Touche-à-tout informatique : Les certificats simplifiés, 2e partie
Vous pouvez créer et fournir des certificats personnalisés assez facilement en suivant ce processus.
Greg Shields
Dans mon article d'octobre 2011, "certificats Made Easy," je l'ai expliqué un simple processus étape par étape pour configurer les Services de certificats Active Directory (AD CS) et attribuer des certificats de serveur entièrement fiable à l'aide d'un raccourci astucieux dans IIS. Certificat de serveur Web de ce raccourci sera suffisant pour un grand nombre d'utilisations, pas le moindre de ce qui est authentification et cryptage du trafic Web.
Parfois, cependant, votre certificat doit aller au-delà de la base certificat de serveur Web. Ces jours-ci, vous verrez certificats requis pop un peu partout : Windows PowerShell, System Center, DirectAccess et une liste croissante d'applications tierces. Avouons-le : On ne peut ignorer les services AD CS plus longtemps.
Autant que vous voulez le détester, AD CS devient rapidement l'un de ces services de must-have dans chaque forêt Active Directory. Une fois que vous commencer avec les bases des services AD CS, vous vous rendrez compte vous pouvez en effet personnaliser et déployer certains de ses « autres » certificats avec Windows Server 2012.
Un exemple du monde réel
Une fois que vous apprendrez les étapes requises pour configurer et configurer un type de certificat personnalisé, vous pouvez générer la plupart des autres de façon similaire. La différence est dans le modèle. Pour garder les choses réelles, je me concentrerai cette explication étape par étape sur les exigences particulières à la mise en place des certificats pour le nouveau Windows Server 2012 Hyper-V Replica.
Les étapes de configuration des services AD CS décrites en ce que octobre 2011 colonne sont assez simples. Une fois que vous avez suivi le processus, vous serez ajouté une autorité de certification racine d'entreprise (CA) dans votre domaine. Clients joints au domaine devraient également disposer de l'AC racine automatiquement déployée dans leur magasin d'autorités de Certification racines de confiance, grâce à l'intégration Active Directory de la racine de cette entreprise. Ils auront besoin de ce certificat racine si ils sont d'approuver les certificats de que votre autorité de certification racine d'entreprise publie.
Hyper-V Replica pouvez utiliser Kerberos ou authentification par certificats entre paires de réplique. Cette dernière approche est nécessaire si vous souhaitez crypter le trafic de réplication entre les hôtes. Il est également nécessaire si vous êtes en cours de réplication ordinateurs virtuels entre les hôtes qui ne sont pas dans le même domaine. L'écran des paramètres Hyper-V Manager vous permet de configurer chaque option (voir Figure 1).
.jpg)
Figure 1 vous pouvez configurer vos paramètres Hyper-V Replica.
Génération d'un certificat de serveur Web banal n'est pas si difficile grâce à la pratique raccourci IIS. Malheureusement, les certificats de serveur Web n'incluent pas les éléments nécessaires qui requiert l'authentification basée sur les certificats de Hyper-V Replica. Cliquez sur Sélectionner un certificat sans un certificat correctement configuré et vous obtiendrez un message d'erreur (voir Figure 2).
.jpg)
La figure 2 Hyper-V Replica garantit que vous utilisez correctement configurés certificats.
Hyper-V Replica certificats doivent prennent en charge l'authentification du serveur et authentification du client avec une clé privée exportable. Ces certificats ont aussi des exigences particulières pour leur champ nom d'objet ou autre nom d'objet, Praveen Vijayaraghavan décrites dans Microsoft Blog de virtualisation. Pour définir une relation de réplication, le certificat sur le serveur primaire doit satisfaire aux conditions suivantes :
- Utilisation de clé améliorée (EKU) doit prendre en charge l'authentification client et le serveur.
- Définissez le champ objet ou autre nom du sujet en utilisant une des méthodes suivantes :
- Définissez le champ de sujet sur le nom du serveur primaire, tels que primary1.contoso.com ; Si le serveur principal fait partie d'un cluster, assurez-vous que le champ objet est défini pour le domaine nom (FQDN) de l'Hyper-V Replica courtier (installer ce certificat sur tous les nœuds du cluster)
- Le champ de l'objet peut contenir un caractère générique (tels que *. department.contoso.com)
- Pour un certificat SAN, la valeur nom DNS de l'autre nom du sujet le nom du serveur primaire, tels que primary1.contoso.com ; Si le serveur principal fait partie d'un cluster, l'autre nom du sujet du certificat doit contenir le nom complet de l'Hyper-V Replica courtier (installer ce certificat sur tous les nœuds du cluster)
Pour activer un serveur à recevoir du trafic de réplication, le certificat de serveur de réplicas doit satisfaire aux conditions suivantes :
- EKU doit prendre en charge l'authentification client et le serveur.
- Définissez le champ objet ou autre nom du sujet en utilisant une des méthodes suivantes :
- Pour un certificat SAN, la valeur nom DNS de l'autre nom du sujet le nom du serveur réplica, tels que replica1.contoso.com ; Si le serveur de réplicas fait partie d'un cluster, l'autre nom du sujet du certificat doit contenir le nom du serveur réplica et nom de domaine complet de l'Hyper-V Replica courtier (installer ce certificat sur tous les nœuds du cluster)
- Définissez le champ de sujet sur le nom du serveur réplica, tels que replica1.contoso.com ; Si le serveur réplique fait partie d'un cluster, assurez-vous qu'il y a un certificat avec le champ objet, affectez le nom de domaine complet du courtier Replica Hyper-V installé sur tous les nœuds du cluster
- Le champ de l'objet peut contenir un caractère générique, tel que *. department.contoso.com.
Les déclarations de Daniel sont utiles, mais ils peuvent aussi être source de confusion si vous êtes inexpérimentés dans les services AD CS. Nous allons donc créer la plus simple possible certificat qui répondra aux exigences de la technologie Hyper-V Replica.
Créez le modèle de certificat
Vous commencez tous les certificats AD CS à partir d'un modèle. Tout comme un modèle de machine virtuelle (VM) définit le point de départ pour un ordinateur virtuel, un modèle de certificat définit les règles pour tous les certificats qu'il génère. Toutefois, il n'y a pas de modèle qui correspond à des exigences de Hyper-V Replica out of the box AD CS. Vous aurez besoin créer votre propre. Voici où la personnalisation certificat devient intéressante.
Commencez par lancer l'autorité de Certification dans la liste déroulante les outils du gestionnaire de serveur, puis cliquez sur modèles de certificats. Vous verrez une liste de modèles de certificats émis (voir Figure 3). Vous reviendrez ici en une minute. Tout d'abord, vous devez créer un modèle, que vous pouvez émettre.
.jpg)
Figure 3 console l'autorité de Certification vous montre une liste des modèles certifiés.
Cliquez-droit sur le nœud modèles de certificats. Puis sélectionnez Manage pour lancer la Console de modèles de certificat. Vous savez déjà que tout certificat commence à partir d'un modèle. Vous devez également savoir que chaque modèle commence à partir d'un autre modèle. Ces modèles sont ce que vous trouverez dans l'affichage de la console (voir Figure 4).
.jpg)
Figure 4 la Console modèles de certificat a les modèles que vous aurez besoin.
Le modèle de l'ordinateur fournit un bon point de départ pour un certificat de Hyper-V Replica, alors cliquez-droit sur ordinateur et choisissez le modèle dupliqué. Cela lance un écran de propriétés du nouveau modèle. Votre certificat de Hyper-V Replica simple, vous pouvez ignorer la plupart de ces onglets, mais vous devrez ajuster quelques uns d'entre eux.
Sous l'onglet général (voir Figure 5), changer le nom d'affichage modèle à quelque chose, vous reconnaîtrez plus tard. Vous pouvez aussi changer la période de validité et de la période de renouvellement si vous le souhaitez. Cochez que la case marquée « Certificat de publier dans Active Directory ». Cela vous permettra de demander ce certificat ultérieurement à l'aide de stratégie de l'inscription de votre autorité de certification Active Directory. Cela est mis en place déjà par défaut.
.jpg)
Figure 5 l'onglet général vous permet de modifier les paramètres généraux.
Vous devez configurer un certificat de Hyper-V Replica pour être en mesure d'exporter la clé privée. Vous pouvez activer cela avec la case à cocher dans l'onglet de demande de traitement du modèle.
Vous devez également identifier un nom de sujet du certificat. Pour les certificats de serveur Web simples, ce nom d'objet est le plus souvent nom de domaine complet du serveur demandeur. Vous voulez votre certificat de Hyper-V Replica pour travailler avec une variété de noms de l'objet, donc sous l'onglet nom du sujet du modèle choisir d'approvisionnement à la demande. De cette façon, vous devrez définir un nom d'objet ou autre nom d'objet que vous demandez le certificat.
Il n'y a aucune configuration n'est requise dans l'onglet Extensions du modèle. Vous dupliqués à l'origine un modèle informatique pour créer notre modèle de Hyper-V Replica. Vous l'avez fait parce que le modèle ordinateur inclut déjà la fois l'authentification du client et l'authentification du serveur dans la liste des stratégies d'Application. Vous pouvez considérer ces stratégies d'Application comme les « caractéristiques » attestées par les certificats basés sur ce modèle. Le terme officiel pour ces fonctionnalités est Enhanced Key Usage ou EKU.
La sécurité est l'onglet final. Ici vous pouvez assigner des autorisations lecture et inscription aux utilisateurs et aux groupes qui vont générer des certificats basés sur ce modèle. Soyez particulièrement prudent avec les modèles comme celle que vous avez créé ici. Ce modèle a le demandeur fournissant nom d'un cert du sujet, si un utilisateur malveillant pourrait utiliser le modèle pour générer toutes sortes de certificats nommés et de confiance.
Cliquez sur OK pour définir ces propriétés et fermez la console modèles de certificats. Vous avez maintenant une étape importante (et facilement oubliable) à la fin de votre modèle de Hyper-V Replica. Retour à l'autorité de Certification, cliquez-droit sur modèles de certificats, puis choisissez nouveau | Modèle de certificat pour la question. Sélectionnez votre modèle de Hyper-V Replica et cliquez sur OK. Maintenant vous êtes prêt à vous inscrire.
Inscrire votre certificat
L'inscription est facilitée par la stratégie d'inscription de votre autorité de certification Active Directory. Vous configurer en installant simplement une autorité de certification racine d'entreprise. Commencez en accédant à un des hôtes Hyper-V sur laquelle vous allez activer la réplique de Hyper-V avec authentification par certificat. Là, lancez un vide MMC Microsoft Management Console () et ajoutez le composant logiciel enfichable Certificats pour le compte d'ordinateur. Une fois chargé, faites un clic droit personnel | Certificats et sélectionnez toutes les tâches | Demande de nouveau certificat (Figure 6).
.jpg)
Figure 6 vos certificats de l'ordinateur local.
Cela lance l'Assistant inscription de certificat. Ici, vous pouvez vous inscrire tout certificat été activé pour la distribution de la stratégie de l'inscription Active Directory. Cliquez sur suivant dans les deux premières pages de l'Assistant pour accéder au modèle Hyper-V Replica. S'inscrire pour ce certificat requiert de fournir un nom d'objet ou autre nom du sujet, cliquez sur le lien plus d'informations pour ce faire.
Cela expose l'écran Propriétés de certificats (Figure 7). Ici, vous allez saisir un nom d'objet ou autre nom du sujet. Pour la solution la plus simple, utilisez un caractère générique dans le nom d'Alternative. L'autre nom pour ce certificat est *. company.pri. Cela permet le certificat de travailler avec n'importe quel hôte Hyper-V Replica qui a un nom de domaine complet correspondant.
.jpg)
La figure 7 vos propriétés de certificat peuvent inclure un caractère générique.
Cliquez sur OK et inscription pour ajouter le certificat au magasin personnel de votre hôte Hyper-V. Ce magasin est l'emplacement où Hyper-V Replica recherchera tous les certificats qui répond à ses besoins. Vous cherchez un statut Succeeded (Figure 8). Vous pouvez également cliquer sur pour afficher le certificat installé. Cliquez sur Terminer pour fermer l’Assistant.
.jpg)
Figure 8 vous verrez lorsque le certificat est correctement installé.
Et c'est le processus de personnalisation et de demander des certificats. Votre dernière étape dans la configuration Hyper-V Replica arrive dans le Gestionnaire Hyper-V. Lancer les paramètres Hyper-V et cliquez sur Sélectionner un certificat dans la Configuration de la réplication. Si vous avez tout fait correctement, vous verrez votre certificat récemment installé et personnalisé (Figure 9). Félicitations — maintenant vous êtes prêt à créer et inscrire n'importe quel certificat dont vous avez besoin.
.jpg)
Figure 9 vous pouvez sélectionner votre certificat dans les paramètres Hyper-V.
Douloureux, mais utile
Certificats semblent avoir obtenu une mauvaise réputation dans le passé. Quand j'ai demander des certificats à des conférences ou des formations, la plupart du temps, je reçois une salle remplie de regards vides. Certificats ne vont nulle part, cependant. Et signes montrent qu'ils deviennent toujours plus nécessaire de soutenir aujourd'hui est besoins informatiques. Tout ce dont vous avez besoin est un moyen de rendre facile.
.jpg)
Greg ShieldsMVP, est associé à la technologie concentrés. Obtenez plus de Shields' Geek des métiers tous les trucs et astuces à ConcentratedTech.com.