Руководство по поиску основной сети: Развертывание компьютеров и пользователей сертификатов
Применимо к:Windows Server 2012
Windows Server® 2012 Руководство по основной сети приведены инструкции по планированию и развертыванию компонентов, необходимых для создания полнофункциональной сети и новый домен в новом лесу Active Directory®.
В этом рассматривается построение основной сети, предоставляя инструкции по развертыванию сертификатов клиентских компьютеров и пользователей со службами сертификатов Active Directory (AD CS).
Данное руководство содержит следующие разделы.
Предварительные требования для использования настоящего руководства
Информация о руководстве
Чего в этом руководстве нет
Обзор технологий
Предварительные требования для использования настоящего руководства
Это руководство дополняет руководство по основной сети Windows Server 2012. Развертывание сертификатов компьютеров и пользователей с помощью этого руководства, вы должны сначала выполните следующие действия.
Развертывание основной сети, используя руководство по основной сети, либо уже технологии указали в руководство по основной сети установлен и правильно работать в сети. Эти технологии включают TCP/IP v4, DHCP, доменные службы Active Directory (AD DS), DNS, сервер политики сети и веб-сервер (IIS).
Примечание
Windows Server 2012 Руководство по основной сети доступен в Windows Server 2012 технической библиотеки (https://go.microsoft.com/fwlink/?LinkId=154884).
Руководство по основной сети также доступна в формате Word в коллекции Microsoft TechNet (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).
При использовании сертификатов компьютера или пользователя сертификаты для проверки подлинности доступа к сети с методами проверки подлинности на основе сертификатов, необходимо развернуть сертификаты сервера NPS-серверов, серверов RRAS и/или с помощью дополнительное руководство по основной сети: развертывание сертификата сервера; или вы уже должен быть развернут инфраструктуры открытых ключей (PKI) и сертификаты сервера, которые отвечают требованиям для сетевой проверки подлинности при доступе.
Примечание
Windows Server 2012 Дополнительное руководство по основной сети: развертывание сертификата сервера доступен в Windows Server 2012 технической библиотеки (https://go.microsoft.com/fwlink/p/?LinkId=251948).
Дополнительное руководство по основной сети: Развертывание сертификата сервера также доступна в формате Word в коллекции Microsoft TechNet (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7).
Информация о руководстве
Это руководство содержит инструкции по развертыванию сертификатов клиентских компьютеров и пользователей для компьютеров-членов домена и пользователей домена с помощью AD CS.
Сертификаты используются для проверки подлинности при доступе к сети, поскольку обеспечивают безопасность для пользователей и компьютеров, проходящих проверку подлинности, и устраняют необходимость в менее безопасных методах проверки подлинности на основе паролей.
При развертывании Extensible Authentication Protocol, протокол TLS (EAP-TLS) или защищенного EAP и TLS (PEAP-TLS), требуются сертификаты для проверки подлинности серверов и для клиентских компьютеров или пользователей во время сетевого попытки подключения через серверы сетевого доступа, такие как 802. 1 X-коммутаторами и беспроводного доступа точек, виртуальные частные сети (VPN) серверов и компьютеров под управлением Windows Server 2012 и шлюза удаленных рабочих столов (шлюз RD) или Windows Server 2008 и шлюз служб терминалов (TS Gateway).
Примечание
Все эти серверы доступа к сети также называются клиентами службы проверки подлинности удаленных пользователей (RADIUS), поскольку они используют протокол RADIUS для отправки запросов на подключение и другие сообщения RADIUS на RADIUS-серверы. Серверы RADIUS обработки запросов на подключение и выполнения проверки подлинности и авторизации. RADIUS-сервера и прокси-сервера в Windows Server 2012 — сервер политики сети (NPS).
Развертывание сертификатов с помощью AD CS для методов проверки подлинности EAP и PEAP обеспечивает следующие преимущества:
Безопасность обеспечивается с помощью сертификата проверки подлинности на основе, который привязывает удостоверение сервера NPS, сервера RRAS, пользователя или клиентского компьютера к закрытому ключу
Экономичный и безопасный метод управления сертификатами, позволяя автоматически зарегистрировать, обновить и отзыв сертификатов для компьютеров-членов домена и пользователей домена
Эффективный метод управления центрами сертификации (ЦС)
Возможность развертывания сертификатов, используемых для целей, отличных от компьютера, пользователя или сервера проверки подлинности других типов. Например можно развернуть сертификаты, предоставить пользователям возможность добавления цифровой подписи электронной почты, или может выдавать сертификаты, используемые для подписывания кода программного обеспечения.
Данное руководство предназначено для администраторов сети и системы, которые выполнены инструкции в Windows Server 2012 руководство по основной сети для развертывания в сети, или для тех, кто уже развернут в технологиях, используемых в основной сети, включая доменных служб Active Directory (AD DS), системы доменных имен (DNS), конфигурации протокола DHCP (Dynamic Host), TCP/IP, сервер политики сети (NPS) и веб-сервер (IIS).
Рекомендуется ознакомиться с руководствами по проектированию и развертыванию для каждой из технологий, используемых в данном сценарии развертывания. Эти руководства помогут вам определить, предоставляет ли в этом сценарии развертывания служб и конфигурации, необходимой для сети вашей организации.
Требования для развертывания сертификатов компьютеров и пользователей
Ниже приведены требования к развертыванию клиентских сертификатов компьютеров и пользователей с помощью автоматической подачи заявок.
AD DS установлена, как и другие сетевые технологии согласно инструкциям в разделе Windows Server 2012 руководство по основной сети.
Для выполнения автоматической подачи заявок на сертификаты компьютеров и пользователей, ЦС должен быть запущен Windows Server 2008 или Windows Server® 2008 R2 Enterprise и Datacenter операционной системы и должен быть выдающий ЦС; или центра сертификации должен быть запущен Windows Server 2012 Standard, Enterprise или Datacenter операционной системы и должен быть выдающий ЦС. Хотя AD CS можно развернуть на одном сервере, во многих развертываниях использовать два уровня инфраструктуры открытых ключей с нескольких серверов, настроенных как подчиненный ЦС.
Чтобы развернуть EAP-TLS или PEAP-TLS, необходимо зарегистрировать сертификаты сервера для серверов политики сети и, если имеется сервер RRAS как серверы виртуальной частной сети (VPN), на компьютерах под управлением Windows Server 2008, Windows Server® 2008 R2, или Windows Server 2012 и службы маршрутизации и удаленного доступа (RRAS). В этом руководстве предполагается, что сертификаты сервера автоматически подающие заявки в соответствии с Windows Server 2012 Дополнительное руководство по основной сети: развертывание сертификатов сервера, которое доступно в формате HTML в Windows Server 2012 технической библиотеки (https://technet.microsoft.com/en-us/library/jj125379).
Примечание
При развертывании одного или нескольких серверов RRAS в качестве VPN-серверов и у вас установлен сервер политики сети, политики сети и методов проверки подлинности, включенных в эти политики настраиваются отдельно на сервере RRAS, который может занять много времени и возможности конфигурации ошибок можно создавать. При установке сервера политики сети можно настроить серверы RRAS в качестве RADIUS-клиентов на сервере политики сети и затем используется для централизованного управления всех политик и методы проверки подлинности, используемые для каждого из политики.
Чтобы развернуть PEAP или EAP для VPN, необходимо развернуть маршрутизации и удаленного доступа, настроенный в качестве сервера VPN. Использование сервера политики сети является необязательным. Однако при наличии нескольких VPN-серверов политики сети рекомендуется использовать для упрощения администрирования и служб учета RADIUS, которые предоставляет сервер политики сети.
Для развертывания шлюза служб Терминалов в PEAP или EAP Windows Server 2008 или шлюза удаленных рабочих Столов в Windows Server 2012, необходимо развернуть шлюз служб Терминалов и сервера политики сети или шлюза удаленных рабочих Столов и NPS, соответственно.
Развертывание PEAP или EAP для подключений 802.1 X Безопасный проводной или беспроводной связи, необходимо развернуть сервер политики сети и дополнительное оборудование, например коммутаторы с поддержкой стандарта 802.1 X или точек беспроводного доступа.
Чего в этом руководстве нет
Данное руководство содержит следующие сведения:
Как выполнить развертывание сертификатов компьютеров и пользователей клиентов с помощью смарт-карты.
Как выполнить развертывание сертификатов сервера с помощью автоматической подачи заявок.
Инструкции по созданию и развертыванию инфраструктуры открытых ключей (PKI) с помощью AD CS. Рекомендуется просмотреть документацию AD CS проектирования и развертывания перед развертыванием технологий в этом руководстве. Дополнительные сведения см. в разделе Дополнительные ресурсы.
Как выполнить развертывание технологии доступа к сети, для которой серверные сертификаты могут использоваться. Может быть других руководств, доступных, которые предоставляют инструкции по развертыванию этих решений доступа к сети. Можно также в документации сервера политики сети для получения этих сведений.
Обзор технологий
Ниже представлены общие сведения технологии для клиентского компьютера и сертификаты пользователей, EAP, PEAP и AD CS.
AD CS
AD CS в Windows Server 2012 предоставляет настраиваемые службы для создания и управления сертификатами X.509, которые используются в программных системах безопасности, применяющих технологии открытых ключей. Организации могут использовать службы AD CS в целях повышения безопасности путем привязки удостоверения пользователя, устройства или службы для соответствующего открытого ключа. AD CS также включает функции, которые позволяют управлять регистрации сертификатов и отзыв в различных средах масштабируемые.
Клиентских сертификатов компьютеров и пользователей
При развертывании EAP-TLS или PEAP-TLS можно развернуть сертификаты компьютеров для проверки подлинности клиентского компьютера и пользователя сертификаты для проверки подлинности пользователя.
Примечание
EAP не предоставляет механизмы, которые выполняют двойной проверки подлинности, то есть, проверку подлинности компьютера, для доступа к сети и пользователя, который пытается подключиться. По этой причине вам не требуются для выдачи сертификатов компьютеров и пользователей при развертывании EAP и PEAP с типами проверки подлинности на основе сертификатов.
Развертывание сертификатов компьютеров и пользователей клиента двумя способами.
С помощью смарт-карт. При развертывании сертификатов с помощью смарт-карты, необходимо приобрести дополнительное оборудование для издательством сертификаты для идентификации пользователей или другие карты, которые ваши сотрудники используют для входа в сеть. Кроме того пользователи должны быть дополнены чтения смарт-карт, которые используются для чтения сертификата, который включены со смарт-карты при входе в систему.
Важно!
В этом руководстве не предоставляет сведения о развертывании сертификатов клиентских компьютеров и пользователей со смарт-картами.
С помощью автоматической подачи заявок. При развертывании с помощью автоматической регистрации сертификатов, настройке ЦС для автоматической регистрации сертификатов для компьютеров, являющихся членами данной группы компьютеров домена и пользователи, являющиеся членами группы «Пользователи домена». Без дополнительного оборудования для автоматической регистрации сертификатов, необходима, поскольку сертификаты хранятся на компьютере, который подключается к сети. Когда компьютер получает сертификат компьютера или пользователя из ЦС, сертификат хранится локально в хранилище данных с именем в хранилище сертификатов.
Важно!
Следует регистрировать сертификаты только к компьютерам и пользователям, которым требуется предоставить доступ к сети через RADIUS-клиентов. Не нужно сертификаты авторегистрации ко всем членам группы пользователей домена и компьютеров домена. Вместо этого может выдавать сертификаты подмножества групп пользователей и компьютеров домена домена, такие как группа продаж или бухгалтерии. Для регистрации сертификатов для других групп, создания групп и добавлять членов группы в Active Directory — пользователи и компьютеры. В оснастке шаблонов сертификатов удалять группы пользователей домена или компьютеры домена из список управления доступом (ACL) для шаблонов сертификатов (шаблон пользователя и проверка подлинности рабочей станции, соответственно), и затем добавьте группы, созданные в шаблон.
Хранилище сертификатов
На компьютерах под управлением операционной системы Windows, сертификаты, установленные на компьютере, хранятся в хранилище, называемое хранилище сертификатов. Хранилище сертификатов можно получить через оснастку сертификатов консоли управления (MMC).
Это хранилище содержит несколько папок, в которой хранятся сертификаты разных типов. Например в хранилище сертификатов содержит доверенные корневые центры сертификации папку хранения сертификатов из всех доверенных корневых центров сертификации.
При организации развертывание PKI и устанавливает закрытый доверенного корневого центра сертификации с помощью AD CS, центр сертификации автоматически отправляет свой сертификат ко всем членам домена в организации. Клиентских и серверных компьютеров-членов домена сертификат ЦС в папку доверенных корневых центров сертификации в хранилище сертификатов локального компьютера и текущего пользователя. После этого, член домена доверять сертификаты, выпущенные доверенным корневым ЦС.
Аналогичным образом, когда вы автоматической регистрации сертификатов для клиентских компьютеров членов домена, сертификат хранится в хранилище личных сертификатов на локальном компьютере. Когда вы автоматической регистрации сертификатов для пользователей, сертификат пользователя хранится в хранилище личных сертификатов для текущего пользователя.
EAP
Протокол EAP является расширением протокола PPP. Он обеспечивает методы произвольной проверки подлинности, в которых используется обмен учетными данными и другими данными произвольной длины. Протокол EAP был разработан в ответ на требования для методов проверки подлинности, использующих устройства безопасности, такие как смарт-карты, генераторы кода и криптографических калькуляторов. Протокол EAP обеспечивает стандарт архитектуры для поддержки дополнительных методов проверки подлинности в рамках протокола PPP.
Протокол EAP механизм произвольной проверки подлинности используется для проверки подлинности клиента и сервера, устанавливается доступ к сети. Схема проверки подлинности, которая будет использоваться согласовывается клиентом доступа и проверки подлинности (сервером доступа к сети или на сервере RADIUS).
Для проведения успешной проверки подлинности клиент доступа к сети и проверки подлинности (например, сервер политики сети) должен поддерживать тот же тип EAP.
Важно!
Строгие типы EAP (например, основанные на сертификатах) обеспечивают лучшую защиту от атак методом подбора, словарных атак и атак, чем протоколы проверки подлинности на основе пароля (CHAP или MS-CHAP версии 1) подбор паролей.
EAP в Windows Server 2012
Windows Server 2012 включает в себя инфраструктуру EAP, два типа EAP и возможность передавать сообщения EAP сервер RADIUS (EAP-RADIUS), такой как сервер политики сети.
С помощью EAP можно осуществлять поддержку дополнительных схем проверки подлинности, известных как типы EAP. Типы EAP, поддерживаемых Windows Server 2012 являются:
Транспорта Layer Security (TLS). Протокол EAP-TLS требует использования сертификатов компьютера или пользовательские сертификаты, в дополнение к сертификатам сервера, зарегистрированных на компьютерах под управлением сервера политики сети.
Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAP v2). Этот тип EAP — это протокол проверки подлинности на основе пароля. При использовании в EAP в качестве метода проверки подлинности EAP-MS-CHAP v2, серверы NPS и RRAS предоставляют сертификат сервера в качестве доказательства подлинности на клиентских компьютерах, пользователям подтверждать свою личность с помощью имени пользователя и пароля.
Туннелированные Transport Layer Security (TTLS). EAP-TTLS — новые возможности Windows Server 2012 и недоступно в других версиях Windows Server. EAP-TTLS — это поддерживающий взаимную проверку подлинности метод туннелирования EAP на основе стандартов. EAP-TTLS обеспечивает безопасный туннель для проверки подлинности клиента с помощью методов EAP и других традиционных протоколов. EAP-TTLS дает также возможность настроить EAP-TTLS на клиентских компьютерах для решений доступа к сети, в которых при проверке подлинности применяются серверы RADIUS с поддержкой EAP-TTLS.
Кроме того можно установить другие модули Microsoft EAP на сервере политики сети или маршрутизации и удаленного доступа для предоставления других типов проверки подлинности EAP. В большинстве случаев при установке дополнительных типов EAP на серверах, необходимо также установить соответствующие компоненты проверки подлинности клиента EAP на клиентских компьютерах, чтобы клиент и сервер успешно согласовывать метод проверки подлинности для запросов на подключение.
PEAP
PEAP использует TLS для создания защищенного канала между PEAP-клиентом, например беспроводного компьютера и проверки подлинности PEAP, таких как сервер политики сети или другой RADIUS-сервер.
Метод проверки подлинности PEAP не указан, но он обеспечивает дополнительную защиту для других протоколов проверки подлинности EAP (EAP-MSCHAP v2), могут работать через канал шифрования TLS, обеспечиваемый протоколом PEAP. PEAP используется как метод проверки подлинности для доступа клиентов, подключающихся к корпоративной сети через серверы доступа к сети следующих типов:
Точки беспроводного доступа 802. 1 X-совместимому
Коммутаторы с проверкой подлинности 802. 1 X-совместимому
Компьютеры под управлением Windows Server 2012 или Windows Server 2008 R2 и RRAS, которые настроены в качестве VPN-серверов
Компьютеры под управлением Windows Server 2012 или Windows Server 2008 R2 и шлюза удаленных рабочих Столов
Возможности протокола PEAP
Чтобы повысить безопасность сети и протоколов EAP, PEAP предоставляет:
TLS-канал, который обеспечивает защиту согласования метода EAP, происходящего между клиентом и сервером. TLS-канал позволяет предотвратить внедрение пакетов между клиентом и сервером доступа к сети с целью согласования менее безопасного типа EAP. Зашифрованный TLS-канал также помогает предотвратить атаки на сервере политики сети.
Поддержка фрагментации и повторной сборки сообщений, позволяющая использовать типы EAP, которые не предоставляют эти возможности.
Клиенты с возможностью проверки подлинности сервера политики сети или другой RADIUS-сервер. Поскольку сервер также проверяет подлинность клиента, происходит взаимная проверка подлинности.
Защита от развертывания точки несанкционированного доступа к беспроводной сети в данный момент, когда клиентом EAP подлинности сертификата, предоставленного сервером политики сети. Кроме того главный секрет TLS, созданный клиентом проверки подлинности PEAP и не используется совместно с точкой доступа. По этой причине точки доступа не может расшифровать сообщения, защищенные протоколом PEAP.
Быстрое переподключение PEAP, которое сокращает задержку между запросом проверки подлинности от клиента и ответом сервера политики сети или другой RADIUS-сервер. Быстрое переподключение также позволяет беспроводным клиентам перемещаться между точками доступа, настраиваются как RADIUS-клиенты одного RADIUS-сервера, без повторных запросов проверки подлинности. Это снижает требования к ресурсам для клиента и сервера, и он сводит к минимуму количество раз, пользователям предлагается ввести учетные данные.
Общие сведения о развертывании EAP-TLS и PEAP-TLS
Ниже приведены общие шаги для развертывания EAP-TLS или PEAP-TLS:
Разверните серверы доступа к сети (RADIUS-клиентов), EAP и RADIUS-совместимые.
Автоматическая регистрация сертификатов сервера для серверов политики сети и, если применимо, серверов маршрутизации и удаленного доступа VPN.
Автоматическая регистрация компьютера сертификаты, сертификаты пользователей (или оба) для компьютеров-членов домена и пользователей, соответственно, или для других групп, которые были созданы.
Настройте серверы доступа к сети как RADIUS-клиенты на сервере политики сети.
Настройка проверки подлинности EAP в политике сети сервера политики сети или RRAS.
Убедитесь, что клиентские компьютеры поддерживают EAP. По умолчанию Windows® 8, Windows® 7, и Windows Vista® поддерживают EAP.
Групповая политика
Групповая политика в Windows Server 2012 — это инфраструктура, используемая для доставки и применения необходимых конфигураций или параметров политики для нескольких целевых пользователей и компьютеров в среде Active Directory. Эта инфраструктура состоит из обработчика групповых политик и нескольких клиентских разрешений, ответственных за чтение параметров политики на целевых клиентских компьютерах. Групповая политика используется в этом сценарии для регистрации и распространения сертификатов для пользователей и компьютеров.