Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Общие сведения о развертывании сертификатов сервера

James McIllece|Последнее обновление: 10.03.2017
|
1 Участник

Применимо к: Windows Server 2016 г.

В этом разделе содержатся следующие разделы.

Компоненты развертывания сертификатов сервера

В этом руководстве можно использовать для установки службы сертификатов Active Directory (AD CS) в качестве корневого центра сертификации (ЦС) предприятия и для регистрации сертификатов сервера на серверы, работающие под управлением службы сервера политики сети (NPS), маршрутизация и удаленный доступ (RRAS), или сервер политики СЕТИ и RRAS.

Если вы развертываете SDN с проверкой подлинности на основе сертификатов, серверы должны использовать сертификата сервера подтвердить свои удостоверения на другие серверы, чтобы они обеспечить безопасную связь.

Ниже показан компоненты, необходимые для развертывания на серверах в вашей инфраструктуре SDN сертификатов сервера.

Сервер развертывания сертификатов необходимую инфраструктуру

Примечание

На рисунке выше описанные в нескольких серверах: DC1, CA1, WEB1 и многие SDN серверов. В этом руководстве приведены инструкции по развертыванию и настройке CA1 и WEB1 и настраивать DC1, что в этом руководстве предполагается, что вы уже установили в сети. Если вы еще не установили домена Active Directory, это можно сделать с помощью руководство по основной сети для Windows Server 2016.

Дополнительные сведения о каждом элементе показано на рисунке выше см.

CA1 ролью сервера AD CS

В этом сценарии корпоративный корневой центр сертификации (ЦС) также является ЦС, выдающий сертификаты. ЦС выдает сертификаты сервера компьютеров, имеющих разрешения на регистрацию сертификата безопасности. Службы сертификатов Active Directory (AD CS) устанавливается на CA1.

Для более крупных сетей или когда вопросы безопасности обеспечивают основания можно разделить роли корневой ЦС, выдающий сертификаты Подписи и развернуть подчиненных ЦС, которые ЦС.

В наиболее безопасный развертываниях корпоративный корневой ЦС взят физически защищенной и в автономном режиме.

CAPolicy.inf

Прежде чем установить AD CS, настроить файл CAPolicy.inf с заданными настройками для развертывания.

Копия серверы удаленного Доступа и IAS шаблона сертификата

При развертывании сертификатов сервера, можно сделать одну копию серверы удаленного Доступа и IAS шаблон сертификата, а затем настройте шаблон в соответствии с требованиями и инструкциям в этом руководстве.

Вы сможете использовать копию шаблона, а не исходного шаблона, чтобы конфигурация исходного шаблона сохраняется для будущего использования. Настройка копию серверы удаленного Доступа и IAS шаблона, чтобы ЦС можно создавать сертификаты сервера, она выдает группы в Active Directory — пользователи и компьютеры, которые вы указываете.

Дополнительная настройка CA1

Центр сертификации публикует список отзыва сертификатов (CRL), компьютеры необходимо проверить, убедитесь, что сертификаты, которые видит их как удостоверение личности действительные сертификаты и не отозваны. Необходимо настроить центра сертификации с помощью правильное расположение списка отзыва Сертификатов, чтобы компьютеры знать, где искать CRL в процессе проверки подлинности.

WEB1 ролью сервера веб-служб (IIS)

На компьютере, на котором выполняется роли сервера веб-сервер (IIS), WEB1, необходимо создать папку в проводнике Windows для использования в качестве расположения для CRL и AIA.

Виртуальный каталог для CRL и AIA

После создания папки в проводнике Windows, необходимо настроить папку как виртуальный каталог в Интернет-службами (IIS), а также настройка списка управления доступом для каталога чтобы компьютеры для получения доступа к AIA и CRL после их публикации существует.

DC1 под управлением роли AD DS и DNS-сервера

DC1 — это контроллер домена и DNS-сервер в сети.

Групповая политика домена по умолчанию

После настройки шаблона сертификата ЦС, можно настроить политика домена по умолчанию в групповой политике, чтобы сертификаты подлинность серверам политики СЕТИ и удаленного Доступа. Групповая политика настроена в Доменных службах Active Directory на сервере DC1.

Запись ресурса псевдонима (CNAME) DNS

Необходимо создать запись ресурса псевдонима (CNAME) для веб-сервера, чтобы убедиться, что другие компьютеры могут найти сервер, а также AIA и списка отзыва Сертификатов, которые хранятся на сервере. Кроме того с помощью псевдонимов ресурса CNAME обеспечивает гибкость, чтобы веб-сервера, можно использовать для других целей, таких как FTP и веб-узлов.

NPS1 запущена служба роли сервера политики сети роли сервера политики сети и доступа к службам

Сервер политики СЕТИ устанавливается при выполнении задач в Windows Server 2016 руководство по основной сети, прежде чем выполнять задачи в этом руководстве, необходимо иметь один или несколько серверов NPS установлены в сети.

Групповая политика применяется и на серверы регистрации сертификатов

После настройки шаблона сертификата и автоматической регистрации, вы можете обновлять групповой политики на всех целевых серверах. В настоящее время серверы регистрации сертификата сервера из CA1.

Общие сведения о процессе развертывания сертификата сервера

Примечание

Сведения о том, как выполнить эти действия предоставляются в разделе развертывание сертификатов сервера.

Процесс настройки регистрации сертификатов сервера происходит в следующих этапов:

  1. На WEB1 установите роль веб-сервер (IIS).

  2. На компьютере DC1 создайте запись псевдонима (CNAME) для веб-сервера, WEB1.

  3. Настройка веб-сервера для размещения CRL из ЦС, а затем публикации списка отзыва Сертификатов и скопируйте сертификат ЦС предприятия корневой в новый виртуальный каталог.

  4. На компьютере, где вы планируете установить AD CS назначьте статический IP-адрес компьютера, переименуйте компьютер, присоединить компьютер к домену и войдите в систему на компьютере с помощью учетной записи пользователя, который является членом группы администраторов домена и администраторов предприятия.

  5. На компьютере, где вы планируете установить AD CS настройте файл CAPolicy.inf с параметрами, которые относятся к развертыванию.

  6. Установите роль сервера AD CS и выполнить дополнительную настройку ЦС.

  7. Скопируйте сертификат ЦС и CRL из CA1 к общей папке на веб-сервере WEB1.

  8. В центре сертификации настройте копию шаблона сертификата серверов RAS и IAS. ЦС выдает сертификаты на основе сертификатов шаблона, поэтому необходимо настроить шаблон сертификата сервера ЦС может выдать сертификат.

  9. Настройка сервера сертификатов в групповой политике. При настройке автоматической регистрации всех серверов, которые вы задали членства в группах Active Directory автоматически получать сертификат сервера при обновлении групповой политики на всех серверах. При добавлении дополнительных серверов позже, они будут автоматически получать сертификат сервера слишком.

  10. Обновление групповой политики на серверах. При обновлении групповой политики серверы получения сертификата сервера, который основан на шаблоне, настроенный на предыдущем шаге. Этот сертификат используется на сервер и доказать свою подлинность на клиентских компьютерах и других серверов в процессе проверки подлинности.

    Примечание

    Все члены домена автоматически получают сертификат ЦС предприятия корневой без настройки автоматической подачи заявок. Этот сертификат отличается от сертификата сервера, настраивать и распространять с помощью автоматической подачи заявок. Таким образом, они будут доверять сертификаты, выданные этот ЦС сертификат ЦС автоматически устанавливается в хранилище сертификатов доверенных корневых центров сертификации для всех компьютеров домена.

  11. Убедитесь, что все серверы зарегистрировали действительный сертификат сервера.

© 2017 Microsoft