- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Установка сертификата в выдающем центре сертификации
Подписанный ответ корневого центра сертификации уже создан как пакет сертификатов PKCS#7, и теперь его можно установить в выдающем центре сертификации. Для публикации сертификата центра сертификации в хранилище NTAuth службы Active Directory, которое идентифицирует центр сертификации как центр сертификации предприятия, этот сертификат нужно установить, используя учетную запись, входящую в выдающем центре сертификации в группу Enterprise PKI Admins и локальную группу Administrators. Первая группа имеет права на установку сертификата центра сертификации в каталог, а вторая — на установку сертификата на сервере центра сертификации. Если используется уже упоминавшаяся простая модель администрирования, роль CAAdmin уже является членом обеих этих групп.
Чтобы установить сертификат выдающего центра сертификации, выполните следующие действия.
Войдите в систему выдающего центра сертификации, используя учетную запись, входящую в группу Enterprise PKI Admins и локальную группу Administrators.
Вставьте диск с подписанным сертификатом, выданным корневым центром сертификации.
Выберите в меню «Задачи ЦС» консоли управления центром сертификации пункт «Установить сертификат», чтобы установить сертификат выдающего центра сертификации с дискеты.
После этого центр сертификации должен начать работу.
Настройка свойств выдающего центра сертификации
При выполнении следующей процедуры будут сконфигурированы специфичные для среды параметры, информация о которых была собрана при подготовке к созданию выдающего центра сертификации. Перед выполнением этого этапа важно убедиться в том, что собранная информация об организации включена в файл C:\MSSScripts\pkiparams.vbs в корневом центре сертификации и что эти изменения были также распространены на выдающий центр сертификации.
Чтобы настроить свойства корневого центра сертификации, выполните следующие действия.
Войдите на сервер выдающего центра сертификации как член локальной группы администраторов.
Убедитесь в том, что изменения, внесенные в файл C:\MSSScripts\pkiparams.vbs, соответствуют специфическим параметрам среды, описанным выше в этом разделе.
Выполните следующий сценарий:
Копировать код
Cscript //job:IssCAConfig C:\MSSScripts\ca_setup.wsf
Настройка административных ролей выдающего центра сертификации
Чтобы можно было использовать административные роли, описываемые в данном руководстве, они должны быть сопоставлены с группами безопасности. Как уже было сказано, несмотря на то, что большинство компаний среднего размера могут довольствоваться упрощенными ролями, данный процесс позволит реализовать детализированные роли, обеспечивающие максимальную гибкость и разделение областей ответственности.
Чтобы настроить роли в выдающем центре сертификации, выполните следующие действия.
Войдите на сервер выдающего центра сертификации как член локальной группы администраторов.
Откройте в консоли управления центром сертификации окно свойств, чтобы изменить свойства центра сертификации.
Откройте вкладку «Безопасность» и добавьте группы безопасности домена, указанные в следующей таблице, с соответствующими разрешениями.
Таблица 14. Разрешения на работу с выдающим центром сертификации
-
Группа
Разрешение
Предоставить / отказать
CA Admins
Управление центром сертификации
Предоставить
Certificate Managers
Выдача сертификатов и управление ими
Предоставить
Группу CA Auditors следует добавить в локальную группу администраторов, несмотря на то, что она уже была частично определена с помощью политики безопасности, заданной ранее.
Публикация сведений о выдающем центре сертификации
Сертификаты и списки отзыва сертификатов выдающего центра сертификации автоматически публикуются в службе Active Directory, но не по HTTP-путям CDP и AIA. Для автоматизации публикации сертификата центра сертификации по HTTP-путям CDP и AIA необходимо запланировать выполнение соответствующего задания.
Сертификаты центра сертификации обновляются очень редко, поэтому их можно опубликовать для AIA вручную, выполнив следующий процесс.
Чтобы установить сертификат выдающего центра сертификации, выполните следующие действия.
Войдите в систему выдающего центра сертификации, используя учетную запись с разрешениями на запись данных в опубликованную папку веб-сервера.
Обновите параметр WWW_REMOTE_PUB_PATH в файле C:\MSSScripts\PKIParams.vbs, присвоив ему путь к папке веб-сервера.
Если веб-сервер установлен на удаленном сервере, убедитесь в том, что папка веб-сервера является общей, и запишите UNC-путь к этой папке.
Если веб-сервер установлен на том же сервере, что и центр сертификации, запишите локальный путь к этой папке (по умолчанию используется локальный путь C:\CAWWWPub).
Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации на веб-сервере:
Копировать код
Cscript //job:PublishIssCertsToIIS
C:\MSSScripts\CA_Operations.wsf
Примечание. Эта процедура разработана для внутренних веб-серверов. Если сертификаты будут опубликованы на веб-сервере, подключенном к Интернету, нужно будет выполнить ряд дополнительных действий, потому что данное решение основано на совместном доступе к файлам через сеть Windows, который обычно блокируется брандмауэрами.
Списки отзыва сертификатов публикуются чаще, чем сертификаты центра сертификации, поэтому их публикацию на веб-сервере следует автоматизировать.