Core Network Companion Guide: Server Certificate Deployment
Van toepassing op: Windows Server 2012
De handleiding voor het basisnetwerk van Windows Server 2012 bevat instructies voor het plannen en implementeren van de basisonderdelen die vereist zijn voor een volledig werkend netwerk en een nieuw Active Directory®-domein in een nieuw forest.
Deze handleiding wordt uitgelegd hoe zijn gebaseerd op de Basisnetwerk met behulp van instructies voor het implementeren van certificaten voor computers waarop Network Policy Server (NPS), Routering en Remote Access Service (RRAS) of beide.
Tip
Deze handleiding vindt u in Word-indeling op de Microsoft TechNet Gallery op https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7.
Deze handleiding bevat de volgende secties.
Vereisten voor het gebruik van deze handleiding
Over deze handleiding
Wat deze handleiding niet biedt
Technologieoverzicht
Vereisten voor het gebruik van deze handleiding
Dit is een aanvullende handleiding bij de handleiding voor het basisnetwerk van Windows Server 2012. Als u wilt implementeren servercertificaten met deze handleiding, moet u eerst het volgende doen.
Een Basisnetwerk met behulp van de Guide Core netwerk implementeren of al hebben de technologieën opgegeven in de Core netwerk Guide geïnstalleerd en correct werkt op uw netwerk. Deze technologieën zijn TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS, NPS en Webserver (IIS).
Notitie
De Windows Server 2012 Core netwerk Guide is beschikbaar in de Windows Server 2012 technische bibliotheek (https://go.microsoft.com/fwlink/?LinkId=154884).
De handleiding Core netwerk is ook beschikbaar in Word-indeling op de Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).
Over deze handleiding
Deze handleiding bevat instructies voor het implementeren van servercertificaten op servers met NPS, RRAS of beide via AD CS in Windows Server 2012.
Servercertificaten zijn vereist wanneer u authenticatiemethoden op basis van certificaten met EAP (Extensible Authentication Protocol) en PEAP (Protected EAP) voor authenticatie van netwerktoegang implementeert.
Servercertificaten met Active Directory Certificate Services (AD CS) voor EAP- en PEAP op basis van certificaten verificatiemethoden implementeren biedt de volgende voordelen:
De identiteit van de server met NPS-server of de RRAS-server met een persoonlijke sleutel van de binding
Een rendabele en veilige methode voor het automatisch inschrijven van certificaten voor domein lid NPS en RRAS-servers
Een efficiënte manier voor het beheren van certificaten van certificeringsinstanties (CA's)
Beveiliging via authenticatie op basis van certificaten
De mogelijkheid om het gebruik van certificaten uit te breiden voor andere doeleinden
Deze handleiding is ontworpen voor netwerk- en systeembeheerders die de instructies in de handleiding voor het basisnetwerk van Windows Server 2012 hebben gevolgd om een basisnetwerk te implementeren of voor beheerders die reeds de technologieën hebben geïmplementeerd die worden vermeld in de handleiding, inclusief AD DS (Active Directory Domain Services), DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol), TCP/IP, Webserver (IIS) en NPS (Network Policy Server).
Belangrijk
Deze handleiding biedt instructies voor het implementeren van certificaten met behulp van een online Enterprise-basiscertificeringsinstantie (CA), is bedoeld voor kleine bedrijven met computerbronnen beperkte. Uit veiligheidsoverwegingen - als uw organisatie de computerbronnen heeft - is het aanbevolen dat u een offline Enterprise basis-CA in een twee lagen public key infrastructure (PKI) implementeert. Zie Aanvullende bronnen voor meer informatie.
U wordt aangeraden de ontwerp- en implementatiehandleidingen te raadplegen voor de technologieën die worden gebruikt in dit implementatiescenario. Met behulp van deze handleidingen kunt u bepalen of dit implementatiescenario de benodigde services en configuratie voor uw organisatienetwerk biedt.
Vereisten voor servercertificaten implementeren
Hier volgen de vereisten voor het gebruik van certificaten:
Voor het implementeren van certificaten met behulp van automatische inschrijving AD CS vereist de Windows Server 2012 Standard, Enterprise of Datacenter-besturingssystemen. AD DS moet worden geïnstalleerd voordat de AD CS is geïnstalleerd. Hoewel AD CS kan worden geïmplementeerd op een enkele server, met veel implementaties meerdere servers die zijn geconfigureerd als CA's.
Computers met toegang om aan te bieden de CA-toegang (AIA) en de certificaatintrekkingslijst (CRL) die wordt gegenereerd door de certificeringsinstantie (CA), moet u een webserver waarmee correct is geconfigureerd volgens de instructies in deze handleiding hebben.
Als u wilt implementeren PEAP of EAP voor virtuele particuliere netwerken (VPN's), moet u RRAS geconfigureerd als een VPN-server implementeren. Het gebruik van NPS is optioneel. Als u meerdere VPN-servers hebt, wordt met behulp van NPS echter aanbevolen voor het vereenvoudigen van beheer en de RADIUS-accounting-services die NPS biedt.
Als u wilt implementeren PEAP of EAP voor extern bureaublad-Gateway (RD-Gateway), moet u RD-Gateway en NPS implementeren.
Notitie
In eerdere versies van Windows Server, was de naam van extern bureaublad-Services Terminal Services.
Voor het implementeren van PEAP of EAP voor 802. 1 X beveiligde bekabelde of draadloze, moet u implementeren NPS en extra hardware, zoals een 802. 1 X-compatibele switches en draadloze toegangspunten.
Als u wilt implementeren op basis van certificaten verificatiemethoden die certificaten voor verificatie van gebruikers en computer vereisen naast het vereisen van certificaten voor serververificatie, zoals EAP met Transport Layer Security (EAP-TLS) of PEAP-TLS, moet u ook gebruiker of computer certificaten via automatische inschrijving of met behulp van smartcards implementeren.
Wat deze handleiding niet biedt
Deze handleiding biedt niet uitgebreide instructies voor het ontwerpen en implementeren van een openbare-sleutelinfrastructuur (PKI) met behulp van AD CS. Het is raadzaam om AD CS-documentatie en ontwerpdocumentatie PKI voordat de technologieën in deze handleiding wordt geïmplementeerd. Zie voor meer informatie de Aanvullende bronnen verderop in dit document.
Deze handleiding biedt geen instructies over het installeren van de webserver (IIS) of Network Policy Server technologieën op servercomputers. Deze instructies zijn opgegeven in de handleiding Core netwerk.
Deze handleiding ook biedt geen gedetailleerde instructies voor het implementeren van de netwerktechnologieën toegang gedurende welke servercertificaten kunnen worden gebruikt.
Technologieoverzicht
Hieronder vindt u overzichten technologie voor EAP, PEAP en AD CS.
EAP
EAP (Extensible Authentication Protocol) is een uitbreiding van PPP (Point-to-Point Protocol) doordat willekeurige verificatiemethoden worden ingeschakeld die referenties en informatie van willekeurige lengte uitwisselen. EAP is ontwikkeld als reactie op een groeiende vraag naar verificatiemethoden waarbij zoals smartcards, token kaarten en crypto-calculators beveiligingsapparaten. EAP is een industriestandaard-architectuur voor extra verificatiemethoden binnen PPP.
Met EAP kan een willekeurige verificatiemethode gebruikt om te controleren of de identiteit van de client en server die een netwerk-verbinding tot stand brengt. De exacte verificatieschema moet worden gebruikt wordt door de toegangsclient en de verificator - de netwerk- of de Remote Authentication Dial-In User Service (RADIUS)-server onderhandeld.
Met EAP-verificatie, moeten de netwerk-client en de verificator (zoals de NPS) hetzelfde EAP-type voor een succesvolle verificatie optreden als u wilt ondersteunen.
Belangrijk
Sterke EAP-typen, zoals systemen die zijn gebaseerd op certificaten bieden betere beveiliging tegen gewelddadige aanvallen, woordenlijst aanvallen en wachtwoord wordt geraden aanvallen dan het wachtwoord gebaseerde verificatieprotocollen, zoals CHAP of MS-CHAP versie 1.
EAP in Windows Server 2012
Windows Server 2012 bevat een EAP-infrastructuur, EAP-typen en de mogelijkheid om door te geven van EAP-berichten voor een RADIUS-server (EAP-RADIUS) zoals NPS.
Met behulp van EAP, kunt u aanvullende verificatiemethoden bekend als EAP-typen ondersteunen. De EAP-typen worden ondersteund door Windows Server 2012 zijn:
Transport Layer Security (TLS). EAP-TLS vereist het gebruik van computercertificaten of gebruikerscertificaten naast servercertificaten die op computers met NPS zijn geregistreerd.
Microsoft Challenge-Handshake Authentication Protocol, versie 2 (MS-CHAP v2). Deze EAP-type is een protocol op basis van wachtwoorden. Bij gebruik in EAP als verificatiemethode EAP-MS-CHAP v2 bieden NPS en RRAS-servers een servercertificaat als identiteitsbewijs op clientcomputers, terwijl gebruikers hun identiteit met een gebruikersnaam en wachtwoord bewijzen.
Getunneld Transport Layer Security (TTLS). EAP-TTLS is nieuw in Windows Server 2012 en is niet beschikbaar in andere versies van Windows Server. EAP-TTLS is een op standaarden gebaseerde EAP-tunnelmethode die wederzijdse authenticatie ondersteunt. EAP-TTLS biedt een beveiligde tunnel voor clientauthenticatie op basis van EAP-methoden en andere verouderde protocollen. EAP-TTLS biedt u ook de mogelijkheid EAP-TTLS te configureren op clientcomputers voor netwerktoegangsoplossingen waarin andere dan Microsoft RADIUS-servers (Remote Authentication Dial In User Service) die ondersteuning bieden voor EAP-TTLS voor authenticatie worden gebruikt.
U kunt bovendien andere niet - Microsoft-EAP-modules installeren op de server met NPS of Routing and Remote Access zodat andere EAP-typen voor verificatie. In de meeste gevallen, als u extra EAP-typen op servers installeren, moet u ook installeren overeenkomende EAP-verificatie clientonderdelen op clientcomputers zodat de client en server is een verificatiemethode die moet worden gebruikt voor verbindingsaanvragen kunnen onderhandelen.
PEAP
PEAP gebruikt TLS om een versleutelde kanaal tussen een verificatie PEAP-client, zoals een draadloze computer en een PEAP-verificator, zoals een server met NPS of andere RADIUS-server te maken.
PEAP geeft geen verificatiemethode, maar het extra beveiliging biedt voor andere EAP-verificatieprotocollen (zoals EAP-MSCHAP v2) die via het TLS-versleutelde kanaal dat door PEAP kunnen werken. PEAP wordt gebruikt als een verificatiemethode voor-clients die verbinding met het netwerk van uw organisatie via de volgende soorten netwerktoegangsservers maakt:
802. 1 X-compatibele draadloze toegangspunten
Draadloze 802. 1 X verificatie switches
Computers met Windows Server 2012 of Windows Server 2008 R2 en RRAS die zijn geconfigureerd als VPN-servers
Computers met Windows Server 2012 of Windows Server 2008 R2 en RD-Gateway
Functies van PEAP
Betere EAP-protocollen en netwerkbeveiliging, biedt PEAP:
Een TLS-kanaal dat biedt beveiliging voor EAP-onderhandeling tussen de client en server. Dit TLS-kanaal helpt voorkomen dat aanvallers injecteren pakketten tussen de client en de network access server leiden tot het onderhandelen over een minder veilige EAP-type. Het versleutelde TLS-kanaal ook voorkomt denial of service-aanvallen op de NPS-server.
Ondersteuning voor de fragmentatie en samenvoegen van berichten, waarmee het gebruik van EAP-typen die deze functionaliteit bieden.
Clients met de mogelijkheid om de NPS of andere RADIUS-server te verifiëren. Omdat de server ook de client sprake van wederzijdse verificatie verifieert.
Bescherming tegen de implementatie van een niet-geautoriseerde toegangspunt op het moment waarop de EAP-client verifieert het certificaat dat is opgegeven door de NPS-server. Bovendien wordt het TLS-geheim dat is gemaakt door de verificator PEAP en de client niet gedeeld met het toegangspunt. Als gevolg hiervan moet het toegangspunt kan de berichten die zijn beveiligd door PEAP niet ontsleutelen.
Snel opnieuw verbinding maken, die de vertraging tussen een verificatieaanvraag door een client en het antwoord op de NPS of andere RADIUS-server wordt beperkt. Snel opnieuw verbinding maken kunt u ook draadloze clients te verplaatsen tussen toegangspunten die zijn geconfigureerd als RADIUS-server zonder herhaalde verificatieaanvragen RADIUS-clients. Dit vermindert de bronvereisten voor de client en de server en zo klein mogelijk houdt het aantal keren dat gebruikers wordt gevraagd om referenties.
Active Directory certificaatservices
AD CS in Windows Server 2012 biedt aanpasbare services voor het maken en beheren van de X.509-certificaten die worden gebruikt in softwarebeveiligingssystemen waarmee u de openbare sleutel technologieën. Organisaties kunnen AD CS gebruiken om beveiliging te verbeteren door de identiteit van een persoon, apparaat of service binden aan een bijbehorende openbare sleutel. AD CS bevat tevens functies waarmee u kunt het certificaat inschrijven en intrekken in verschillende schaalbare omgevingen beheren.