核心网络助理指南:服务器证书部署
适用对象:Windows Server 2012
Windows Server 2012 核心网络指南针对在新林中规划和部署完全正常运行的网络和新 Active Directory® 域所需的核心组件提供了说明。
本指南介绍如何构建在核心网络上通过提供将网络策略服务器 (NPS)、 路由和远程访问服务 (RRAS) 或同时运行的计算机的服务器证书部署的说明。
提示
本指南可用于在 Microsoft TechNet 库中的 Word 格式 https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7。
本指南包含下列各节。
使用本指南的先决条件
它是 Windows Server 2012 核心网络指南的助理指南。 若要部署使用本指南的服务器证书,您必须首先执行以下操作。
部署核心网络使用核心网络指南,或已技术提供了在核心网络指南安装并在您的网络上工作正常。 这些技术包括 TCP/IP v4、DHCP、Active Directory 域服务 (AD DS)、DNS、NPS 和 Web 服务器 (IIS)。
备注
Windows Server 2012 核心网络指南位于 Windows Server 2012 技术库 (https://go.microsoft.com/fwlink/?LinkId=154884)。
核心网络指南中也有在 Microsoft TechNet 库的 Word 格式 (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea)。
关于本指南
本指南说明如何将服务器证书部署到运行 NPS、 RRAS,或这两者,通过使用中的 AD CS 服务器 Windows Server 2012。
当使用可扩展的身份验证协议 (EAP) 和受保护的 EAP (PEAP) 为网络访问身份验证部署基于证书的身份验证方法时,需要使用服务器证书。
部署服务器证书的 EAP 和 PEAP 基于证书的身份验证方法 Active Directory 证书服务 (AD CS) 提供以下好处 ︰
绑定到 ╬ 盞 芲运行 NPS 或 RRAS 服务器的服务器的标识
用于自动注册证书部署到域成员 NPS 和 RRAS 服务器经济高效且安全的方法
一种有效方法来管理证书和证书颁发机构 (Ca)
基于证书的身份验证所提供的安全性
为其他目的扩展证书用途的功能
本指南主要面向以下人群:已按照 Windows Server 2012 核心网络指南中的说明部署核心网络的网络和系统管理员,或者以前部署了核心网络指南中包含的技术(包括 Active Directory 域服务 (AD DS)、域名服务 (DNS)、动态主机配置协议 (DHCP)、TCP/IP、Web 服务器 (IIS) 和网络策略服务器 (NPS))的人员。
重要
本指南中,它提供了有关部署使用联机的企业根证书颁发机构 (CA) 的服务器证书的说明,用于小型组织具有受限制的计算资源。 出于安全原因-如果您的组织有计算资源的建议部署两个层公钥基础结构 (PKI) 中的脱机企业根 CA。 有关详细信息,请参阅 其他资源。
建议查看此部署方案中所用的每项技术的设计和部署指南。 这些指南可帮助你确定此部署方案是否为组织网络提供了所需的服务和配置。
部署服务器证书的要求
以下是使用证书的要求 ︰
若要使用自动注册部署服务器证书,AD CS 需要 Windows Server 2012 Standard、 Enterprise 或 Datacenter 操作系统。 安装 AD CS 之前,必须安装 AD DS。 尽管可以在一台服务器上部署 AD CS,但是许多部署涉及多个服务器配置为 Ca。
若要向颁发机构信息访问 (AIA) 和证书吊销列表 (CRL) 生成的证书颁发机构提供的访问权限的计算机,必须正确配置,请根据本指南中说明的 Web 服务器。
若要为虚拟专用网络 (Vpn) 部署 PEAP 或 EAP,必须部署 RRAS 作为 VPN 服务器配置。 NPS 使用是可选的;但是,如果有多个 VPN 服务器,NPS 被推荐使用为便于管理和 NPS 提供的 RADIUS 记帐服务。
若要为远程桌面网关 (RD 网关) 部署 PEAP 或 EAP,你必须部署 RD 网关与 NPS。
备注
在以前版本的 Windows Server 中,远程桌面服务名为终端服务。
若要部署 PEAP 或 EAP 对经过 802.1 X 安全有线或无线的您必须部署 NPS 和其他硬件,如支持 802.1 X 的交换机和无线访问点。
若要部署基于证书的身份验证方法为用户和计算机身份验证需要证书的服务器身份验证,如 EAP 传输层安全性 (EAP-TLS) 或 PEAP-TLS,除了需要证书还必须部署用户或计算机证书自动注册过程中或通过使用智能卡。
本指南未提供的内容
为设计和使用 AD CS 部署公钥基础结构 (PKI),本指南未提供综合说明。 建议你查看 AD CS 文档和 PKI 设计文档,然后再部署本指南中的技术。 有关详细信息,请参阅 其他资源 在本文档后面的部分。
本指南未提供有关如何在服务器计算机; 上安装 Web 服务器 (IIS) 或网络策略服务器技术的说明核心网络指南中提供了这些指令。
此外本指南不提供有关部署服务器证书可以用于网络访问技术的详细的说明。
技术概述
以下是一些 EAP,PEAP 和 AD CS 的技术概述。
EAP
可扩展的身份验证协议 (EAP) 通过允许使用凭据的任意身份验证方法和任意长度的信息交换扩展了点对点协议 (PPP)。 EAP 是为了开发以响应使用安全设备,例如智能卡、 令牌卡和加密计算器的身份验证方法的日益增长的需求。 EAP 提供了支持 PPP 中其他身份验证方法的行业标准的体系结构。
使用 EAP,任意身份验证机制用于验证要建立的网络访问连接的客户端和服务器的标识。 访问客户端和身份验证器的网络访问服务器或远程身份验证拨入用户服务 (RADIUS) 服务器被协商要使用的确切身份验证方案。
使用 EAP 身份验证,网络访问客户端和身份验证器 (如运行 NPS 的服务器) 必须支持相同的 EAP 类型的身份验证成功进行。
重要
强 EAP 类型,如基于证书,提供更好的免受暴力破解攻击、 词典式攻击和密码猜测攻击比基于密码的身份验证协议,如 CHAP 或 MS-CHAP 版本 1 的安全性。
在 EAP Windows Server 2012
Windows Server 2012 包括 EAP 基础结构、 EAP 类型,以及将 EAP 消息传递到 RADIUS 服务器 (EAP-RADIUS),例如 NPS 的能力。
通过使用 EAP,可以支持其他身份验证方案,称为 EAP 类型。 支持的 EAP 类型 Windows Server 2012 是 ︰
传输层安全性 (TLS)。 EAP-TLS 要求使用计算机证书或用户证书,除了向运行 NPS 的计算机注册的服务器证书。
Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)。 这种 EAP 类型是一个基于密码的身份验证协议。 当用作内 EAP 身份验证方法 EAP MS-CHAP v2,NPS 和 RRAS 服务器提供作为概念的客户端计算机的身份验证服务器证书,而用户证明自己使用的用户名和密码的身份。
以隧道方式进行传输层安全性 (TTLS)。 EAP-TTLS 是中的新增功能 Windows Server 2012 和在其他版本的 Windows Server 中不可用。 EAP-TTLS 是基于标准的 EAP 隧道技术,支持相互身份验证。 EAP-TTLS 使用 EAP 方法和其他旧协议,为客户端身份验证提供安全隧道。 EAP-TTLS 还允许你在客户端计算机上配置 EAP-TTLS,以实现这样的网络访问解决方案:该方案使用支持 EAP-TTLS 的非 Microsoft 远程身份验证拨入用户服务 (RADIUS) 服务器进行身份验证。
此外,您可以运行 NPS 或路由和远程访问,以提供其他 EAP 身份验证类型的服务器上安装其他非 Microsoft EAP 模块。 在大多数情况下,如果将其他 EAP 类型安装在服务器上,您还必须安装匹配 EAP 客户端身份验证组件客户端计算机上,以便客户端和服务器才能成功地协商要使用的连接请求身份验证方法。
PEAP
PEAP 使用 TLS 来创建加密的通道之间的身份验证 PEAP 客户端,如无线计算机与 PEAP 身份验证器,如运行 NPS 或其他 RADIUS 服务器的服务器。
PEAP 不指定身份验证方法,但它提供额外的安全性其他 EAP 身份验证协议 (如 EAP-MSCHAP v2),可以通过 PEAP 提供的 TLS 加密通道进行操作。 PEAP 用作连接到以下类型的网络访问服务器通过您的组织网络的访问客户端身份验证方法 ︰
支持 802.1 X 的无线访问点
支持 802.1 X 身份验证交换机
运行计算机 Windows Server 2012 或 Windows Server 2008 R2 和 RRAS 作为 VPN 服务器配置
运行计算机 Windows Server 2012 或 Windows Server 2008 R2 和 RD 网关
PEAP 的功能
为了增强 EAP 协议和网络的安全性,PEAP 提供 ︰
为客户端与服务器之间进行的 EAP 方法协商提供保护一个 TLS 通道。 此 TLS 通道有助于防止攻击者注入导致协商不太安全的 EAP 类型的客户端和网络访问服务器之间的数据包。 加密的 TLS 通道还有助于防止拒绝服务攻击对运行 NPS 的服务器。
支持的分段和重组的消息,这允许使用不提供此功能的 EAP 类型。
借助 NPS 或其他 RADIUS 服务器进行身份验证的客户端。 由于服务器也对客户端进行身份验证,则会发生相互身份验证。
防护未经授权的无线访问点时刻在 EAP 客户端进行身份验证提供运行 NPS 的服务器的证书的部署。 此外,PEAP 身份验证器和客户端创建的 TLS 主密钥不与访问点共享。 因此,访问点无法解密受 PEAP 的消息。
PEAP 快速重新连接,这减少了客户端发出身份验证请求和响应通过 NPS 或其他 RADIUS 服务器之间的延迟。 快速重新连接还允许无线客户端配置为到同一 RADIUS 服务器而不会重复请求身份验证的 RADIUS 客户端访问点之间移动。 这可以降低客户端和服务器的资源要求,其最小化的次数将会提示用户输入凭据。
Active Directory 证书服务
中的 AD CS Windows Server 2012 提供可自定义服务,用于创建和管理在采用公钥技术的软件安全系统中使用的 X.509 证书。 组织可以使用 AD CS 来增强安全性,通过将个人、 设备或服务的标识绑定到相应的公钥。 AD CS 还包括可用于在各种可伸缩环境管理证书注册及吊销的功能。