Appassionato di of All Trades: certificati diventa semplici
La configurazione di un meccanismo personalizzato per la generazione di certificati di sicurezza non è affatto complicato come molti potrebbero pensare.
Greg Shields
Questo un milione di volte abbiamo visto prima. Forse è un articolo sulla protezione di IIS o forse si tratta di uno dei passaggi per la firma di uno script Windows PowerShell. Probabilmente è una delle più reviled istruzioni che verranno forniti in alcun articolo della Knowledge Base IT. Si estenda simile al seguente: "Installare un certificato attendibile utilizzando un server Servizi certificati interno o acquistando uno da una pubblica autorità di certificazione [CA], quindi …"
Argh. I certificati sono un enorme problema della nostra esistenza. Eseguirne l'installazione è fin troppo spesso un ostacolo interruzione del lavoro. In genere sono disponibili due opzioni. I costi primo che nulla, ma il tempo e l'impegno necessario per configurare il proprio server di Servizi certificati. Il secondo, è necessario acquistare un certificato da una terza parte attendibile, che può essere costosa. Solo i costi riconosciuti può richiedere una sfida.
I certificati sono apparentemente ovunque meccanismi per l'autenticazione e crittografia dei dati. È possibile sostenere che non i certificati sono importanti che, sebbene. Rispetto ad altre soluzioni, si tratta di un metodo semplice per soddisfare un requisito di protezione. Con un server di Servizi certificati Active Directory (AD CS) completamente funzionano e i certificati principali appropriati in ogni desktop, generazione e distribuzione di un certificato costa è nulla, ma qualche minuto e pochi clic.
Tuttavia, i passaggi necessari per costruire un'infrastruttura di Servizi certificati Active Directory sono spesso ritenuti un'arte oscuro. Cercare "installare Servizi certificati" e si troveranno un lungo elenco di riferimenti, inclusi le guide, documentazione e post di blog che probabilmente può confondere più di assist.
Uno dei motivi dietro questa complessità si trova la scalabilità dei servizi certificati Active Directory. Il ruolo del Server di Windows può essere utilizzato con le esigenze di una società di 80.000 altrettanto semplice come uno degli otto. Esso ha tutto l'autoregistrazione abbellimenti che richiede una grande azienda. Tali abbellimenti, smother, tuttavia, talvolta gruppi più piccoli con unfathomable complessità.
Impostazione di un server di Servizi certificati Active Directory bestows numerosi vantaggi, a meno che non è eliminando la necessità di acquistare i certificati da un altro utente. Che cosa siano già noti, tuttavia, è che non la creazione di una semplice è tutto questo complesso. Il trucco è ignorando la maggior parte dei dati lettura, tranne, naturalmente, ciò che si legge successivamente.
Il modo più semplice di generazione di un Server di Active Directory CS
L'impostazione di un server Servizi certificati Active Directory richiede poco più di un'istanza del Server di Windows. Si eseguirà la Standard o Enterprise Edition. In questo esempio, si non tramite autoregistrazione o modifica dei modelli di certificato. Sarà solo possibile accedere a queste e altre funzioni avanzate durante l'installazione di Servizi certificati Active Directory nella parte superiore di Windows Server Enterprise Edition.
Servizi certificati richiede anche un intervento minimo in termini di risorse del server. È possibile installarlo su un server esistente già eseguendo un'altra attività o addirittura una leggera configurato virtual machine (VM). Se si decide di condividere il ruolo Servizi certificati Active Directory con altre funzioni, prestare; l'azzeramento di un server di Servizi certificati Active Directory può significare iniziare questo processo tutto nuovo.
Avviare Server Manager sul server e installare il ruolo Servizi certificati Active Directory con il servizio ruolo Autorità di certificazione. Viene chiesto con varie domande per iniziare l'installazione. La prima definisce il tipo di installazione. La configurazione di Servizi certificati Active Directory più semplice modalità autonoma, selezionare in modo che la modalità quando richiesto.
I server di Servizi certificati Active Directory implementerebbe comunemente negli ambienti di grandi dimensioni all'interno di una gerarchia. Uno o più CA Subordinate funzionerebbe, in combinazione con un'autorità di certificazione principale non in linea. La semplice implementazione richiede solo una singola CA principale. Configurare il server con questa impostazione nella schermata successiva.
Quindi verrà chiesto una serie di domande sulla creazione di una chiave privata per il server. Creare una nuova chiave privata e selezionare le impostazioni predefinite per la configurazione di crittografia e il nome della CA. Inoltre, è necessario selezionare un periodo di validità, che per impostazione predefinita a cinque anni. In questo periodo di validità identifica il più lungo periodo di tempo che è consentito qualsiasi certificato "live". Se si seleziona un periodo di validità più qui, concessione di un lungo periodo di tempo prima di dover aggiornare il certificato CA radice. Infine, scegliete una posizione per il database dei certificati e i relativi file di registro.
Non esiste, è stato installato il server di Servizi certificati Active Directory. Supponendo che il server è stato installato come un amministratore di dominio, verrà avviata automaticamente popolamento relativo certificato principale in tutti i computer del dominio. Se tutte le informazioni sono state eseguite correttamente, al più presto noteranno certificato radice del server Servizi certificati Active Directory nell'archivio Autorità di certificazione principale attendibili in un computer. Il certificato principale per il server di Servizi certificati Active Directory in questo esempio viene evidenziato in Microsoft Management Console (MMC) di certificati (vedere nella figura 1).
.jpg)
Figura 1 certificato principale dell'autorità di certificazione principale nel gestore di certificati.
Emissione di certificati IIS
Poiché il certificato della CA principale si trova nell'archivio Autorità di certificazione principale attendibili, attendibilità ora tutti i certificati emessi dal server Servizi certificati Active Directory di questo computer. Questo livello di attendibilità è estremamente potente. Consente di rilasciare automaticamente i certificati per scopi specifici, ad esempio l'attivazione di HTTPS su un server IIS. Diamo un'occhiata alla procedura che si utilizzerà per effettuare questa operazione.
È necessario creare un certificato del Server di dominio per attivare HTTPS in IIS. A tale scopo nella console di Gestione IIS, selezionare il nome del server, facendo doppio clic su certificati Server e quindi facendo clic sul collegamento intitolato Crea certificato di dominio nel riquadro azioni. Verrà visualizzata una procedura guidata che richiede informazioni obbligatorie del certificato. Immettere tali informazioni e fare clic su Avanti.
Seconda schermata della procedura guidata è possibile generare qualche confusione. Il pulsante di selezione non è sempre disponibile per selezionare automaticamente un server Servizi certificati Active Directory. Se il pulsante viene visualizzato in grigio, immettere i nomi di CA seguiti dal nome del server (vedere nella figura 2). L'autorità di certificazione in questo esempio è società-DC-CA ha diritto, nel server di controller di dominio. È inoltre necessario immettere un nome più "descrittivo" per il server CA.
.jpg)
Figura 2 specificare un'autorità di certificazione in linea.
Fare clic su Fine per richiedere il certificato. Per impostazione predefinita, Servizi certificati Active Directory richiede l'approvazione dell'amministratore per il rilascio di un certificato, quindi probabilmente verrà visualizzato un messaggio di errore. Questo messaggio di errore consente di verificare il certificato è stato rilasciato, ma l'autorità non è stato in grado di emettere automaticamente il certificato (vedere nella figura 3).
.jpg)
Figura 3 questo messaggio indica una riuscita della richiesta, rilascio del certificato in sospeso.
Tornare alla console Autorità di certificazione e fare clic su richieste in sospeso. Verrà visualizzato il certificato richiesto. Il pulsante destro la richiesta e selezionare problema per il rilascio del certificato (vedere nella figura 4). A questo punto, trasferimento che certificato indietro per IIS richiede un importazione ed esportazione processo dalla CA per la gestione di IIS.
.jpg)
Figura 4 il problema del certificato.
Nella console Autorità di certificazione, fare clic su certificati emessi e fare doppio clic sul certificato per il trasferimento. Selezionare dettagli | Copiare il File per avviare l'esportazione guidata certificati. Esportare il certificato in un file come un DER codificato certificato x. 509 binario con estensione cer.
Infine, nuovamente in Gestione IIS, selezionare la richiesta di certificati completa e scegliere la procedura guidata risultante nel file che appena creato. A questo punto, è possibile utilizzare tale certificato per l'attivazione di comunicazioni HTTPS.
Garantire la protezione di tali certificati
È necessario eseguire tali operazioni aggiuntive poiché Servizi certificati Active Directory in questa edizione di Windows non è in grado di utilizzare Active Directory per verificare chi ha dato l'autorizzazione per richiedere certificati. Di conseguenza, i certificati rimangono nelle richieste in sospeso fino a quando non vengono emesse manualmente. È possibile modificare un'impostazione nel modulo dei criteri del server Servizi certificati Active Directory per consentire l'approvazione automatica di tutti i certificati, ma che non è una buona idea. Abilitazione di rilascio automatico consentono a chiunque crea un certificato riconosciuto automaticamente per qualsiasi scopo, ovvero non è esattamente una protezione ottimale.
Windows Server Enterprise Edition include altre caratteristiche che ne fanno un candidato ne giustifica l'utilizzo di Servizi certificati Active Directory. È possibile personalizzare i modelli di certificato e rilascio di certificati per usi speciali, denominati certificati v2 e v3, ad esempio la firma degli script Windows PowerShell. Ciò richiede un certificato di firma del codice non è disponibile per Servizi certificati Active Directory in Windows Server Standard Edition. Altre funzionalità di Windows Server Enterprise Edition consentono di eseguire l'aggiornamento di un'istanza di Servizi certificati Active Directory semplice in un'infrastruttura PKI completa.
Visualizzare i certificati non sono realmente poi così male. Bontà sa che sono necessari. Creare la propria infrastruttura di certificazione non deve necessariamente essere difficile. È sufficiente avviare una semplice struttura di CA.
.jpg)
**Greg Shields**MVP, è un collaboratore presso la tecnologia concentrato. Ottenere più di Jack-of-all-trades degli schermi e suggerimenti con ConcentratedTech.com.