Дополнительное руководство по основной сети: развертывание сертификата сервера

Применимо к:Windows Server 2012

В руководстве по основной сети Windows Server 2012 приводятся инструкции по планированию и развертыванию основных компонентов, необходимых для создания полнофункциональной сети и нового домена Active Directory® в новом лесу.

В этом руководстве объясняется, как создавать основной сети, предоставляя инструкции по развертыванию сертификатов сервера для компьютеров под управлением сервера политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или оба.

Данное руководство содержит следующие разделы.

• Предварительные требования для использования настоящего руководства

• Информация о руководстве

• Чего в этом руководстве нет

• Обзор технологий

• Обзор развертывания сертификата сервера

• Сертификат сервера планирования развертывания

• развертывание сертификатов сервера

• Дополнительные ресурсы

Предварительные требования для использования настоящего руководства

Это руководство дополняет руководство по основной сети Windows Server 2012. Развертывание сертификатов сервера в данном руководстве, вы должны сначала выполните следующие действия.

• Развертывание основной сети, используя руководство по основной сети, либо уже технологии указали в руководство по основной сети установлен и правильно работать в сети. Эти технологии включают TCP/IP v4, DHCP, доменные службы Active Directory (AD DS), DNS, сервер политики сети и веб-сервер (IIS).

  Примечание

  Windows Server 2012 Руководство по основной сети доступен в Windows Server 2012 технической библиотеки (https://go.microsoft.com/fwlink/?LinkId=154884).

  Руководство по основной сети также доступна в формате Word в коллекции Microsoft TechNet (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

Информация о руководстве

В этом руководстве приведены инструкции по развертыванию сертификатов сервера для серверов под управлением сервера политики сети, RRAS или оба с помощью AD CS в Windows Server 2012.

Сертификаты сервера необходимы при развертывании методов проверки подлинности на основе сертификатов с целью проверки подлинности для предоставления доступа к сети по протоколам EAP и PEAP (защищенный EAP).

Развертывание сертификатов сервера с помощью сертификата службы Active Directory (AD CS) для методов проверки подлинности EAP и PEAP обеспечивает следующие преимущества:

• Привязка удостоверения сервера политики сети или сервера RRAS для закрытого ключа

• Экономичный и безопасный метод автоматизации регистрации сертификатов для серверов NPS и RRAS член домена

• Эффективный метод управления сертификатами и центрами сертификации (ЦС)

• обеспечение безопасности за счет проверки подлинности на основе сертификатов;

• возможность применения сертификатов в дополнительных целях.

Данное руководство предназначено для системных администраторов и администраторов сетей, которые развертывали основную сеть согласно инструкциям, приведенным в руководстве по основной сети Windows Server 2012, а также для тех, кто уже выполнил развертывание основных технологий, включенных в основную сеть, в том числе доменных служб Active Directory (AD DS), служб DNS, протоколов DHCP, TCP/IP, веб-сервер (IIS) и сервер политики сети.

Рекомендуется ознакомиться с руководствами по проектированию и развертыванию для каждой из технологий, используемых в данном сценарии развертывания. Эти руководства помогут вам определить, предоставляет ли данный сценарий развертывания службы и конфигурации, необходимые для сети организации.

Требования для развертывания сертификатов сервера

Ниже приведены требования для использования сертификатов.

• Развертывание сертификатов сервера с помощью автоматической подачи заявок, требует AD CS Windows Server 2012 Standard, Enterprise или Datacenter операционной системы. AD DS необходимо установить перед установкой AD CS. Хотя AD CS можно развернуть на одном сервере, во многих развертываниях включает несколько серверов, настроенных как ЦС.

• Для обеспечения доступа компьютеров доступ сведения о центрах сертификации (AIA) и список отзыва сертификатов (CRL), созданного в центр сертификации, должен иметь веб-сервер, который настроен в соответствии с инструкциями в этом руководстве.

• Чтобы развернуть PEAP или EAP виртуальных частных сетей (VPN), необходимо развернуть настроен в качестве VPN-сервера RRAS. Использование сервера политики сети является необязательным. Однако при наличии нескольких VPN-серверов политики сети рекомендуется использовать для упрощения администрирования и служб учета RADIUS, которые предоставляет сервер политики сети.

• Для развертывания PEAP или EAP для шлюза удаленных рабочих столов (шлюз RD), необходимо развернуть шлюз удаленных рабочих Столов и NPS.

  Примечание

  В предыдущих версиях Windows Server служб удаленных рабочих столов назывался служб терминалов.

• Развертывание PEAP или EAP для подключений 802.1 X Безопасный проводной или беспроводной связи, необходимо развернуть сервер политики сети и дополнительное оборудование, например коммутаторы с поддержкой стандарта 802.1 X и точки беспроводного доступа.

• Развертывание методов проверки подлинности на основе сертификатов, требуются сертификаты для проверки подлинности пользователей и компьютеров в дополнение к запроса сертификатов для проверки подлинности сервера, например EAP и протокол TLS (EAP-TLS) или PEAP-TLS, необходимо также развернуть сертификатов пользователей или компьютеров, автоматическая подача заявок или с помощью смарт-карты.

Чего в этом руководстве нет

В этом руководстве нет подробных инструкций по проектированию и развертыванию инфраструктуры открытых ключей (PKI) с помощью AD CS. Рекомендуется изучить документацию AD CS и PKI проектная документация перед развертыванием технологий в этом руководстве. Дополнительные сведения см. в разделе Дополнительные ресурсы раздел этого документа.

Это руководство содержит инструкции по установке веб-сервер (IIS) или технологии сервера политики сети на компьютерах-серверах; Эти инструкции приведены в руководстве по основной сети.

В этом руководстве также не предоставляют подробные инструкции по развертыванию технологии доступа к сети, для которых можно использовать сертификаты сервера.

Обзор технологий

Ниже представлены общие сведения технологии для EAP, PEAP и AD CS.

EAP

Протокол EAP является расширением протокола PPP. Он обеспечивает методы произвольной проверки подлинности, в которых используется обмен учетными данными и другими данными произвольной длины. Протокол EAP был разработан в ответ на растущие требования для методов проверки подлинности, использующих устройства безопасности, такие как смарт-карты, генераторы кода и криптографических калькуляторов. Протокол EAP обеспечивает стандарт архитектуры для поддержки дополнительных методов проверки подлинности в рамках протокола PPP.

Протокол EAP механизм произвольной проверки подлинности используется для проверки подлинности клиента и сервера, устанавливается доступ к сети. Точная схема проверки подлинности для использования согласовывается клиентом доступа и проверки подлинности - сервера доступа к сети или сервера службы проверки подлинности удаленных пользователей (RADIUS).

С помощью проверки подлинности EAP тот же тип EAP, для успешной проверки подлинности происходит должен поддерживать клиент сетевого доступа и проверки подлинности (например, сервер политики сети).

EAP в Windows Server 2012

Windows Server 2012 включает в себя инфраструктуру EAP, типы EAP и возможность передавать сообщения EAP сервер RADIUS (EAP-RADIUS), такой как сервер политики сети.

С помощью EAP можно осуществлять поддержку дополнительных схем проверки подлинности, известных как типы EAP. Типы EAP, поддерживаемых Windows Server 2012 являются:

• Транспорта Layer Security (TLS). Протокол EAP-TLS требует использования сертификатов компьютера или пользовательские сертификаты, в дополнение к сертификатам сервера, зарегистрированных на компьютерах под управлением сервера политики сети.

• Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAP v2). Этот тип EAP — это протокол проверки подлинности на основе пароля. При использовании в EAP в качестве метода проверки подлинности EAP-MS-CHAP v2, серверы NPS и RRAS предоставляют сертификат сервера в качестве доказательства подлинности на клиентских компьютерах, пользователям подтверждать свою личность с помощью имени пользователя и пароля.

• Туннелированные Transport Layer Security (TTLS). EAP-TTLS — новые возможности Windows Server 2012 и недоступно в других версиях Windows Server. EAP-TTLS — это поддерживающий взаимную проверку подлинности метод туннелирования EAP на основе стандартов. EAP-TTLS обеспечивает безопасный туннель для проверки подлинности клиента с помощью методов EAP и других традиционных протоколов. EAP-TTLS дает также возможность настроить EAP-TTLS на клиентских компьютерах для решений доступа к сети, в которых при проверке подлинности применяются серверы RADIUS с поддержкой EAP-TTLS.

Кроме того можно установить другие модули Microsoft EAP на сервере политики сети или маршрутизации и удаленного доступа для предоставления других типов проверки подлинности EAP. В большинстве случаев при установке дополнительных типов EAP на серверах, необходимо также установить соответствующие компоненты проверки подлинности клиента EAP на клиентских компьютерах, чтобы клиент и сервер успешно согласовывать метод проверки подлинности для запросов на подключение.

PEAP

PEAP использует TLS для создания защищенного канала между PEAP-клиентом, например беспроводного компьютера и проверки подлинности PEAP, таких как сервер политики сети или другой RADIUS-сервер.

Метод проверки подлинности PEAP не указан, но он обеспечивает дополнительную защиту для других протоколов проверки подлинности EAP (EAP-MSCHAP v2), могут работать через канал шифрования TLS, обеспечиваемый протоколом PEAP. PEAP используется как метод проверки подлинности для доступа клиентов, подключающихся к корпоративной сети через серверы доступа к сети следующих типов:

• Точки беспроводного доступа 802. 1 X-совместимому

• Коммутаторы с проверкой подлинности 802. 1 X-совместимому

• Компьютеры под управлением Windows Server 2012 или Windows Server 2008 R2 и RRAS, которые настроены в качестве VPN-серверов

• Компьютеры под управлением Windows Server 2012 или Windows Server 2008 R2 и шлюза удаленных рабочих Столов

Возможности протокола PEAP

Чтобы повысить безопасность сети и протоколов EAP, PEAP предоставляет:

• TLS-канал, который обеспечивает защиту согласования метода EAP, происходящего между клиентом и сервером. TLS-канал позволяет предотвратить внедрение пакетов между клиентом и сервером доступа к сети с целью согласования менее безопасного типа EAP. Зашифрованный TLS-канал также помогает предотвратить атаки на сервере политики сети.

• Поддержка фрагментации и повторной сборки сообщений, позволяющая использовать типы EAP, которые не предоставляют эти возможности.

• Клиенты с возможностью проверки подлинности сервера политики сети или другой RADIUS-сервер. Поскольку сервер также проверяет подлинность клиента, происходит взаимная проверка подлинности.

• Защита от развертывания точки несанкционированного доступа к беспроводной сети в данный момент, когда клиентом EAP подлинности сертификата, предоставленного сервером политики сети. Кроме того главный секрет TLS, созданный клиентом проверки подлинности PEAP и не используется совместно с точкой доступа. По этой причине точки доступа не может расшифровать сообщения, защищенные протоколом PEAP.

• Быстрое переподключение PEAP, которое сокращает задержку между запросом проверки подлинности от клиента и ответом сервера политики сети или другой RADIUS-сервер. Быстрое переподключение также позволяет беспроводным клиентам перемещаться между точками доступа, настраиваются как RADIUS-клиенты одного RADIUS-сервера, без повторных запросов проверки подлинности. Это снижает требования к ресурсам для клиента и сервера, и он сводит к минимуму количество раз, пользователям предлагается ввести учетные данные.

Службы сертификатов Active Directory

AD CS в Windows Server 2012 предоставляет настраиваемые службы для создания и управления сертификатами X.509, которые используются в программных системах безопасности, применяющих технологии открытых ключей. Организации могут использовать службы AD CS в целях повышения безопасности путем привязки удостоверения пользователя, устройства или службы для соответствующего открытого ключа. AD CS также включает функции, которые позволяют управлять регистрации сертификатов и отзыв в различных средах масштабируемые.