Pau pra toda obra: Certificados mais fáceis: parte 2

  • Artigo

Você pode criar e provisionar certificados personalizados com relativa facilidade seguindo este processo.

Greg Shields

Na minha coluna de outubro de 2011, "certificados Made Easy," eu expliquei um processo passo a passo simples para configurar os serviços de certificado do Active Directory (AD CS) e configurar certificados de servidor totalmente confiável usando um atalho bacana dentro do IIS. Certificado de servidor Web do atalho que será suficiente para muitos usos, não menos do que é autenticação e criptografia de tráfego Web.

Às vezes, porém, seu certificado precisa ir além do certificado do servidor Web básico. Nos dias de hoje, você vai ver requisitos de certificado pop em todos os lugares: Windows PowerShell, System Center, DirectAccess e uma lista crescente de aplicativos de terceiros. Enfrentá-lo: Você não pode ignorar o AD CS por mais tempo.

Tanto quanto você quer odiá-lo, AD CS está rapidamente se tornando um desses serviços deve ter em cada floresta do Active Directory. Uma vez que você começar com o básico do AD CS, você vai perceber que na verdade, você pode personalizar e implantar alguns dos seus "outros" certificados com Windows Server 2012.

Um exemplo do mundo real

Depois que você aprender os passos necessários para configurar e configurar um tipo de certificado personalizado, você pode gerar a maioria outros de forma semelhante. A diferença está no modelo. Para manter as coisas reais, vou me concentrar nesta explicação passo a passo sobre as exigências especiais na criação de certificados para a nova réplica de 2012 Hyper-V Server do Windows.

As etapas de configuração do AD CS descrito no que outubro 2011 coluna são bastante simples. Uma vez que você tenha seguido o processo, você será adicionado uma autoridade de certificação raiz corporativa (CA) em seu domínio. Clientes associados ao domínio também devem ter o certificado da AC raiz implantado automaticamente para seu armazenamento de autoridades de certificação raiz confiáveis, graças à integração do Active Directory na que raiz empresa. Eles precisam desse certificado raiz se eles estão a confiar em certificados de que autoridade de certificação raiz corporativa publica.

Réplica do Hyper-V pode usar Kerberos ou autenticação baseada em certificado entre pares de réplica. A última abordagem é necessária se você deseja criptografar o tráfego de replicação entre hosts. Também é necessário se você estiver replicando VMs entre hosts que não estão no mesmo domínio. A tela de configurações do Gerenciador Hyper-V permite que você configure qualquer opção (ver Figura 1).

You can configure your Hyper-V Replica settings.

Figura 1 você pode configurar as definições de réplica do Hyper-V.

Gerando um certificado de servidor Web medíocres não é difícil graças ao atalho útil do IIS. Infelizmente, os certificados de servidor Web não incluem as características necessárias que requer a autenticação baseada em certificado de Hyper-V Replica. Clique em Selecionar certificado sem um certificado configurado corretamente e você receberá uma mensagem de erro (ver Figura 2).

Hyper-V Replica ensures you’re using properly configured certificates.

Figura 2 Hyper-V Replica garante utilizar certificados devidamente configurados.

Certificados de Hyper-V Replica tem que oferecer suporte a autenticação de servidor e autenticação de cliente com uma chave particular exportável. Estes certificados também tem exigências especiais para seu campo nome do assunto ou nome alternativo do assunto, Praveen Vijayaraghavan descritos no Microsoft Blog de virtualização. Para definir uma relação de replicação, o certificado no servidor primário deve satisfazer as seguintes condições:

  • Uso avançado de chave (EKU) deve oferecer suporte a autenticação de cliente e servidor.
  • Defina o campo de assunto ou nome alternativo usando um dos seguintes métodos:
    • Defina o campo de assunto o nome do servidor primário, como primary1.contoso.com; se o servidor primário é parte de um cluster, certifique-se o campo assunto é definido para o totalmente qualificado FQDN nome de domínio () do Hyper-V Replica Broker (instalar este certificado em todos os nós do cluster)
    • O campo de assunto pode conter um caractere curinga (como *. department.contoso.com)
    • Um certificado de SAN, definir nome do nome de assunto alternativo de DNS para o nome do servidor primário, como primary1.contoso.com; se o servidor primário é parte de um cluster, o nome de assunto alternativo do certificado deve conter o FQDN do Hyper-V Replica Broker (instalar este certificado em todos os nós do cluster)

Para habilitar um servidor para receber o tráfego de replicação, o certificado do servidor de réplica deve satisfazer as seguintes condições:

  • EKU deve oferecer suporte a autenticação de cliente e servidor.
  • Defina o campo de assunto ou nome alternativo usando um dos seguintes métodos:
    • Um certificado de SAN, definir nome do nome de assunto alternativo de DNS para o nome do servidor de réplica, como replica1.contoso.com; se o servidor de réplica é parte de um cluster, o nome de assunto alternativo do certificado deve conter o nome do servidor de réplica e o FQDN do Hyper-V Replica Broker (instalar este certificado em todos os nós do cluster)
    • Defina o campo de assunto o nome do servidor de réplica, como replica1.contoso.com; se o servidor de réplica é parte de um cluster, certifique-se há um certificado com o campo de assunto definido para o FQDN do Hyper-V Replica corretor instalado em todos os nós do cluster
    • O campo de assunto pode conter um caractere curinga, como *. department.contoso.com.

Declarações na Gildo é úteis, mas também pode ser confusos se você é inexperiente com o AD CS. Então vamos criar o certificado de mais simples possível que atenderá aos requisitos do Hyper-V Replica.

Criar o modelo de certificado

Você pode iniciar todos os certificados do AD CS de um modelo. Apenas como um modelo de máquina virtual (VM) define o ponto de partida para uma VM, um modelo de certificado define as regras para qualquer certificado que ele gera. No entanto, não há nenhum modelo que corresponde a requisitos do Hyper-V Replica fora da caixa no AD CS. Você vai precisar criar o seu próprio. Aqui é onde a personalização do certificado fica interessante.

Começar com o lançamento de autoridade de certificação na lista suspensa ferramentas do Gerenciador de servidor e, em seguida, clique em modelos de certificado. Você verá uma lista de modelos de certificado emitido (ver Figura 3). Você vai voltar aqui em um minuto. Primeiro, você precisa criar um modelo, que você pode emitir.

The Certification Authority console shows you a list of certified templates.

Figura 3 console da autoridade de certificação mostra uma lista de modelos de certificado.

Botão direito do mouse o nó de modelos de certificado. Em seguida, selecione gerenciar o console de modelos de certificado. Você já sabe que cada certificado começa a partir de um modelo. Você também deve saber que cada modelo começa a partir de outro modelo. Esses modelos são o que você encontrará na exibição do console (ver Figura 4).

The Certificate Templates Console has the templates you’ll need.

Figura 4 o Console de modelos de certificado tem os modelos que você vai precisar de.

O modelo de computador fornece um bom ponto de partida para um certificado de réplica do Hyper-V, então com o botão direito computador e escolher modelo duplicado. Isso lança uma tela de propriedades do novo modelo. Seu certificado de Hyper-V Replica simples, você pode ignorar a maioria dessas guias, mas você terá que ajustar alguns deles.

Na guia Geral (ver Figura 5), altere o nome de exibição do modelo para algo mais tarde, você vai reconhecer. Você também pode alterar o período de validade e período de renovação se desejar. Verifique a caixa marcada "Publicar certificados no Active Directory." Isso permitirá que você pedir este certificado mais tarde usando a diretiva de registro do seu CA Active Directory. Isto é configurado já por padrão.

The General tab lets you change general settings.

Figura 5 o Geral guia permite que você altere as configurações gerais.

Você deve configurar um certificado de réplica do Hyper-V para ser capaz de exportar a sua chave privada. Você pode ativar isso com a caixa de seleção na guia tratamento de solicitação do modelo.

Você também deve identificar um nome de assunto do certificado. Para certificados de servidor Web simples, esse nome de assunto mais frequentemente é o FQDN do servidor requerente. Você quer seu certificado de Hyper-V Replica para trabalhar com uma variedade de nomes de assunto, assim na guia nome do assunto do modelo, escolha a fonte na solicitação. Dessa forma, você terá que definir um nome de assunto ou nome alternativo do assunto como você pedir o certificado.

Não há nenhuma configuração necessária no guia de extensões do modelo. Você originalmente duplicado um modelo de computador para criar o nosso modelo de réplica do Hyper-V. Você fez isso porque o modelo de computador já inclui autenticação de cliente e autenticação do servidor em sua lista de diretivas de aplicativo. Você pode pensar essas diretivas de aplicativo como as "características" suportadas por certificados baseados nesse modelo. O termo oficial para estas características é o uso avançado de chave ou EKU.

Segurança é o guia final. Aqui você pode atribuir permissões de leitura e registro para os usuários e grupos que irão gerar certificados baseados nesse modelo. Seja particularmente cuidadoso com modelos como o que você criou aqui. Este modelo tem o solicitante fornecendo nome de um cert do assunto, assim que um usuário mal-intencionado poderia usar o modelo para gerar todos os tipos de certificados confiáveis e nomeados.

Clique em OK para definir essas propriedades e feche o console de modelos de certificado. Agora você tem um passo importante (e facilmente esquecível) para terminar o seu modelo de réplica do Hyper-V. Volta em autoridade de certificação, clique com botão direito modelos de certificado e escolha novo | Modelo de certificado a ser emitido. Selecione seu modelo de réplica do Hyper-V e clique em OK. Agora você está pronto para se inscrever.

Registre seu certificado

Inscrição é facilitada pela diretiva de registro do seu CA Active Directory. Você definir isso simplesmente instalando uma autoridade de certificação raiz corporativa. Comece navegando para um dos hosts Hyper-V que você vai habilitar o Hyper-V Replica com autenticação baseada em certificado. Lá, lançar um vazio Microsoft Management Console (MMC) e adicionar o snap-in certificados para a conta de computador. Uma vez carregado, clique com botão direito pessoal | Certificados e selecione todas as tarefas | Solicitar novo certificado (Figura 6).

Your local computer certificates.

Figura 6 seus certificados de computador local.

Isso inicia o Assistente de registro de certificado. Aqui você pode registrar qualquer certificado foi habilitado para distribuição pela diretiva de registro do Active Directory. Clique em avançar através de duas primeiras páginas de Assistente para o modelo de réplica do Hyper-V. Se inscrever para este certificado requer a fornecer um nome de assunto ou nome alternativo, então clique no link de mais informações para fazê-lo.

Isto expõe a tela de propriedades do certificado (Figura 7). Aqui você vai inserir um nome de assunto ou nome alternativo. Para a solução mais simples, use um caractere curinga no nome alternativo. O nome alternativo para este certificado é *. company.pri. Isso permite que o certificado funcionar com qualquer host Hyper-V Replica que tem um FQDN correspondente.

Your certificate properties can include a wildcard.

Figura 7 suas propriedades de certificado podem incluir um caractere curinga.

Clique em OK e registrar para adicionar o certificado ao armazenamento pessoal do seu host Hyper-V. Esta loja é o local onde o Hyper-V Replica irá procurar qualquer certificado que atenda aos seus requisitos. Você está procurando um status Succeeded (Figura 8). Você também pode clicar para ver o certificado instalado. Clique em Concluir para encerrar o assistente.

You’ll see when the certificate is successfully installed.

Figura 8 você verá quando o certificado foi instalado com sucesso.

E o que é o processo de personalização e solicitando certificados. O passo final na configuração do Hyper-V Replica acontece no Gerenciador do Hyper-V. Lançamento do Hyper-V Settings e clique no botão Selecionar certificado em configuração de replicação. Se você fez tudo corretamente, você verá seu certificado recentemente instalado e personalizado (Figura 9). Parabéns, agora você está pronto para criar e registrar qualquer certificado que você precisa.

You can select your certificate in the Hyper-V Settings.

Figura 9 você pode selecionar seu certificado nas configurações do Hyper-V.

Doloroso, mas útil

Certificados parecem ter chegado a uma má reputação no passado. Quando eu pergunto sobre certificados em congressos ou sessões de formação, na maioria das vezes eu recebo uma sala cheia de olhares em branco. Certificados não estão indo a lugar algum, porém. E os sinais estão mostrando que eles estão se tornando cada vez mais necessário apoiar hoje é requisitos de ti. Tudo que você precisa é uma maneira de torná-los fácil.

Greg Shields

Greg ShieldsMVP, é sócio da tecnologia concentrada. Obtenha mais dos Shields' Geek de todos os Trades dicas e truques no ConcentratedTech.com.

Conteúdo relacionado