP:// .

7. Установите ф л а ж к и В к л ю ч а т ь в AIA-расширение выданных сертификатов

(Include In T h e A I A Extension Of Issued	Certificates) и Включать в расши-
р е н и я п р о т о к о л а O C S P (Include In The	Online Certificate Status Protocol
( O C S P ) E x t e n s i o n ) .

8 . Щ е л к н и т е O K , чтобы применить изменения.

О т м е т и м , что д л я п р и м е н е н и я данного изменения нужно остановить и перезапустить службу.

9.	В д и а л о г о в о м окне подтверждения щелкните кнопку Да (Yes).
10.	Теперь п е р е й д и т е к	узлу Ш а б л о н ы сертификатов (Certificate Templates)
	под и м е н е м сервера	выдачи	сертификатов, щелкните его правой кнопкой
	м ы ш и и п р и м е н и т е команду		Выдаваемый шаблон сертификата (Certificate
	Template То Issue).

11.В диалоговом окне Включение шаблонов сертификатов (Enable Certificate Templates) выберите созданный ранее шаблон Подписывание отклика OCSP

( O C S P Response Signing) и щелкните О К .

Н о в ы й ш а б л о н отобразится на панели сведений.

12.Д л я назначения шаблона серверу перезагрузите последний.

Теперь необходимо проверить назначение сертификата O C S P серверу. Для этого используется оснастка Сертификаты (Certificates). По умолчанию

[. 7 7 0	Службы сертификации Active Directory	Глава 15
она отсутствует в консоли, поэтому д л я ее использования		нужно создать
новую консоль.

13.Откройте меню Пуск (Start), в поле поиска введите ттс и нажмите клавишу Enter.

14.В консоли М М С в меню Консоль (File) выберите команду Добавить или удалить оснастку (Add/Remove Snap-in), чтобы открыть диалоговое окно Добавление и удаление оснастки (Add Or Remove Snap-ins).

15.	Выберите оснастку Сертификаты (Certificates) и щ е л к н и т е	кнопку Доба-
	вить (Add).
16.	Выберите учетную запись компьютера ( C o m p u t e r A c c o u n t )	и щелкните
	кнопку Далее (Next).

17. Выберите управление локальным компьютером (Local C o m p u t e r ) и щелкните кнопку Готово (Finish).

18.Щелкните ОК, чтобы закрыть диалоговое о к н о д о б а в л е н и я и удаления оснасток.

19. В меню Консоль (File) примените команду С о х р а н и т ь		(Save) и сохрани-
те консоль в папке Документы	( D o c u m e n t s ) . З а д а й т е	д л я к о н с о л и имя
Computer Certificates и щелкните	кнопку С о х р а н и т ь (Save).

20.Разверните узел Сертификаты\Личное\Сертификаты (Certificates\Personal\ Certificates) и убедитесь, что этот контейнер содержит н о в ы й сертификат OCSP.

21.Если сертификат отсутствует, установите его вручную. Д л я этого щелкните правой кнопкой мыши папку Сертификаты (Certificates) в контейнере Лич - ное (Personal) и примените команду Запросить новый сертификат (Request New Certificate).

22.На странице Подача заявок на сертификаты (Certificate Enrollment) щелкните кнопку Далее (Next).

23. Выберите новый сертификат O C S P и щ е л к н и т е к н о п к у Подать з а я в к у (Enroll).

24.На следующей странице щелкните стрелку вниз п р я м о под названием Сведения (Details), а затем кнопку Просмотр сертификата (View Certificate). Просмотрите содержимое вкладок сведений о сертификате, после чего щелкните ОК.

25.Щелкните кнопку Готово (Finish), чтобы завершить эту часть операций.

26.Щелкните правой кнопкой мыши Сертификат (Certificate), выберите опции Все задачи (All Tasks) и примените задачу Управление закрытыми ключами (Manage Private Keys).

27. На вкладке Безопасность (Security) в секции Группы и л и пользователи (User Group Or User Names) щелкните кнопку Добавить (Add) .

28. В диалоговом окне Выбор: "Пользователи", " К о м п ь ю т е р ы "	или "Груп-
пы" (Select Users, Computers, or Groups) щ е л к н и т е к н о п к у	Размещение

(Locations) и выберите имя локального сервера. Щ е л к н и т е О К .

Занятие 2

Настройка и использование служб сертификации Active Directory

771

29.Введите имя Сетевая служба (Network Service) и щелкните кнопку Проверить имена (Check Names).

30.Щелкните О К .

31.Щелкните объект Сетевая служба (Network Service), а затем в секции Разрешения (Permissions) диалогового окна разрешите право Полный доступ (Full Control).

32.Щелкните О К , чтобы закрыть диалоговое окно.

Ваш сетевой ответчик готов предоставлять данные, необходимые для подтверждения сертификатов.

К СВЕДЕНИЮ

Сетевой ответчик

Более подробную информацию о сетевом ответчике можио найти по адресу http:// technet2. microsoft. com/windowsseiver2008/en/library/045d2a97-1bff-43bd-8dea- f2df7e270e1f1033.mspx?mfr=true.

Узел Сетевой ответчик (Network Responder) в диспетчере сервера также содержит дочерний узел Конфигурация массива (Array Configuration). Чтобы обеспечить высокую готовность службы, в эту конфигурацию массива можно добавлять другие сетевые ответчики. Комплексные среды с многоярусными иерархиями используют большие массивы сетевых ответчиков, чтобы все пользователи и устройства могли подтверждать свои сертификаты.

Д о б а в л е н и е к о н ф и г у р а ц и и отзыва сертификатов в сетевой ответчик

Теперь в сетевой ответчик добавьте конфигурацию отзыва сертификатов. Поскольку каждый центр сертификации, являющийся сетевым ответчиком в массиве, располагает собственным сертификатом, для каждого СА также необходима конфигурация отзыва сертификатов. Конфигурация отзыва обслуживает запросы пар ключей и сертификатов конкретного центра сертификации. Кроме того, конфигурацию отзыва для центра сертификации необходимо обновлять при каждом обновлении его пары ключей. Чтобы создать конфигурацию отзыва сертификатов, выполните следующие действия.

1.Войдите на сервер с центром выдачи сертификатов, используя доменную учетную запись с правами локального администратора.

2.В программной группе Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager).

3. Разверните узел Р о л и \ С л у ж б ы сертификации Active Directory\CeTeBoii ответчик\Конфигурация отзыва (Roles\Active Directory Certificate Ser-

vices\Online	Responder\Revocation Configuration).
4. Щ е л к н и т е	правой кнопкой мыши контейнер Конфигурация отзыва

и примените команду Добавить конфигурацию отзыва (Add Revocation Configuration).

5. На странице приветствия щелкните кнопку Далее (Next).

6. На странице Введите имя конфигурации отзыва (Name The Revocation Configuration) введите имя для идентификации конфигурации отзыва.

[. 7 7 2 Службы сертификации Active Directory Глава 15

Поскольку каждая конфигурация отзыва привязывается к отдельному центру сертификации, в имя конфигурации имеет смысл включить имя центра сертификации, например R C S E R V E R 0 4 .

7. Щелкните кнопку Далее (Next).

8. На странице Выберите расположение сертификата ЦС (Select СА Certificate Location) укажите, откуда будет загружаться сертификат .

Вы можете выбрать загрузку из Active Directory, локального хранилища сертификатов или файла.

9. Щелкните параметр Выберите сертификат для существующего ЦС предприятия (Select A Certificate For An Existing Enterprise C A ) и щелкните кнопку Далее (Next).

Теперь сетевой ответчик должен подтвердить, что издатель сертификата, которым в данном случае является корневой центр сертификации, располагает подлинным сертификатом. Вы можете в ы п о л н я т ь поиск сертификатов путем обзора сертификатов СА, о п у б л и к о в а н н ы х в Active Directory, или выполнять их поиск по имени компьютера .

10. Поскольку корневой центр	с е р т и ф и к а ц и и	о т к л ю ч е н от сети,		выберите
Active Directory и щелкните кнопку Обзор (Browse) .
11. Локализуйте сертификат для корневого СА		и щ е л к н и т е	О К .
После выбора сертификата	мастер загрузит ш а б л о н ы		п о д п и с и	сетевого
ответчика.

12.Щелкните кнопку Далее (Next).

На странице Выбрать сертификат п о д п и с и (Select A Signing Certificate)

необходимо выбрать метод подписи, поскольку сетевой ответчик подписывает все отклики для клиентов. Д о с т у п н ы три опции:

• при автоматическом	выборе с е р т и ф и к а т будет з а г р у ж а т ь с я из ранее
созданного шаблона	O C S P ;

• сертификат для подписи можно выбрать вручную;

•при выборе опции Сертификат ЦС ( С А Certificate) используется сертификат самого центра сертификации .

13.Выберите опцию Автоматически выбрать сертификат подписи (Automatically Select A Signing Certificate), а д л я сертификата подписи O C S P выберите параметр Автозаявка (Auto-Enroll).

14.Выберите центр подачи заявок и щелкните О К .

Будет автоматически выбран ранее подготовленный шаблон.

15.Щелкните кнопку Далее (Next).

Теперь мастер инициирует поставщика отзыва. Если мастер по каким-либо причинам не может найти поставщика, его следует добавить вручную.

16.Щелкните кнопку Поставщик (Provider), а затем щелкните кнопку Доба-

вить (Add) под секцией Базовые C R L (Base CRLs) . Например, вы можете использовать следующий адрес H T T P : http://localhost/ca.crl.

Занятие 2

пастроикгги m;i lujianuoannc ^'jiy-jfiu

i ицшкации Acnve Directory

7 7 3

17.Щелкните ОК. Повторите эту операцию для разностных CRL (Delta CRLs) и укажите тот же HTTP-адрес. Щелкните ОК.

Поскольку вы получаете сертификат из Active Direcrtory, для адреса указанного поставщика мастер автоматически использует формат ldap://. Для получения информации и хранилища каталогов AD DS службы AD CS используют протокол LDAP (Lightweight Directory Access Protocol).

18. Щелкните кнопку Готово (Finish), чтобы завершить настройку отзыва.

Новая конфигурация должна быть указана в панели сведений. Повторите эту процедуру для каждого центра сертификации, который является сетевым ответчиком.

СОВЕТ К ЭКЗАМЕНУ

Запомните, какие операции следует выполнять для включения сетевого ответчика, поскольку это одна из тем экзамена.

Использование и управление AD CS

Управление службами роли Службы сертификации Active Directory (Active Directory Certificate Services) осуществляется с помощью оснасток ММС. В табл. 15-4 перечислены инструменты, рассматриваемые в данной главе, большинство их которых доступны в Диспетчере сервера (Server Manager).

Табл. 15-4. Средства управления AD CS

Инструмент

Использование

Расположение

Центр сертификации (Certification Authority) Сертификаты (Certificates)

Шаблоны сертификатов (Certificate Templates) Сетевой ответчик (Online Responder)

PKI предприятия

(Enterprise PKI)

Certutil

Управление центром сертификации	Диспетчер сервера
	(Server Manager)
Управление сертификатами. Эта	Настраиваемая
оснастка устанавливается вручную	оснастка ММС
Управление шаблонами сертификатов	Диспетчер сервера
Управление сетевым ответчиком	Диспетчер сервера
Управление всей инфраструктурой PKI	Диспетчер сервера
Управление функциями PKI в команд-	Командная строка
ной строке

ПРИМЕЧАНИЕ

Установка оснасток без инсталляции AD CS

Оснастки, перечисленные в табл. 15-4, можно установить с помощью диспетчера сервера, выбрав инструменты AD CS в средствах удаленного администрирования сервера RSAT (Remote Server Administration Tools). Если на компьютере, с которого требуется выполнять удаленные административные задачи, используется система Windows Vista Service Pack 1, пакет средств удаленного администрирования сервера RSAT можно загрузить в центре загрузки Microsoft по адресу http://go.microsoft. com/fwlink/?LinkID=89361.

[ . 7 7 4	Службы сертификации Active Directory					Глава 15
С л у ж б а A D C S п р е д о с т а в л я е т м н о г о и н ф о р м а ц и и в ж у р н а л е с о б ы т и й
( E v e n t Log). С а м ы е			р а с п р о с т р а н е н н ы е		с о б ы т и я ц е н т р о в	с е р т и ф и к а ц и и A D
CS перечислены в табл. 15-5.
Табл. 15-5.	Коды распространенных событий центров сертификации
Категория		Код события		Описание
Управление досту-		3 9 , 6 0 , 9 2		Связаны с недостаточным или несоответс-
пом AD CS				твующим использованием разрешений
				доступа
AD CS и AD DS		24,59, 64,91,93,94,		Связаны с доступом (чтение или запись)
		106,107		объектов AD DS
Запрос серти-		3,7,10,21,22,23,		Отсутствует один элемент для успешной
фикации AD CS		53,56,57,79,80,97,		подачи заявки: подлинный сертификат СА,
(обработка подачи		108,109,128,132		шаблоны сертификатов с соответствующей
заявок)				конфигурацией, учетные записи клиентов
				или запросы сертификатов
Центр сертифика-		27,31,42,48,49,		Связаны с доступностью, подлинностью и це-
ции и цепочка под-		51,58,64,100,103,		почкой подтверждения сертификата СА
тверждения серти-		104,105
фикатов AC CS
Обновление центра		111,112, ИЗ, 114,		Связаны с обновлением центров сертифи-
сертификации		115,116,117,118,		кации из предыдущих версий Windows до
AD CS		119,120,121,122,		Windows Server 2008 и могут содержать
		123,125,126		опции или компоненты конфигурации,
				которые нужно реконфигурировать
Перекрестная сер-		99,102		Связаны с сертификатами СА, созданны-
				ми с целыо установления доверия между
тификация AD CS
					исходным сертификатом и обновленным
					корнем
Доступность баз			17		Связаны с ошибками доступа к базе дан-
даииых AD CS					ных AD CS
Обработка модуля			45,46		Связаны с функциями публикации модуля
выхода AD CS					выхода или отправкой уведомлений по
					электронной почте
Архивация и вос-			81,82,83,84,85,86.		Связаны с сертификатами агента обнов-
становление клю-			87,88, 96,98,127		ления ключей, сертификатами и ключами
чей AD CS					обмена данными (XCI-IG) или отсутствием
					одного либо всех этих компонентов
Доступность счет-			110		Связаны с невозможностью запуска счет-
чиков производи-					чиков производительности
тельности AD CS
Обработка модуля			9,43,44,77,78		Связаны с проблемами обнаружения моду-
политики AD CS					ля политики
Доступность ресур-			15,16,26,30,33,34,		Связаны с доступностью системных ресур-
сов AD CS			35,38,40,61,63,		сов и компонентов операционной системы
			89,90

Занятие 2 Настройка и использование служб сертификации Active Directory 798

Табл. 15-5. (окончание)

Категория		Код события

Параметры реестра	5,19, 20, 28, 95
AD CS
Сетевой ответчик	16,17,18,19, 20, 21,
AD CS	22, 23, 25, 26, 27, 29,
	31,33,34, 35

Описание

Связаны с повреждением или удалением параметров конфигурации реестра Связаны с зависимостями службы сетевого ответчика

И с п о л ь з у й т е д а н н ы е табл. 15-5 д л я быстрой идентификации сути неполадки и у с т р а н е н и я п р о б л е м ы .

К СВЕДЕНИЮ Коды событий AD CS

Более подробную информацию о типах событий AD CS можно найти но адресу

http://technet2.microsoft.com/windowsserver2008/en/library/688d1449-3086-4a79-95e6- 5a7f620681731033. mspx.

PKI предприятия


О д н и м из	с а м ы х у д о б н ы х инструментов, в инфраструктуре AD CS является
средство	P K I п р е д п р и я т и я ( E n t e r p r i s e P K I ) в узле Службы					сертификации
Active D i r e c t o r y		(Active Directory Certificate Services) диспетчера сервера или
у т и л и т а PKIView		в	к о м а н д н о й	строке. Инструмент PKI	предприятия можно
и с п о л ь з о в а т ь д л я			у п р а в л е н и я	а к т и в н о с т ь ю AD CS. По	сути,	PKI предпри-
я т и я с о д е р ж и т п р е д с т а в л е н и е о состоянии развертывания AD						CS и позволяет
п р о с м а т р и в а т ь в с ю			иерархию P K I в сети, а также детализировать сведения от-

дельных центров с е р т и ф и к а ц и и с целью идентификации ошибок конфигурации и л и о п е р а ц и и в и н ф р а с т р у к т у р е PKI .

Средство P K I п р е д п р и я т и я (Enterprise P K I ) в основном используется в качестве представления диагностики и работоспособности, поскольку отображает о п е р а ц и о н н ы е д а н н ы е о членах иерархии PKI . Кроме того, PKI предприятия можно быстро привязать к каждому СА, щелкнув имя последнего правой кноп-

к о й м ы ш и и п р и м е н и в к о м а н д у		Управление ЦС (Manage СА). Запустится
консоль Центр с е р т и ф и к а ц и и (Certification Authority) нацеленного СЛ.
В	панели Д е й с т в и я (Actions)	также можно открыть консоли Управление
ш а б л	о н а м и ( M a n a g e T e m p l a t e s )	и Управление контейнерами (Manage AD

Containers) . С п о м о щ ь ю последней консоли можно просмотреть перечень всех команд в каталоге, которые используются д л я хранения сертификатов архи-

тектуры PKI, к а к показано на рис.	15-9.
И с п о л ь з у й т е P K I п р е д п р и я т и я	д л я визуальной проверки состояния ра-

ботоспособности P K I . С помощью различных значков можно немедленно получить о б р а т н у ю связь с к а ж д ы м компонентом в инфраструктуре. Зеленый цвет значка означает, что компонент работоспособен, желтый указывает на незначительные неполадки, а красный свидетельствует о возникновении серьезной проблемы .

[. 776 Службы сертификации Active Directory Глава 15

		Я	И 1 в		*J
Контейнер центров серптфнкаитн		\|	Контейнер служб подачи заявок		j
ЫГМХМЛкЯа	Контейнер «А	j	Контейнер CDP J КонтеЛ^ер KRA

Имя		Г Тип		! Состояние
L^ contoso-Roa-CA			Сертификат	ОК
L^ contoso-Roa-CA			Сертификат	ОК
fgicortoso-SERVEROl-CA			Сертификат	ОК

•

| Отмена

Рис. 15-9. Просмотр контейнеров Active Directory

спомощью инструмента PKI предприятия

Контрольные вопросы

1.Опишите три сценария, в которых используются службы AD CS для защиты сети.

2.Какие версии шаблонов сертификатов поддерживаются центрами сертификации предприятия?

Ответы на контрольные вопросы

1.Существует несколько таких сценариев. Например, вы можете использовать AD CS для поддержки шифрующей файловой системы EFS (Encrypting File System) с целыо защиты данных, для возможности применения смарт-карт для двухфакторной проверки подлинности, а также для применения SSL (Secure Sockets Layer) с целыо защиты коммуникаций «сервер-сервер» или «сервер-клиент» и выдачи сертификатов конечным пользователям, чтобы они могли шифровать данные электронной почты посредством S/MIME.

2.Центры сертификации предприятия (СА Enterprise) поддерживают шаблоны версий 2 н 3. Эти шаблоны можно копировать и модифицировать в соответствии с требованиями организации.

Защита конфигурации AD CS

Помимо мер безопасности для корневых и промежуточных центров сертификации необходимо также защитить каждый СА, в частности центры выдачи сертификатов, путем периодической архивации. Архивацию центра сертификации выполнить достаточно просто. В Диспетчере сервера (Server Manager)

Занятие 2 Настройка и использование служб сертификации Active Directory 7 7 7

р а з в е р н и т е у з е л Р о л и \ С л у ж б ы	с е р т и ф и к а ц и и Active Directory (Roles\Active
Directory Certificate Services) и	откройте узел с именем СА. Щелкните правой


к н о п к о й м ы ш и		и м я сервера, в ы б е р и т е о п ц и ю Все задачи (All Tasks) и приме-
н и т е к о м а н д у		А р х и в а ц и я Ц С (Back		U p СА). Запустится Мастер архивации
центра с е р т и ф и к а ц и и			(Certification	Authority Backup Wizard). Д л я архивации
С А в ы п о л н и т е		с л е д у ю щ и е действия .
1. З а п у с т и т е М а с т е р			а р х и в а ц и и центра сертификации (Certification Authority
B a c k u p W i z a r d ) и			щ е л к н и т е к н о п к у Далее (Next).
2. На	с т р а н и ц е А р х и в и р у е м ы е элементы (Items То Back Up) выберите эле-
м е н т ы д л я а р х и в а ц и и :
•	о п ц и я З а к р ы т ы й ключ и сертификат ЦС (Private Key And СА Certificate)
	о б е с п е ч и в а е т		з а щ и т у с е р т и ф и к а т а данного сервера;

•о п ц и я База д а н н ы х сертификатов и журнал БД (Certificate Database And

Certificate D a t a b a s e Log) обеспечивает защиту сертификатов, которыми у п р а в л я е т СА . Вы т а к ж е можете выполнять инкремеитную архивацию б а з ы д а н н ы х .

3 . И д е н т и ф и ц и р у й т е			папку д л я	архивации .
Н а п р и м е р , вы		м о ж е т е создать		архив в общем файловом ресурсе на цент-
р а л ь н о м	сервере . О д н а к о помните, что вы архивируете данные с высокой
с т е п е н ь ю	у я з в и м о с т и и их транспортировка по сети может оказаться не
с а м ы м у д а ч н ы м р е ш е н и е м . Л у ч ш е всего архивировать эти данные в ло-
к а л ь н о й папке,		а затем копировать архив на переносной носитель.
4. И д е н т и ф и ц и р у й т е			местоположение и щелкните кнопку Далее (Next). От-
метим, что к о н е ч н а я п а п к а д о л ж н а быть пустой.
5. Н а з н а ч ь т е д л я		архива строгий пароль. Щелкните кнопку Далее (Next).
6. П р о с м о т р и т е		и н ф о р м а ц и ю		на с т р а н и ц е и щ е л к н и т е кнопку Готово
( F i n i s h ) .
М а с т е р в ы п о л н и т			архивацию . Обеспечьте соответствующую защиту для
архива, п о с к о л ь к у			он содержит у я з в и м ы е данные.
В к о м а н д н о й строке т а к ж е м о ж н о в ы п о л н я т ь автоматическую архивацию,

и с п о л ь з у я у т и л и т у Certutil.exe с соответствующими переключателями архива- ц и и и в о с с т а н о в л е н и я б а з ы данных .

К СВЕДЕНИЮ	Использование утилиты Certutil.exe для защиты данных
центра сертификации

Более подробную информацию об использовании утилиты Certutil.exe для архивации

и восстановления можно	найти по адресу http://support.microsoft.com/kb/185195.
Д л я в о с с т а н о в л е н и я	и н ф о р м а ц и и используйте Мастер восстановления

центра с е р т и ф и к а ц и и (Certification Authority Restore Wizard). Щелкнув правой к н о п к о й м ы ш и и м я сервера, выберите опцию Все задачи (All Tasks) и примените задачу Восстановление ЦС (Restore СА). Мастер сразу потребует остановить службу центра с е р т и ф и к а ц и и перед запуском операций восстановления. После остановки с л у ж б ы откроется страница приветствия мастера.

26 Зак. 3399

<<< < Предыдущая 68 69 70 71 72 73 74 75 76 77 78 7980 / 9680 81 82 83 84 85 86 87 88 89 90 91 92 > Следующая >>>

Соседние файлы в папке ЛБ

#
02.02.20218.2 Mб267Книга Active directory.pdf
#
02.02.2021368.32 Кб190Методичні вказівки з оформлення робіт.pdf
#
02.02.2021121.86 Кб186Шаблон звіту.doc