- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Чтобы установить службы iis, выполните следующие действия.
Введите в командной строке следующую команду:
Копировать код
Sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIIS.txt
Эта команда указывает диспетчеру дополнительных компонентов Windows на необходимость использовать следующие конфигурационные параметры компонентов, заданные в файле автоматической установки C:\MSSScripts\OC_AddIIS.txt:
Копировать код
[Components]
complusnetwork = On
iis_common = On
iis_asp = On
iis_inetmgr = On
iis_www = On
Примечание. При использовании этого конфигурационного файла будет установлен и компонент Active Server Pages (ASP). Если страницы службы подачи заявок на сертификаты через Интернет не нужны, перед запуском файла sysocmgr.exe установку ASP следует отменить, удалив из приведенного выше файла строку iis_asp = on. В случае надобности этот параметр можно будет задать позднее.
Запустите диспетчер дополнительных компонентов еще раз с указанным ниже ключом и убедитесь в том, что установленные компоненты соответствуют приведенному выше списку.
Копировать код
sysocmgr /i:sysoc.inf
Никакие другие дочерние компоненты сервера приложений не нужны, и устанавливать их не требуется.
Настройка IIS для доступа к сведениям о центрах сертификации (AIA) и публикации точки распространения списков отзыва сертификатов на выдающем центре сертификации
На сервере IIS необходимо создать виртуальный каталог, который будет использоваться как HTTP-контекст пунктов публикации сертификатов центров сертификации и списков отзыва сертификатов. Эти пункты называются точкой доступа к сведениям о центрах сертификации (Authority Information Access, AIA) и точкой распространения списков отзыва сертификатов (CRL Distribution Point, CDP) соответственно.
Чтобы создать виртуальный каталог на сервере IIS, выполните следующие действия.
Войдите на сервер IIS с правами локального администратора.
Создайте папку C:\CAWWWPub, в которой будут храниться сертификаты центров сертификации и списки отзыва сертификатов.
Настройте параметры безопасности этой папки в соответствии со следующей таблицей.
Таблица 9. Разрешения на доступ к виртуальному каталогу
-
Пользователь / группа
Разрешение
Предоставить / отказать
Администраторы
Полный доступ
Предоставить
System
Полный доступ
Предоставить
Владельцы-создатели
Полный доступ (только к вложенным папкам и файлам)
Предоставить
Пользователи
Чтение и просмотр содержимого папки
Предоставить
IIS_WPG
Чтение и просмотр содержимого папки
Предоставить
Гостевая учетная запись Интернета
Запись
Отказать
Используя консоль управления IIS, создайте новый виртуальный каталог на веб-узле по умолчанию:
Назначьте виртуальному каталогу имя pki
Укажите в качестве пути C:\CAWWWPub
Снимите в окне разрешений на доступ к виртуальному каталогу флажок «Запуск сценариев».
Убедитесь в том, что для виртуального каталога включена анонимная проверка подлинности.
Выбор DNS-псевдонима для пункта публикации HTTP
Для разрешения сервера IIS, на котором размещены точки доступа к сведениям о центрах сертификации и распространения списков отзыва сертификатов, нужно создать общий DNS-псевдоним (CNAME). Этот псевдоним будет использован в следующих разделах при настройке путей к этим точкам для центров сертификации. Используя псевдонимы, можно легко перемещать пункты публикации центров сертификации на другие серверы или сетевые устройства без выдачи новых сертификатов центров сертификации.
Другие операции по конфигурированию решения и компонентов операционной системы
Кроме уже описанных действий по настройке, рекомендуется также выполнить перечисленные ниже.
Служба обновления корневых сертификатов. Службу обновления корневых сертификатов следует отключить, потому что автоматически обновлять корневое доверие центров сертификации невыгодно. Чтобы удалить эту службу, просто введите в командной строке следующую команду:
Копировать код
sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_RemoveRootUpdate.txt
Файл OC_RemoveRootUpdate.txt содержит следующие строки:
Копировать код
[Components]
rootautoupdate = off
Убедитесь в том, что корневой центр сертификации не подключен к сети и что выдающий центр сертификации не связан с Интернетом входящим или исходящим соединением.
Проверьте, нужно ли установить после установки IIS какие-либо дополнительные обновления.
Установите служебные программы Windows Server 2003. Делать это необязательно, но они пригодятся при выполнении некоторых операций с использованием центра сертификации, а также при поиске и устранении неполадок.
Установите библиотеку CAPICOM. Для выполнения некоторых сценариев установки и управления, распространяемых с этим руководством, в корневом и выдающем центрах сертификации должна быть установлена библиотека CAPICOM 2.1. Сведения о библиотеке CAPICOM и ссылку на ее загрузку можно найти по адресу www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en (эта ссылка может указывать на содержимое полностью или частично на английском языке).