
- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
Войдите в систему, которая является членом домена и отвечает приведенным выше требованиям, как член группы Enterprise PKI Admins и вставьте диск, на котором были сохранены сертификат и список отзыва сертификатов корневого центра сертификации.
Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации в службе Active Directory:
Копировать код
Cscript //job:PublishCertstoAD C:\MSSScripts\CA_Operations.wsf
Выполните следующий сценарий, чтобы опубликовать список отзыва сертификатов в службе Active Directory:
Копировать код
Cscript //job:PublishCRLstoAD C:\MSSScript\CA_Operations.wsf
Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
Выполнить эту задачу необходимо потому, что в расширениях сертификатов, выдаваемых этим центром сертификации, указываются HTTP-версии URL-адресов CDP и AIA. Если эти расширения указаны, они должны быть соблюдены за счет публикации сертификатов и списков отзыва сертификатов по указанным URL-адресам.
Примечание. Эта процедура не зависит от того, установлен ли веб-сервер публикации CDP и AIA на выдающем центре сертификации, но она предполагает, что виртуальный каталог соответствует каталогу, созданному ранее для конфигурирования IIS (C:\CAWWWPub). Если был выбран другой путь, значение WWW_LOCAL_PUB_PATH в сценарии PKIParams.vbs нужно будет изменить.
Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
Войдите на веб-сервер, используя учетную запись локального администратора или эквивалентную ей.
Убедитесь в наличии в компьютере диска с сертификатом и списком отзыва сертификатов корневого центра сертификации.
Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации в папке веб-сервера:
Копировать код
Cscript //job:PublishRootCerttoIIS
C:\MSSScripts\CA_Operations.wsf
Выполните следующий сценарий, чтобы опубликовать список отзыва сертификатов центра сертификации в папке веб-сервера:
Копировать код
Cscript //job:PublishRootCRLstoIIS
C:\MSSScripts\CA_Operations.wsf
Развертывание сервера выдающего центра сертификации
После установки корневого центра сертификации и публикации его сертификатов можно развернуть сервер выдающего центра сертификации. Установка служб сертификации включает сложную совокупность взаимодействий между выдающим и корневым центрами сертификации, службой Active Directory и веб-сервером. Эти взаимодействия поясняет следующая диаграмма.
Рис. 5.Процесс установки сертификата
Цифры на диаграмме обозначают указанные ниже взаимодействия.
Публикация сертификата и списка отзыва сертификатов корневого центра сертификации в службе Active Directory с использованием съемного носителя.
Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере с использованием съемного носителя.
Установка служб сертификации, генерирующих запрос сертификата, который нужно будет доставить с использованием съемного носителя в корневой центр сертификации, где на основе этого запроса будет выдан сертификат.
Установка соответствующего сертификата выдающего центра сертификации с использованием съемного носителя.
Публикация сертификата и списка отзыва сертификатов выдающего центра сертификации на веб-сервере.
x. Этот этап выполняется автоматически в ходе установки центра сертификации предприятия.
Подготовка файла Capolicy.inf для выдающего центра сертификации
Вообще говоря, выдающему центру сертификации файл CAPolicy.inf не нужен. Он требуется, если нужно изменить размер ключа, используемого центром сертификации. Этот файл следует создать перед установкой выдающего центра сертификации, хотя в случае необходимости его можно будет добавить позднее, а затем обновить сертификат центра сертификации.
Чтобы создать файл CAPolicy.inf, выполните следующие действия.
Войдите на сервер выдающего центра сертификации, используя учетную запись локального администратора или эквивалентную ей.
Используя Блокнот или другой текстовый редактор, создайте обычный текстовый файл со следующим содержимым:
Копировать код
[Version]
Signature= “$Windows NT$”
[Certsrv_Server]
RenewalKeyLength=2048
Если для центра сертификации определено заявление об использовании сертификатов, включите в файл Capolicy.inf следующие строки:
Копировать код
[CAPolicy]
Policies=policyname
[policyname]
OID=the.org.oid
URL=”http://the.org.url/TheCPSPage.htm”
Примечание. Значения, набранные курсивом, нужно заменить информацией, специфичной для конкретной организации.
Сохраните этот файл как %windir%\Capolicy.inf (замените %windir% абсолютным путем к папке установки Windows, например C:\Windows).
Установка программных компонентов служб сертификации
Как и при установке служб сертификации на корневой центр сертификации, для выполнения этого этапа нужно будет использовать носитель с установочными файлами ОС Windows Server 2003, а также мастер компонентов Windows.
Чтобы установить службы сертификации, выполните следующие действия.
Войдите в систему выдающего центра сертификации, используя учетную запись члена группы локальных администраторов или эквивалентную ей, и запустите диспетчер дополнительных компонентов:
Копировать код
sysocmgr /i:sysoc.inf
Выберите службы сертификации и нажмите на кнопку ОК, чтобы проигнорировать предупреждение об изменении имени.
Выберите в качестве типа центра сертификации «Подчиненный ЦС предприятия» и убедитесь в том, что флажок «Использовать пользовательские параметры» установлен.
Большинство значений по умолчанию в диалоговом окне «Пара из открытого и закрытого ключей» следует оставить неизменными. Внесите только следующие изменения:
Установите длину ключа равной 2048 битам
Задайте в качестве типа поставщика (CSP) значение Microsoft Strong Cryptographic Provider
Введите указанные ниже сведения о центре сертификации.
Общее имя центра сертификации
Суффикс различающегося имени
Срок действия: (определенный родительским центром сертификации)
После этого поставщик службы криптографии сгенерирует пару ключей и запишет ее в хранилище ключей на локальном компьютере.
Введите предложенные ниже местоположения базы данных сертификатов, журналов базы данных и конфигурационной папки.
База данных сертификатов: D:\CertLog
Журнал базы данных сертификатов: %windir%\System32\CertLog
Общая папка: Disabled
Ради повышения производительности и надежности базу данных центра сертификации и журналы следует по мере возможности хранить на разных физических дисках. База данных сертификатов и журналы базы данных должны находиться на локальных дисках с файловой системой NTFS.
Теперь будет создан файл запроса сертификата, который следует скопировать на диск. После этого диспетчер дополнительных компонентов начнет установку компонентов служб сертификации, для чего потребуется носитель с установочными файлами ОС Windows Server 2003.
Нажмите на кнопку ОК, чтобы проигнорировать предупреждение о службах IIS, и продолжите процесс установки до его завершения. Мастер установки отобразит уведомление о том, что для продолжения необходим сертификат родительского центра сертификации.
Запрос сертификата у корневого центра сертификации
Теперь нужно доставить запрос сертификата выдающего центра сертификации корневому центру сертификации, чтобы этот запрос был подписан, а выдающему центру сертификации был выдан сертификат.
Чтобы отправить запрос сертификата корневому центру сертификации, выполните следующие действия.
Войдите в систему корневого центра сертификации, используя учетную запись члена группы Certificate Managers.
Убедитесь в том, что в компьютере находится диск, на котором был сохранен файл запроса сертификата.
Выберите в меню «Задачи ЦС» консоли управления центром сертификации пункт «Выдать новый запрос» и отправьте запрос, полученный от выдающего центра сертификации.
Найдите выданный сертификат в контейнере выданных сертификатов и откройте его.
Убедитесь в том, что сведения о сертификате верны, и экспортируйте сертификат в файл, нажав кнопку «Копировать в файл». Сохраните файл на диске в виде файла PKCS#7 и укажите, что в цепочку нужно включить все возможные сертификаты, задав соответствующий параметр.
Обновление информации о сертификатах в выдающем центре сертификации
Сертификат корневого центра сертификации уже опубликован в хранилище доверенного корня Active Directory, и теперь следует убедиться в том, что выдающий центр сертификации загрузил эту информацию и поместил сертификат в собственное хранилище корня.
Чтобы обновить и проверить информацию о доверии сертификатов в выдающем центре сертификации, выполните следующие действия.
Войдите в систему выдающего центра сертификации, используя учетную запись локального администратора или эквивалентную ей.
Введите в командной строке следующую команду:
Копировать код
certutil –pulse
Эта команда указывает центру сертификации загрузить новую информацию о доверенном корне из каталога и поместить сертификат корневого центра сертификации в собственное хранилище доверенного корня. Этот этап необязателен, но игнорировать его не следует, так как он позволяет убедиться в том, что предыдущие этапы публикации были выполнены успешно.
Запустите файл mmc.exe и добавьте оснастку «Сертификаты».
Выберите в качестве хранилища сертификатов, которым нужно управлять, вариант «Учетная запись компьютера».
Убедитесь в том, что сертификат корневого центра сертификации находится в папке Trusted Root Certificate Authorities.