Pau prá toda obra: certificados facilitados
Configurar seu próprio mecanismo de geração de certificados de segurança não é tão complicado quanto algumas pessoas acham.
Greg Shields
Você já viu isso milhões de vezes. Talvez seja um artigo sobre como proteger o IIS, ou talvez seja uma das etapas em um script de Windows PowerShell de assinatura. Ele é indiscutivelmente uma das afirmações mais reviled que você vai se deparar com qualquer artigo da Base de conhecimentos IT. Ele vai algo assim: "Instalar um certificado confiável usando um servidor de serviços de certificado interno ou adquirindo um a partir de um relatório público certificado autoridade [CA], em seguida, …"
Argh. Os certificados são a ruína de nossa existência. Com muita freqüência, instalá-los é uma barreira de interrupção de trabalho. Geralmente, você tem duas opções. Os custos de primeiro você nada, mas o tempo e esforço necessários para configurar seu próprio servidor de serviços de certificados. A segunda requer que você adquirir um certificado de um terceiro confiável, que pode ser caro. Basta obter o custo aprovado pode ser um desafio.
Os certificados são aparentemente everywhere como mecanismos para autenticação e criptografia de dados. Você poderia argumentar que não os certificados são importantes que, embora. Comparado a outras soluções, eles são uma maneira fácil para satisfazer uma exigência de segurança. Com um servidor de serviços de certificados do Active Directory (AD CS) totalmente funcional e os certificados de raiz apropriado em cada desktop, gerando e implantando um certificado custam você nada, mas alguns minutos e alguns cliques.
No entanto, as etapas para construir uma infra-estrutura de AD CS são geralmente consideradas uma arte misterioso. Procure "Instalando certificate services" e você encontrará uma longa lista de referências, incluindo guias, livros e postagens de blog que provavelmente podem confundir mais do que assist.
Um motivo por trás dessa complexidade reside com a escalabilidade do AD CS. Sua função de servidor do Windows pode atender às necessidades de uma empresa de 80.000 tão facilmente quanto um dos oito. Ele tem todo os registro automático adereços que requer uma grande empresa. Essas características avançadas, no entanto, às vezes smother grupos menores com complexidade unfathomable.
Como configurar seu próprio servidor AD CS bestows muitos benefícios, não dentre os quais está eliminando a necessidade de comprar certificados de outra pessoa. O que talvez você não saiba, no entanto, é que a criação de um simples não é tão desafiador. O truque está ignorando a maioria dos quais você ler — exceto, claro, o que você ler próximo.
Criar a forma mais fácil de um servidor de AD CS
Como configurar seu próprio servidor AD CS requer pouco mais que uma instância do Windows Server. A Standard Edition ou Enterprise Edition fará. Neste exemplo, você não estar usando o registro automático ou modificar modelos de certificado. Você só terá acesso a essas e outras funções avançadas ao instalar o AD CS sobre o Windows Server Enterprise Edition.
Serviços de certificados também requer pouco em termos de recursos do servidor. Você pode instalá-lo em um servidor existente já realizando outra tarefa, ou até mesmo um levemente configurado virtual machine (VM). Se você decidir compartilhar a função AD CS com outras funções, tome cuidado; encerrar um servidor AD CS pode significar começar esse processo tudo de novo.
Inicie o Gerenciador de servidores no seu servidor e instalar a função AD CS com o serviço de função de autoridade de certificação. Você será solicitado com várias perguntas para iniciar a instalação. O primeiro define o tipo de instalação. A configuração mais simples do AD CS é o modo autônomo, portanto, selecione esse modo quando solicitado.
Normalmente, você implementaria servidores de AD CS em grandes ambientes dentro de uma hierarquia. Um ou mais autoridades de certificação subordinadas funcionaria em combinação com uma autoridade de certificação raiz offline. Sua implementação simple aqui requer apenas uma única autoridade de certificação raiz. Configure seu servidor com essa configuração na próxima tela.
Em seguida, você será solicitado uma série de perguntas sobre a criação de uma chave particular para o servidor. Crie uma nova chave particular e selecione os padrões de configuração de criptografia e o seu nome de autoridade de certificação. Você também precisará selecionar um período de validade, cujo padrão é cinco anos. Esse período de validade identifica o período mais longo do tempo, que qualquer certificado tem permissão para "live". Selecionar um período de validade mais aqui significa conceder a mesmo um período maior antes de precisar atualizar o certificado de raiz da sua CA. Finalmente, escolha um local para seu banco de dados do certificado e seus arquivos de log.
Lá, você instalou seu servidor do AD CS. Supondo que você instalou este servidor como um administrador de domínio, ele começará automaticamente preencher seu certificado raiz em cada computador no domínio. Se você fez tudo corretamente, você deve encontrar assim que o AD CS certificado do servidor raiz no armazenamento de autoridades de certificação raiz confiáveis em um computador. O certificado raiz para o servidor do AD CS neste exemplo é realçado no Microsoft Management Console (MMC) de certificados (consulte a Figura 1).
.jpg)
Figura 1 certificado de raiz A CA raiz no Gerenciador de certificados.
Emita certificados do IIS
Porque este certificado de autoridade de certificação raiz está localizado no seu armazenamento de autoridades de certificação raiz confiáveis, este computador agora irão confiar em todos os certificados emitidos pelo seu servidor do AD CS. Este nível de confiança é extremamente poderoso. Ele permite emitir certificados automaticamente para qualquer propósito específico, como permitir que o HTTPS em um servidor IIS. Vejamos as etapas que você usará para fazer isso.
Você deve criar um certificado de servidor de domínio para ativar HTTPS no IIS. Fazer isso no console Gerenciador do IIS, selecionando o nome do servidor, clicando duas vezes em certificados de servidor e, em seguida, clicando no link intitulado criar domínio certificado no painel de ações. Você verá um assistente que solicita as informações necessárias do certificado. Insira as informações e clique em Avançar.
Segunda tela do assistente pode ser um pouco confusa. O botão de seleção nem sempre disponível para selecionar automaticamente um servidor AD CS. Se o botão será exibido em cinza, digite os nomes de autoridade de certificação, seguidos do nome do servidor (consulte a Figura 2). A autoridade de certificação neste exemplo é denominada empresa-DC-CA no servidor de controlador de domínio. Você também precisará digitar um nome mais "amigável" para o seu servidor de autoridade de certificação.
.jpg)
Figura 2 especificar uma autoridade de certificação on-line.
Clique em Concluir para solicitar o certificado. Por padrão, o AD CS requer aprovação de administrador para emitir um certificado, portanto você provavelmente verá uma mensagem de erro. Essa mensagem de erro permite que você saiba a solicitação de certificado foi bem-sucedida, mas a autoridade não emite o certificado automaticamente (consulte a Figura 3).
.jpg)
Figura 3 Esta mensagem indica uma solicitação bem-sucedida, emissão de certificado pendente.
Retornar ao console da autoridade de certificação e clique em solicitações pendentes. Você deve ver o certificado solicitado. A solicitação com o botão direito e selecione o problema para emitir o certificado (consulte a Figura 4). Neste ponto, transferir que emitiu o certificado de voltar para o IIS requer uma importação e exportação processo da autoridade de certificação para o Gerenciador do IIS.
.jpg)
Figura 4 o problema do certificado.
No console autoridade de certificação, clique em certificados emitidos e duas vezes no certificado para transferir. Selecione Details | Copiar para arquivo para iniciar o Assistente para exportação de certificados. Exporte o certificado para um arquivo como um DER codificada certificado x. 509 binário com uma extensão. cer.
Finalmente, novamente no Gerenciador do IIS, selecione a solicitação de certificado de conclusão e aponte o assistente resultante para o arquivo que você acabou de criar. Agora você pode usar esse certificado para habilitar a comunicação HTTPS.
Manter esses certificados seguros
Você precisa levar essas etapas extras porque o AD CS no Standard Edition do Windows não pode usar o Active Directory para verificar quem tem permissão para solicitar certificados. Como resultado, os certificados permanecem em solicitações pendentes até que você emita-los manualmente. Você pode ajustar uma configuração no módulo de diretiva do servidor AD CS para permitir a aprovação automática de todos os certificados, mas que não é uma ótima idéia. Ativando a emissão automática permitiria que qualquer pessoa que criar um certificado automaticamente aprovado para qualquer finalidade — não é exatamente prática recomendada de segurança.
Windows Server Enterprise Edition inclui outros recursos que tornam um candidato vale a pena para o AD CS. Você pode personalizar modelos de certificados e emitir certificados para usos especiais (chamados de certificados v2 e v3) como scripts de Windows PowerShell de assinatura. Isso requer um certificado de assinatura de código que não está disponível para o AD CS no Windows Server Standard Edition. Outros recursos do Windows Server Enterprise Edition permitem que você atualizar uma instância do AD CS simple em uma infra-estrutura PKI completa.
Consulte, certificados na realidade não estão ruim assim. Meu Deus sabe que precisar deles. Criar sua própria infra-estrutura de certificado não precisa ser difícil. Basta começar simples com o design de autoridade de certificação.
.jpg)
**Greg Shields**MVP, é um parceiro da Concentrated Technology. Obtenha mais dicas de faz e truques dos blindagens em ConcentratedTech.com.