Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Информационная безопасность Защищенная конфигурация точки доступа RSS

Защищенная конфигурация точки доступа

Текущий рейтинг: 4.1 (проголосовало 21)
 Посетителей: 14920 | Просмотров: 32188 (сегодня 0)  Шрифт: - +

Чтобы создать виртуальный каталог на сервере IIS, выполните следующие действия.

1.

Войдите на сервер IIS с правами локального администратора.

2.

Создайте папку C:\CAWWWPub, в которой будут храниться сертификаты центров сертификации и списки отзыва сертификатов.

3.

Настройте параметры безопасности этой папки в соответствии со следующей таблицей.

Таблица 9. Разрешения на доступ к виртуальному каталогу

Пользователь / группа Разрешение Предоставить / отказать

Администраторы

Полный доступ

Предоставить

System

Полный доступ

Предоставить

Владельцы-создатели

Полный доступ (только к вложенным папкам и файлам)

Предоставить

Пользователи

Чтение и просмотр содержимого папки

Предоставить

IIS_WPG

Чтение и просмотр содержимого папки

Предоставить

Гостевая учетная запись Интернета

Запись

Отказать

4.

Используя консоль управления IIS, создайте новый виртуальный каталог на веб-узле по умолчанию:

Назначьте виртуальному каталогу имя pki

Укажите в качестве пути C:\CAWWWPub

5.

Снимите в окне разрешений на доступ к виртуальному каталогу флажок «Запуск сценариев».

6.

Убедитесь в том, что для виртуального каталога включена анонимная проверка подлинности.

Выбор DNS-псевдонима для пункта публикации HTTP

Для разрешения сервера IIS, на котором размещены точки доступа к сведениям о центрах сертификации и распространения списков отзыва сертификатов, нужно создать общий DNS-псевдоним (CNAME). Этот псевдоним будет использован в следующих разделах при настройке путей к этим точкам для центров сертификации. Используя псевдонимы, можно легко перемещать пункты публикации центров сертификации на другие серверы или сетевые устройства без выдачи новых сертификатов центров сертификации.

Другие операции по конфигурированию решения и компонентов операционной системы

Кроме уже описанных действий по настройке, рекомендуется также выполнить перечисленные ниже.

Служба обновления корневых сертификатов. Службу обновления корневых сертификатов следует отключить, потому что автоматически обновлять корневое доверие центров сертификации невыгодно. Чтобы удалить эту службу, просто введите в командной строке следующую команду:

sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_RemoveRootUpdate.txt

Файл OC_RemoveRootUpdate.txt содержит следующие строки:

[Components]
rootautoupdate = off

Убедитесь в том, что корневой центр сертификации не подключен к сети и что выдающий центр сертификации не связан с Интернетом входящим или исходящим соединением.

Проверьте, нужно ли установить после установки IIS какие-либо дополнительные обновления.

Установите служебные программы Windows Server 2003. Делать это необязательно, но они пригодятся при выполнении некоторых операций с использованием центра сертификации, а также при поиске и устранении неполадок.

Установите библиотеку CAPICOM. Для выполнения некоторых сценариев установки и управления, распространяемых с этим руководством, в корневом и выдающем центрах сертификации должна быть установлена библиотека CAPICOM 2.1. Сведения о библиотеке CAPICOM и ссылку на ее загрузку можно найти по адресу www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Подготовка службы Active Directory к использованию инфраструктуры открытого ключа

Фундаментальные требования к инфраструктуре домена Active Directory, описанные в этом разделе, основаны на архитектуре службы Microsoft Windows Server 2003 Active Directory. Если используется служба Active Directory, реализованная в Windows 2000, требования могут быть другими. Дополнительные требования к структуре доменов, основанных на ОС Windows 2000, см. в документе «Повышение функционального уровня домена и леса в ОС Windows Server 2003», который можно найти по адресу http://support.microsoft.com/kb/322692 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Кроме того, для использования рассматриваемого решения нужен функциональный уровень домена не ниже основного режима Windows 2000 — по крайней мере, в том домене, в котором будут установлены серверы центров сертификации. Это требование объясняется тем, что в решении используются универсальные группы Active Directory, которые доступны в основном режиме ОС Windows 2000 и более поздних версий.

Создание административных групп инфраструктуры открытого ключа и центров сертификации

В рассматриваемом решении определяются несколько групп безопасности, соответствующих отдельным административным ролям. Этот подход обеспечивает высокую степень контроля над делегированием, выполняемым при администрировании центров сертификации, в соответствии с принципом наименьших привилегий. Однако нет никакой другой причины использовать этот подход, если он не соответствует принятой в организации административной модели.

Чтобы создать административные группы центра сертификации в домене, выполните следующие действия.

1.

Войдите на компьютер, являющийся членом домена, используя учетную запись, которая позволяет создавать объекты пользователей и групп в контейнере «Пользователи» (Users).

2.

Выполните для создания групп управления центром сертификации домена следующую команду:

Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf

Этот сценарий создаст группы безопасности, указанные в следующей таблице. Они будут созданы как универсальные группы в контейнере «Пользователи» (Users) домена, и их можно будет переместить в другие подразделения, если того потребуют какие-либо принятые в организации политики.

Таблица 10. Названия и описания групп

Название группы Описание

Enterprise PKI Admins

В эту группу входят администраторы контейнера конфигурации служб открытых ключей.

Enterprise PKI Publishers

Члены этой группы могут публиковать списки отзыва сертификатов и сертификаты центров сертификации для контейнера конфигурации «Предприятие» (Enterprise).

CA Admins

Члены этой группы имеют полный административный контроль над центром сертификации, в том числе возможность определять членство других ролей.

Certificate Managers

Члены этой группы управляют выдачей и отзывом сертификатов.

CA Auditors

Члены этой группы управляют данными об аудите центра сертификации.

CA Backup Operators

Члены этой группы имеют разрешения на резервное копирование и восстановление ключей и данных центров сертификации.

В процедурах установки, описываемых в оставшейся части документа, должны использоваться учетные записи из групп Enterprise PKI Admins, Enterprise PKI Publishers и CA Admins, поэтому перед продолжением их нужно заполнить этими учетными записями. Если все роли, имеющие отношение к центру сертификации, возложены на одного человека, всем группам можно назначить одну учетную запись, однако в большинстве компаний роли и обязанности сотрудников в той или иной степени разделены, хотя и не по такой сложной схеме, как в приведенной выше таблице. В компаниях с упрощенным разделением служебных обязанностей часто делят области ответственности следующим образом.

Таблица 11. Упрощенная модель администрирования

Административная роль Членство в группах

CA Administrator

Enterprise PKI Admins, CA Admins, Certificate Managers, Administrators

CA Auditor

CA Auditors, Administrators

CA Backup Operator

CA Backup Operators

Рекомендуемая структура подразделений домена

Управлять инфраструктурой открытых ключей и использовать ее будут несколько групп и пользовательских учетных записей. Возможно, их потребуется организовать в ту или иную структуру подразделений — это зависит от действующих политик. Так как эта структура может определяться уже используемыми корпоративными политиками, ниже предлагается один из вариантов, который можно изменять в соответствии с конкретными потребностями.

Чтобы создать иерархию подразделений, работающих со службами сертификации, выполните следующие действия.

1.

Войдите в систему, используя учетную запись, позволяющую создавать подразделения и делегировать в них разрешения.

2.

Создайте структуру подразделений в соответствии со следующей таблицей.

Таблица 12. Пример структуры подразделения

Подразделение Описание

Certificate Services

Родительское подразделение

\-Certificate Services Administration

Содержит административные группы, управляющие центрами сертификации и конфигурацией корпоративной инфраструктуры открытых ключей.

\-Certificate Template Management

Содержит группы, управляющие отдельными шаблонами сертификатов.

\-Certificate Template Enrollment

Содержит группы, имеющие разрешения на подачу заявок или автоматическую подачу заявок в одноименных шаблонах. Контроль над этими группами можно делегировать соответствующим сотрудникам без изменения самих шаблонов.

\-Certificate Services Test Users

Содержит временные тестовые учетные записи.

3.

Предоставьте группе Enterprise PKI Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.

Предоставление разрешений контейнеру служб открытых ключей

Параметры безопасности контейнера служб открытых ключей нужно изменить так, чтобы члены группы Enterprise PKI Admins могли устанавливать центры сертификации предприятия и конфигурировать шаблоны сертификатов, не являясь при этом членами группы Enterprise Admins. Кроме того, членам группы Enterprise PKI Publishers нужно разрешить публиковать списки отзыва сертификатов и сертификаты центров сертификации без прав Enterprise Admin.

Для внесения следующих изменений нужно использовать учетную запись, эквивалентную Active Directory Enterprise Admin.

Чтобы предоставить разрешения членам группы Enterprise PKI Admins, выполните следующие действия.

1.

Войдите в систему как член группы безопасности Enterprise Admins.

2.

В оснастке консоли управления «Active Directory — сайты и службы» откройте в меню «Вид» узел «Службы», после чего найдите вложенный контейнер Public Key Services и откройте его свойства.

3.

Добавьте на вкладке «Безопасность» группу безопасности Enterprise PKI Admins и предоставьте ей полный контроль.

4.

В режиме расширенного просмотра измените разрешения этой группы так, чтобы разрешение на полный доступ относилось к данному объекту и всем дочерним объектам.

5.

Выберите контейнер «Службы» и откройте его свойства.

6.

Добавьте на вкладке «Безопасность» группу безопасности Enterprise PKI Admins и предоставьте ей полный доступ.

7.

В режиме расширенного просмотра измените разрешения этой группы так, чтобы разрешение на полный доступ относилось только к данному объекту.

Чтобы предоставить разрешения членам группы Enterprise PKI Publishers, выполните следующие действия.

1.

Войдите в систему как член группы безопасности Enterprise Admins.

2.

В оснастке консоли управления «Active Directory — сайты и службы» отобразите узел «Службы» и откройте свойства контейнера Public Key Services\AIA.

3.

Добавьте на вкладке «Безопасность» группу безопасности Enterprise PKI Publishers и предоставьте ей разрешения на выполнение перечисленных ниже операций.

Чтение

Запись

Создание всех дочерних объектов

Удаление всех дочерних объектов

4.

В режиме расширенного просмотра измените разрешения этой группы так, чтобы они относились к данному объекту и всем дочерним объектам.

5.

Повторите этапы 2—4 для следующих контейнеров:

Public Key Services\CDP

Public Key Services\Certification Authorities

Предоставление разрешений членам группы Cert Publishers

Все учетные записи компьютеров центра сертификации предприятия в домене будут относиться к группе безопасности Cert Publishers. Эта группа будет использоваться для применения разрешений к объектам пользователей и компьютеров, а также к объектам в контейнере CDP, упомянутом в описании предыдущей процедуры. При каждой установке центра сертификации учетную запись его компьютера нужно будет добавлять в эту группу.

Чтобы члены группы Enterprise PKI Admins могли устанавливать центры сертификации предприятия, нужно изменить разрешения этой группы.

Чтобы предоставить разрешения на изменение членства группе Cert Publishers, выполните следующие действия.

1.

Войдите в систему как член группы Domain Admins в домене, в котором будут установлены выдающие центры сертификации.

2.

Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».

3.

Откройте меню «Вид» и убедитесь в том, что элемент «Дополнительные параметры» выбран.

4.

Найдите группу Cert Publishers (по умолчанию она находится в контейнере Users) и отобразите ее свойства.

5.

На вкладке «Безопасность» добавьте группу Enterprise PKI Admins и нажмите кнопку «Дополнительно».

6.

Выберите из списка группу Enterprise PKI Admins и нажмите кнопку «Изменить».

7.

Откройте вкладку «Свойства» и убедитесь в том, что в поле «Применять» выбран вариант «Только для этого объекта».

8.

Прокрутите столбец «Разрешить» и щелкните в нем поле «Запись членов» (Write Members).

9.

Сохраните изменения и закройте по очереди все диалоговые окна, нажимая кнопку ОК.

10.

Перезапустите сервер выдающего центра сертификации перед установкой компонента «Службы сертификации». После перезапуска сервер сможет выбрать членство в новой группе в своем маркере доступа.

Предоставление разрешений на восстановление группе Enterprise PKI Admins

Для установки служб сертификации необходимо право на восстановление файлов и каталогов в том домене, в котором будет размещен центр сертификации предприятия. Оно необходимо для объединения дескрипторов безопасности шаблонов и других объектов каталогов, что позволяет предоставить корректные разрешения объектам инфраструктуры открытых ключей домена. Имеющиеся в домене группы администраторов, операторов сервера и операторов архива имеют это право по умолчанию.

Так как для установки центра сертификации будет использована группа Enterprise PKI Admins, ей нужно предоставить право на восстановление файлов и каталогов.

Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise PKI Admins, выполните следующие действия.

1.

Войдите в систему как член группы администраторов домена, в котором будет установлен выдающий центр сертификации.

2.

Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».

3.

Выберите подразделение контроллеров домена и откройте его свойства.

4.

На вкладке «Групповая политика» выберите пункт «GPO — политика контроллеров домена по умолчанию» и нажмите на кнопку «Изменить».

5.

Откройте папку Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment и дважды щелкните «Восстановление файлов и каталогов».

6.

Добавьте в отображенный список группу Enterprise PKI Admins.

7.

Закройте диалоговое окно и консоль управления объектами групповой политики.

Примечание.   Если есть другие объекты групповой политики, задающие на контроллерах домена право пользователя на восстановление файлов и каталогов, эту процедуру нужно выполнять с использованием объекта с наивысшим приоритетом, а не с использованием политики контроллеров домена по умолчанию. Параметры прав пользователей не накапливаются, и будет действовать только последний примененный объект групповой политики, имеющий это право.

Конфигурирование сервера корневого центра сертификации

Как было сказано выше, в этом руководстве не приводятся пошаговые инструкции по установке ОС Windows Server 2003, потому что в большинстве компаний уже имеется документированный процесс установки серверов. Серверы корневых центров сертификации отличаются от других серверов в том смысле, что их никогда не подключают к сети; это нужно для того, чтобы они не были скомпрометированы.

Таким образом, при установке и настройке сервера корневого центра сертификации нужно гарантировать, что он не будет подключен к сети. На некотором этапе для предотвращения случайного подключения нужно отключить его сетевые адаптеры. Из-за того, что этот сервер не будет подключен к сети, он будет находиться в рабочей группе, имя которой следует выбрать и зафиксировать перед установкой сервера.

Примечание.   Несмотря на то, что корневой центр сертификации создается и работает в автономном режиме, его имя должно быть уникальным в сетевой среде.

Файл CAPolicy.inf

Выбрав подходящий сервер для создания корневого центра сертификации и установив на него операционную систему, следует создать файл capolicy.inf. Этот файл необходим для создания корневого центра сертификации, потому что он определяет характеристики сертификата корневого центра сертификации с собственной подписью, такие как длина ключа и срок действия сертификата.

Информация о списках отзыва сертификатов и доступа к сведениям о центрах сертификации не нужна для сертификата корневого центра сертификации, поэтому в файле capolicy.inf параметры CRLDistributionPoint и AuthorityInformationAccess имеют значение Empty.

Чтобы создать файл CAPolicy.inf, выполните следующие действия.

1.

Используя Блокнот или другой текстовый редактор, создайте обычный текстовый файл со следующим текстом:

[version]
Signature=” NT

[Certsrv_server]
RednewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=16

[CRLDistributionPoint]
Empty=true

[AuthorityInformationAccess]
Empty=true

2.

Если для центра сертификации определено заявление об использовании сертификатов, включите в файл capolicy.inf следующий текст, заменяя значения, набранные курсивом, значениями, специфичными для используемой реализации:

[CAPolicy]
Policies=company CPS name

[company CPS name]
OID=the.company.OID
URL=”http://www.companyurl.com/cpspagename.htm”

3.

Сохраните этот текстовый файл как %windir%\Capolicy.inf (замените %windir% абсолютным путем к папке установки Windows, например C:\Windows). Для сохранения этого файла в папке Windows нужно использовать учетную запись администратора или учетную запись с эквивалентными разрешениями.

Установка программных компонентов служб сертификации

Воспользуйтесь для установки программных компонентов центра сертификации мастером компонентов Windows. Имейте в виду, что для их установки необходим доступ к носителю с установочными файлами ОС Windows Server 2003.

Чтобы установить службы сертификации, выполните следующие действия.

1.

Войдите в систему как член группы локальных администраторов и запустите диспетчер дополнительных компонентов или откройте панель управления, дважды щелкните значок «Установка и удаление программ» и выберите установку компонентов Windows.

sysocmgr /i:sysoc.inf

2.

Выберите службы сертификации (чтобы проигнорировать предупреждение об изменении имени, нажмите на кнопку «Да»).

3.

Выберите в качестве типа центра сертификации «Изолированный корневой ЦС» и убедитесь в том, что флажок «Использовать пользовательские параметры» установлен.

4.

Оставьте значения по умолчанию в диалоговом окне «Пара из открытого и закрытого ключей» неизменными за исключением поля «Длина ключа», в котором нужно задать значение 4096, и поля «Тип поставщика (CSP)», в котором нужно задать значение Microsoft Strong Cryptographic Provider.

5.

Введите в следующие поля идентификационную информацию о центре сертификации, собранную на этапе подготовки.

Общее имя центра сертификации:

Суффикс различающегося имени:

Срок действия: 8 лет

После этого поставщик службы криптографии сгенерирует пару ключей, которая будет сохранена в локальном хранилище ключей.

Примечание.   Если в системе ранее был установлен центр сертификации, появится диалоговое окно с предупреждением о перезаписи имеющегося закрытого ключа. Прежде чем продолжить, убедитесь в том, что этот ключ больше никогда не потребуется.

6.

Местоположения базы данных сертификатов, журналов базы данных и конфигурационной папки оставьте без изменений. После этого диспетчер дополнительных компонентов установит компоненты служб сертификации, и для продолжения процесса потребуется носитель с установочными файлами ОС Windows Server 2003.

7.

Нажмите кнопку ОК, чтобы проигнорировать предупреждения, связанные со службами IIS, и продолжите процесс установки до его завершения.

Настройка свойств корневого центра сертификации

При настройке корневого центра сертификации в соответствии с инструкциями, приведенными ниже, нужно будет задать ряд параметров, специфических для среды. Прежде чем продолжить, соберите необходимую для этого информацию, следуя указаниям, содержащимся в описании подготовительного этапа.

Иcточник: Microsoft TechNet  •  Опубликована: 20.03.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.