Чтобы создать виртуальный каталог на сервере IIS, выполните
следующие действия.
|
1. |
Войдите на сервер IIS с правами локального
администратора. |
|
2. |
Создайте папку C:\CAWWWPub, в которой будут храниться
сертификаты центров сертификации и списки отзыва
сертификатов. |
|
3. |
Настройте параметры безопасности этой папки в соответствии со
следующей таблицей.
Таблица 9. Разрешения на доступ к виртуальному
каталогу
|
Администраторы |
Полный доступ |
Предоставить |
|
System |
Полный доступ |
Предоставить |
|
Владельцы-создатели |
Полный доступ (только к вложенным папкам и
файлам) |
Предоставить |
|
Пользователи |
Чтение и просмотр содержимого папки |
Предоставить |
|
IIS_WPG |
Чтение и просмотр содержимого папки |
Предоставить |
|
Гостевая учетная запись Интернета |
Запись |
Отказать |
|
|
4. |
Используя консоль управления IIS, создайте новый виртуальный
каталог на веб-узле по умолчанию:
| • |
Назначьте виртуальному каталогу имя pki |
| • |
Укажите в качестве пути
C:\CAWWWPub | |
|
5. |
Снимите в окне разрешений на доступ к виртуальному каталогу
флажок «Запуск сценариев». |
|
6. |
Убедитесь в том, что для виртуального каталога включена анонимная
проверка подлинности. |
Выбор DNS-псевдонима для пункта публикации HTTP
Для разрешения сервера IIS, на котором размещены точки доступа к
сведениям о центрах сертификации и распространения списков отзыва
сертификатов, нужно создать общий DNS-псевдоним (CNAME). Этот псевдоним
будет использован в следующих разделах при настройке путей к этим точкам
для центров сертификации. Используя псевдонимы, можно легко перемещать
пункты публикации центров сертификации на другие серверы или сетевые
устройства без выдачи новых сертификатов центров сертификации.
Другие операции по конфигурированию решения и компонентов операционной
системы
Кроме уже описанных действий по настройке, рекомендуется также
выполнить перечисленные ниже.
| • |
Служба обновления корневых сертификатов. Службу обновления
корневых сертификатов следует отключить, потому что автоматически
обновлять корневое доверие центров сертификации невыгодно. Чтобы
удалить эту службу, просто введите в командной строке следующую
команду: sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_RemoveRootUpdate.txt
Файл OC_RemoveRootUpdate.txt содержит следующие строки: [Components]
rootautoupdate = off |
| • |
Убедитесь в том, что корневой центр сертификации не подключен к
сети и что выдающий центр сертификации не связан с Интернетом
входящим или исходящим соединением. |
| • |
Проверьте, нужно ли установить после установки IIS какие-либо
дополнительные обновления. |
| • |
Установите служебные программы Windows Server 2003. Делать это
необязательно, но они пригодятся при выполнении некоторых операций с
использованием центра сертификации, а также при поиске и устранении
неполадок. |
| • |
Установите библиотеку CAPICOM. Для выполнения некоторых сценариев
установки и управления, распространяемых с этим руководством, в
корневом и выдающем центрах сертификации должна быть установлена
библиотека CAPICOM 2.1. Сведения о библиотеке CAPICOM и ссылку на ее загрузку можно найти по
адресу
www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en
(эта ссылка может указывать на содержимое полностью или частично на
английском языке). |
Подготовка службы Active Directory к использованию инфраструктуры
открытого ключа
Фундаментальные требования к инфраструктуре домена Active Directory,
описанные в этом разделе, основаны на архитектуре службы Microsoft Windows
Server 2003 Active Directory. Если используется служба Active Directory,
реализованная в Windows 2000, требования могут быть другими.
Дополнительные требования к структуре доменов, основанных на ОС Windows
2000, см. в документе «Повышение функционального уровня домена и леса в ОС Windows
Server 2003», который можно найти по адресу
http://support.microsoft.com/kb/322692 (эта ссылка может указывать на
содержимое полностью или частично на английском языке).
Кроме того, для использования рассматриваемого решения нужен
функциональный уровень домена не ниже основного режима Windows 2000 — по
крайней мере, в том домене, в котором будут установлены серверы центров
сертификации. Это требование объясняется тем, что в решении используются
универсальные группы Active Directory, которые доступны в основном режиме
ОС Windows 2000 и более поздних версий.
Создание административных групп инфраструктуры открытого ключа и
центров сертификации
В рассматриваемом решении определяются несколько групп безопасности,
соответствующих отдельным административным ролям. Этот подход обеспечивает
высокую степень контроля над делегированием, выполняемым при
администрировании центров сертификации, в соответствии с принципом
наименьших привилегий. Однако нет никакой другой причины использовать этот
подход, если он не соответствует принятой в организации административной
модели.
Чтобы создать административные группы центра сертификации в домене,
выполните следующие действия.
|
1. |
Войдите на компьютер, являющийся членом домена, используя учетную
запись, которая позволяет создавать объекты пользователей и групп в
контейнере «Пользователи» (Users). |
|
2. |
Выполните для создания групп управления центром сертификации
домена следующую команду: Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf
Этот сценарий создаст группы безопасности, указанные в следующей
таблице. Они будут созданы как универсальные группы в контейнере
«Пользователи» (Users) домена, и их можно будет переместить в другие
подразделения, если того потребуют какие-либо принятые в организации
политики.
Таблица 10. Названия и описания групп
|
Enterprise PKI Admins |
В эту группу входят администраторы
контейнера конфигурации служб открытых ключей. |
|
Enterprise PKI Publishers |
Члены этой группы могут публиковать списки
отзыва сертификатов и сертификаты центров сертификации для
контейнера конфигурации «Предприятие» (Enterprise). |
|
CA Admins |
Члены этой группы имеют полный
административный контроль над центром сертификации, в том
числе возможность определять членство других ролей. |
|
Certificate Managers |
Члены этой группы управляют выдачей и
отзывом сертификатов. |
|
CA Auditors |
Члены этой группы управляют данными об
аудите центра сертификации. |
|
CA Backup Operators |
Члены этой группы имеют разрешения на
резервное копирование и восстановление ключей и данных центров
сертификации. |
|
В процедурах установки, описываемых в оставшейся части документа,
должны использоваться учетные записи из групп Enterprise PKI Admins,
Enterprise PKI Publishers и CA Admins, поэтому перед продолжением их нужно
заполнить этими учетными записями. Если все роли, имеющие отношение к
центру сертификации, возложены на одного человека, всем группам можно
назначить одну учетную запись, однако в большинстве компаний роли и
обязанности сотрудников в той или иной степени разделены, хотя и не по
такой сложной схеме, как в приведенной выше таблице. В компаниях с
упрощенным разделением служебных обязанностей часто делят области
ответственности следующим образом.
Таблица 11. Упрощенная модель администрирования
|
CA Administrator |
Enterprise PKI Admins, CA Admins, Certificate
Managers, Administrators |
|
CA Auditor |
CA Auditors, Administrators |
|
CA Backup Operator |
CA Backup Operators |
Рекомендуемая структура подразделений домена
Управлять инфраструктурой открытых ключей и использовать ее будут
несколько групп и пользовательских учетных записей. Возможно, их
потребуется организовать в ту или иную структуру подразделений — это
зависит от действующих политик. Так как эта структура может определяться
уже используемыми корпоративными политиками, ниже предлагается один из
вариантов, который можно изменять в соответствии с конкретными
потребностями.
Чтобы создать иерархию подразделений, работающих со службами
сертификации, выполните следующие действия.
|
1. |
Войдите в систему, используя учетную запись, позволяющую
создавать подразделения и делегировать в них разрешения. |
|
2. |
Создайте структуру подразделений в соответствии со следующей
таблицей.
Таблица 12. Пример структуры подразделения
|
Certificate Services |
Родительское подразделение |
|
\-Certificate Services
Administration |
Содержит административные группы,
управляющие центрами сертификации и конфигурацией
корпоративной инфраструктуры открытых ключей. |
|
\-Certificate Template Management |
Содержит группы, управляющие отдельными
шаблонами сертификатов. |
|
\-Certificate Template Enrollment |
Содержит группы, имеющие разрешения на
подачу заявок или автоматическую подачу заявок в одноименных
шаблонах. Контроль над этими группами можно делегировать
соответствующим сотрудникам без изменения самих
шаблонов. |
|
\-Certificate Services Test Users |
Содержит временные тестовые учетные
записи. |
|
|
3. |
Предоставьте группе Enterprise PKI Admins разрешения на создание
и удаление групп в подразделении служб сертификации и его дочерних
контейнерах. |
Предоставление разрешений контейнеру служб открытых ключей
Параметры безопасности контейнера служб открытых ключей нужно изменить
так, чтобы члены группы Enterprise PKI Admins могли устанавливать центры
сертификации предприятия и конфигурировать шаблоны сертификатов, не
являясь при этом членами группы Enterprise Admins. Кроме того, членам
группы Enterprise PKI Publishers нужно разрешить публиковать списки отзыва
сертификатов и сертификаты центров сертификации без прав Enterprise
Admin.
Для внесения следующих изменений нужно использовать учетную запись,
эквивалентную Active Directory Enterprise Admin.
Чтобы предоставить разрешения членам группы Enterprise PKI Admins,
выполните следующие действия.
|
1. |
Войдите в систему как член группы безопасности Enterprise
Admins. |
|
2. |
В оснастке консоли управления «Active Directory — сайты и службы»
откройте в меню «Вид» узел «Службы», после чего
найдите вложенный контейнер Public Key Services и откройте его
свойства. |
|
3. |
Добавьте на вкладке «Безопасность» группу безопасности
Enterprise PKI Admins и предоставьте ей полный контроль. |
|
4. |
В режиме расширенного просмотра измените разрешения этой
группы так, чтобы разрешение на полный доступ относилось к данному
объекту и всем дочерним объектам. |
|
5. |
Выберите контейнер «Службы» и откройте его
свойства. |
|
6. |
Добавьте на вкладке «Безопасность» группу безопасности
Enterprise PKI Admins и предоставьте ей полный доступ. |
|
7. |
В режиме расширенного просмотра измените разрешения этой
группы так, чтобы разрешение на полный доступ относилось только к
данному объекту. |
Чтобы предоставить разрешения членам группы Enterprise PKI
Publishers, выполните следующие действия.
|
1. |
Войдите в систему как член группы безопасности Enterprise
Admins. |
|
2. |
В оснастке консоли управления «Active Directory — сайты и службы»
отобразите узел «Службы» и откройте свойства контейнера
Public Key Services\AIA. |
|
3. |
Добавьте на вкладке «Безопасность» группу безопасности
Enterprise PKI Publishers и предоставьте ей разрешения на выполнение
перечисленных ниже операций.
| • |
Чтение |
| • |
Запись |
| • |
Создание всех дочерних объектов |
| • |
Удаление всех дочерних
объектов | |
|
4. |
В режиме расширенного просмотра измените разрешения этой
группы так, чтобы они относились к данному объекту и всем дочерним
объектам. |
|
5. |
Повторите этапы 2—4 для следующих контейнеров:
| • |
Public Key Services\CDP |
| • |
Public Key Services\Certification
Authorities | |
Предоставление разрешений членам группы Cert Publishers
Все учетные записи компьютеров центра сертификации предприятия в домене
будут относиться к группе безопасности Cert Publishers. Эта группа будет
использоваться для применения разрешений к объектам пользователей и
компьютеров, а также к объектам в контейнере CDP, упомянутом в описании
предыдущей процедуры. При каждой установке центра сертификации учетную
запись его компьютера нужно будет добавлять в эту группу.
Чтобы члены группы Enterprise PKI Admins могли устанавливать центры
сертификации предприятия, нужно изменить разрешения этой группы.
Чтобы предоставить разрешения на изменение членства группе Cert
Publishers, выполните следующие действия.
|
1. |
Войдите в систему как член группы Domain Admins в домене, в
котором будут установлены выдающие центры сертификации. |
|
2. |
Запустите оснастку консоли управления «Active Directory —
пользователи и компьютеры». |
|
3. |
Откройте меню «Вид» и убедитесь в том, что элемент
«Дополнительные параметры» выбран. |
|
4. |
Найдите группу Cert Publishers (по умолчанию она находится в
контейнере Users) и отобразите ее свойства. |
|
5. |
На вкладке «Безопасность» добавьте группу Enterprise PKI
Admins и нажмите кнопку «Дополнительно». |
|
6. |
Выберите из списка группу Enterprise PKI Admins и нажмите кнопку
«Изменить». |
|
7. |
Откройте вкладку «Свойства» и убедитесь в том, что в поле
«Применять» выбран вариант «Только для этого
объекта». |
|
8. |
Прокрутите столбец «Разрешить» и щелкните в нем поле
«Запись членов» (Write Members). |
|
9. |
Сохраните изменения и закройте по очереди все диалоговые окна,
нажимая кнопку ОК. |
|
10. |
Перезапустите сервер выдающего центра сертификации перед
установкой компонента «Службы сертификации». После перезапуска
сервер сможет выбрать членство в новой группе в своем маркере
доступа. |
Предоставление разрешений на восстановление группе Enterprise PKI
Admins
Для установки служб сертификации необходимо право на восстановление
файлов и каталогов в том домене, в котором будет размещен центр
сертификации предприятия. Оно необходимо для объединения дескрипторов
безопасности шаблонов и других объектов каталогов, что позволяет
предоставить корректные разрешения объектам инфраструктуры открытых ключей
домена. Имеющиеся в домене группы администраторов, операторов сервера и
операторов архива имеют это право по умолчанию.
Так как для установки центра сертификации будет использована группа
Enterprise PKI Admins, ей нужно предоставить право на восстановление
файлов и каталогов.
Чтобы предоставить разрешения на восстановление файлов и каталогов
группе Enterprise PKI Admins, выполните следующие действия.
|
1. |
Войдите в систему как член группы администраторов домена, в
котором будет установлен выдающий центр сертификации. |
|
2. |
Запустите оснастку консоли управления «Active Directory —
пользователи и компьютеры». |
|
3. |
Выберите подразделение контроллеров домена и откройте его
свойства. |
|
4. |
На вкладке «Групповая политика» выберите пункт «GPO —
политика контроллеров домена по умолчанию» и нажмите на кнопку
«Изменить». |
|
5. |
Откройте папку Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment и дважды щелкните
«Восстановление файлов и каталогов». |
|
6. |
Добавьте в отображенный список группу Enterprise PKI
Admins. |
|
7. |
Закройте диалоговое окно и консоль управления объектами групповой
политики.
Примечание. Если есть другие объекты
групповой политики, задающие на контроллерах домена право
пользователя на восстановление файлов и каталогов, эту процедуру
нужно выполнять с использованием объекта с наивысшим приоритетом, а
не с использованием политики контроллеров домена по умолчанию.
Параметры прав пользователей не накапливаются, и будет действовать
только последний примененный объект групповой политики, имеющий это
право. |
Конфигурирование сервера корневого центра сертификации
Как было сказано выше, в этом руководстве не приводятся пошаговые
инструкции по установке ОС Windows Server 2003, потому что в большинстве
компаний уже имеется документированный процесс установки серверов. Серверы
корневых центров сертификации отличаются от других серверов в том смысле,
что их никогда не подключают к сети; это нужно для того, чтобы они не были
скомпрометированы.
Таким образом, при установке и настройке сервера корневого центра
сертификации нужно гарантировать, что он не будет подключен к сети. На
некотором этапе для предотвращения случайного подключения нужно отключить
его сетевые адаптеры. Из-за того, что этот сервер не будет подключен к
сети, он будет находиться в рабочей группе, имя которой следует выбрать и
зафиксировать перед установкой сервера.
Примечание. Несмотря на то, что корневой центр
сертификации создается и работает в автономном режиме, его имя должно быть
уникальным в сетевой среде.
Файл CAPolicy.inf
Выбрав подходящий сервер для создания корневого центра сертификации и
установив на него операционную систему, следует создать файл capolicy.inf.
Этот файл необходим для создания корневого центра сертификации, потому что
он определяет характеристики сертификата корневого центра сертификации с
собственной подписью, такие как длина ключа и срок действия
сертификата.
Информация о списках отзыва сертификатов и доступа к сведениям о
центрах сертификации не нужна для сертификата корневого центра
сертификации, поэтому в файле capolicy.inf параметры CRLDistributionPoint
и AuthorityInformationAccess имеют значение Empty.
Чтобы создать файл CAPolicy.inf, выполните следующие
действия.
|
1. |
Используя Блокнот или другой текстовый редактор, создайте обычный
текстовый файл со следующим текстом: [version]
Signature=” NT
[Certsrv_server]
RednewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=16
[CRLDistributionPoint]
Empty=true
[AuthorityInformationAccess]
Empty=true |
|
2. |
Если для центра сертификации определено заявление об
использовании сертификатов, включите в файл capolicy.inf следующий
текст, заменяя значения, набранные курсивом, значениями,
специфичными для используемой реализации: [CAPolicy]
Policies=company CPS name
[company CPS name]
OID=the.company.OID
URL=”http://www.companyurl.com/cpspagename.htm” |
|
3. |
Сохраните этот текстовый файл как %windir%\Capolicy.inf
(замените %windir% абсолютным путем к папке установки
Windows, например C:\Windows). Для сохранения этого файла в папке
Windows нужно использовать учетную запись администратора или учетную
запись с эквивалентными разрешениями. |
Установка программных компонентов служб сертификации
Воспользуйтесь для установки программных компонентов центра
сертификации мастером компонентов Windows. Имейте в виду, что для их
установки необходим доступ к носителю с установочными файлами ОС Windows
Server 2003.
Чтобы установить службы сертификации, выполните следующие
действия.
|
1. |
Войдите в систему как член группы локальных администраторов и
запустите диспетчер дополнительных компонентов или откройте панель
управления, дважды щелкните значок «Установка и удаление программ» и
выберите установку компонентов Windows. sysocmgr /i:sysoc.inf |
|
2. |
Выберите службы сертификации (чтобы проигнорировать
предупреждение об изменении имени, нажмите на кнопку
«Да»). |
|
3. |
Выберите в качестве типа центра сертификации «Изолированный
корневой ЦС» и убедитесь в том, что флажок «Использовать
пользовательские параметры» установлен. |
|
4. |
Оставьте значения по умолчанию в диалоговом окне «Пара из
открытого и закрытого ключей» неизменными за исключением поля
«Длина ключа», в котором нужно задать значение 4096, и
поля «Тип поставщика (CSP)», в котором нужно задать значение
Microsoft Strong Cryptographic Provider. |
|
5. |
Введите в следующие поля идентификационную информацию о центре
сертификации, собранную на этапе подготовки.
| • |
Общее имя центра сертификации: |
| • |
Суффикс различающегося имени: |
| • |
Срок действия: 8 лет |
После этого поставщик службы криптографии сгенерирует пару
ключей, которая будет сохранена в локальном хранилище ключей.
Примечание. Если в системе ранее был
установлен центр сертификации, появится диалоговое окно с
предупреждением о перезаписи имеющегося закрытого ключа. Прежде чем
продолжить, убедитесь в том, что этот ключ больше никогда не
потребуется. |
|
6. |
Местоположения базы данных сертификатов, журналов базы данных и
конфигурационной папки оставьте без изменений. После этого диспетчер
дополнительных компонентов установит компоненты служб сертификации,
и для продолжения процесса потребуется носитель с установочными
файлами ОС Windows Server 2003. |
|
7. |
Нажмите кнопку ОК, чтобы проигнорировать предупреждения,
связанные со службами IIS, и продолжите процесс установки до его
завершения. |
Настройка свойств корневого центра сертификации
При настройке корневого центра сертификации в соответствии с
инструкциями, приведенными ниже, нужно будет задать ряд параметров,
специфических для среды. Прежде чем продолжить, соберите необходимую для
этого информацию, следуя указаниям, содержащимся в описании
подготовительного этапа.
