- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Чтобы создать файл caPolicy.Inf, выполните следующие действия.
Используя Блокнот или другой текстовый редактор, создайте обычный текстовый файл со следующим текстом:
Копировать код
[version]
Signature=”$Windows NT$”
[Certsrv_server]
RednewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=16
[CRLDistributionPoint]
Empty=true
[AuthorityInformationAccess]
Empty=true
Если для центра сертификации определено заявление об использовании сертификатов, включите в файл capolicy.inf следующий текст, заменяя значения, набранные курсивом, значениями, специфичными для используемой реализации:
Копировать код
[CAPolicy]
Policies=company CPS name
[company CPS name]
OID=the.company.OID
URL=”http://www.companyurl.com/cpspagename.htm”
Сохраните этот текстовый файл как %windir%\Capolicy.inf (замените %windir% абсолютным путем к папке установки Windows, например C:\Windows). Для сохранения этого файла в папке Windows нужно использовать учетную запись администратора или учетную запись с эквивалентными разрешениями.
Установка программных компонентов служб сертификации
Воспользуйтесь для установки программных компонентов центра сертификации мастером компонентов Windows. Имейте в виду, что для их установки необходим доступ к носителю с установочными файлами ОС Windows Server 2003.
Чтобы установить службы сертификации, выполните следующие действия.
Войдите в систему как член группы локальных администраторов и запустите диспетчер дополнительных компонентов или откройте панель управления, дважды щелкните значок «Установка и удаление программ» и выберите установку компонентов Windows.
Копировать код
sysocmgr /i:sysoc.inf
Выберите службы сертификации (чтобы проигнорировать предупреждение об изменении имени, нажмите на кнопку «Да»).
Выберите в качестве типа центра сертификации «Изолированный корневой ЦС» и убедитесь в том, что флажок «Использовать пользовательские параметры» установлен.
Оставьте значения по умолчанию в диалоговом окне «Пара из открытого и закрытого ключей» неизменными за исключением поля «Длина ключа», в котором нужно задать значение 4096, и поля «Тип поставщика (CSP)», в котором нужно задать значение Microsoft Strong Cryptographic Provider.
Введите в следующие поля идентификационную информацию о центре сертификации, собранную на этапе подготовки.
Общее имя центра сертификации:
Суффикс различающегося имени:
Срок действия: 8 лет
После этого поставщик службы криптографии сгенерирует пару ключей, которая будет сохранена в локальном хранилище ключей.
Примечание. Если в системе ранее был установлен центр сертификации, появится диалоговое окно с предупреждением о перезаписи имеющегося закрытого ключа. Прежде чем продолжить, убедитесь в том, что этот ключ больше никогда не потребуется.
Местоположения базы данных сертификатов, журналов базы данных и конфигурационной папки оставьте без изменений. После этого диспетчер дополнительных компонентов установит компоненты служб сертификации, и для продолжения процесса потребуется носитель с установочными файлами ОС Windows Server 2003.
Нажмите кнопку ОК, чтобы проигнорировать предупреждения, связанные со службами IIS, и продолжите процесс установки до его завершения.
Настройка свойств корневого центра сертификации
При настройке корневого центра сертификации в соответствии с инструкциями, приведенными ниже, нужно будет задать ряд параметров, специфических для среды. Прежде чем продолжить, соберите необходимую для этого информацию, следуя указаниям, содержащимся в описании подготовительного этапа.
Чтобы настроить свойства корневого центра сертификации, выполните следующие действия.
Войдите на сервер центра сертификации как член группы локальных администраторов.
Измените сценарий C:\MSSScripts\pkiparams.vbs следующим образом:
Назначьте параметру AD_ROOT_DN различающееся имя домена корня леса Active Directory.
Измените параметр HTTP_PKI_VROOT в соответствии с HTTP-путем к виртуальному каталогу IIS, созданному ранее.
Выполните следующий сценарий:
Копировать код
Cscript //job:RootCAConfig C:\MSSScripts\ca_setup.wsf
Настройка административных ролей
Чтобы можно было использовать группы безопасности, созданные ранее, их нужно сопоставить с административными ролями, такими как аудитор и диспетчер сертификатов.
Примечание. Скорее всего, в большинстве компаний будет реализована упрощенная модель делегирования, упомянутая выше, но на тот случай, если потребуется дополнительное разделение, ниже описывается более гибкая модель.
Чтобы настроить административные роли корневого центра сертификации, выполните следующие действия.
Запустите консоль управления центром сертификации и щелкните пункт «Свойства».
Откройте вкладку «Безопасность» и добавьте локальные группы безопасности, указанные в следующей таблице, с соответствующими разрешениями.
Таблица 13. Разрешения на работу с центром сертификации
-
Группа
Разрешение
Предоставить / отказать
CA Admins
Управление центром сертификации
Предоставить
Certificate Managers
Выдача сертификатов и управление ими
Предоставить
Другие роли безопасности центра сертификации уже были определены для этого сервера с помощью политики безопасности.
Запись сертификата и списка отзыва сертификатов корневого центра сертификации на диск
Сертификат и список отзыва сертификатов корневого центра сертификации нужно скопировать с центра сертификации, чтобы их можно было опубликовать в Active Directory и на сервере публикаций сертификатов IIS и списков отзыва сертификатов. В приведенном ниже примере используется диск, но вместо него можно использовать любой съемный носитель, в том числе накопители с интерфейсом USB.
Запись сертификата и списка отзыва сертификатов корневого центра сертификации на диск
Войдите на сервер корневого центра сертификации как член локальной группы CA Admins и вставьте в систему съемный носитель.
Выполните следующий сценарий, чтобы скопировать сертификат центра сертификации на диск:
Копировать код
Cscript //job:GetCACerts C:\MSSScripts\CA_Operations.wsf
Выполните следующий сценарий, чтобы скопировать сертификат центра сертификации на диск:
Копировать код
Cscript //job:GetCRLs C:\MSSScripts\CA_Operations.wsf
Пометьте диск, укажите на нем дату и сохраните для использования в будущем.
Публикация сведений о корневом центре сертификации
Перед установкой выдающего центра сертификации нужно опубликовать сертификат корневого центра сертификации в хранилище доверенного корня службы Active Directory, а список отзыва сертификатов корневого центра сертификации — в контейнере CDP службы Active Directory. В ходе этого все члены домена импортируют сертификаты корневого центра сертификации в свои хранилища доверенного корня, что позволяет им проверять статус отзыва любых сертификатов, выданных корневым центром сертификации.
Для выполнения этой процедуры лучше всего использовать выдающий центр сертификации, потому что в нем установлены необходимые библиотеки Certutil.exe, certadm.dll и certcli.dll, но с этой же целью можно использовать любой сервер, являющийся членом домена и работающий под управлением ОС Windows Server 2003, если на нем есть файл certutil.exe и установлены поддерживающие DLL-библиотеки.