Этап 6. Назначение шаблона подписи протокола OCSP центру сертификации
После завершения настройки шаблонов необходимо настроить центр сертификации для выпуска соответствующего шаблона.
 Настройка центра сертификации для выпуска сертификатов на основе вновь созданного шаблона подписи отклика протокола OCSP
-
|
1. Откройте оснастку Certification Authority (центр сертификации).
2. Правой кнопкой мыши щелкните пункт Certificate Templates, затем выберите команду Certificate Template to Issue (шаблон сертификата для выпуска).
3. Выберите шаблон OCSP Response Signing_2 из списка доступных шаблонов, затем нажмите кнопку OK.
|
Этап 7. Подача заявки на сертификат подписи отклика протокола OCSP
Заявка на сертификат может выполняться не сразу. Поэтому, прежде чем переходить к следующему этапу, убедитесь в том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и проверьте, чтобы разрешения сертификата подписи позволяли сетевому ответчику использовать его.
Проверка правильности настройки сертификата подписи
-
|
1. Запустите или перезапустите компьютер LH_ORS1, чтобы подать заявку на сертификаты.
2. Войдите в систему в качестве администратора центра сертификации.
3. Откройте консоль Certificates для данного компьютера. Откройте хранилище сертификатов Personal данного компьютера и проверьте, чтобы в нем был сертификат с именем OCSP Response Signing_2.
4. Щелкните правой кнопкой мыши этот сертификат и выберите команду Manage Private Keys.
5. Перейдите на вкладку Security. В диалоговом окне User Group or user name нажмите кнопку Add, введите и добавьте имя Network Service в список Group or user name, затем нажмите кнопку OK.
6. Щелкните запись Network Service и в диалогом окне Permissions установите флажок Full Control. Нажмите кнопку ОК два раза.
|
Этап 8. Создание конфигурации отзыва
Для создания конфигурации отзыва необходимо выполнить следующие операции:
определить сертификат центра сертификации, поддерживающего сетевой ответчик;
определить точку распределения списка отзыва сертификатов CRL для центра сертификации;
выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва;
выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком.
Создание конфигурации отзыва
-
|
1. Войдите в систему компьютера LH_ORS1 в качестве администратора домена.
2. Откройте оснастку Online Responder (сетевой ответчик).
3. На панели Actions щелкните Add Revocation Configuration, чтобы запустить Add Revocation Configuration wizard (мастер добавления конфигурации отзыва), затем нажмите кнопку Next.
4. На странице Name the Revocation Configuration введите имя конфигурации отзыва, например LH_RC1, затем нажмите кнопку Next.
5. На странице Select CA certificate Location щелкните пункт Select a certificate for an existing enterprise CA, затем нажмите кнопку Next.
6. На следующей странице имя центра сертификации, LH_CA_ISSUE1, должно появиться в поле Browse CA certificates published in Active Directory.
Если имя есть в списке, щелкните имя центра сертификации, который необходимо связать с созданной конфигурацией отзыва, затем нажмите кнопку Next.
Если имени в списке нет, щелкните Browse for CA Computer и введите имя компьютера, который является сервером для центра сертификации LH_CA_ISSUE1, либо нажмите кнопку Browse, чтобы найти этот компьютер. Когда нужный компьютер будет найден, нажмите кнопку Next.
 Примечание
Возможна также связь с сертификатом центра сертификации из локального хранилища сертификатов или путем импорта сертификата со съемного носителя в шаге 5.
7. Просмотрите сертификат и скопируйте точку распределения CRL для родительского корневого центра сертификации, RootCA1. Для этого выполните следующие операции:
a) откройте оснастку Certificate Services, затем выберите выпущенный сертификат;
б) дважды щелкните сертификат, затем перейдите на вкладку Details;
в) выполните прокрутку вниз до поля CRL Distribution Points;
г) выберите и скопируйте URL-адрес нужной точки распределения CRL;
д) нажмите кнопку ОК.
8. На странице Select Signing Certificate примите параметр по умолчанию, Automatically select signing certificate, затем нажмите кнопку Next.
9. На странице Revocation Provider выберите пункт Provider.
10. На странице Revocation Provider Properties нажмите кнопку Add, введите URL-адрес точки распределения CRL, затем нажмите кнопку OK.
11. Нажмите кнопку Finish.
12. С помощью оснастки Online Responder выберите конфигурацию отзыва, затем проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы также должны иметь возможность проверить свойства сертификата подписи, чтобы убедиться в правильности настройки сетевого ответчика.
|
Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройств
Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service) позволяет программному обеспечению на маршрутизаторах и других сетевых устройствах, работающих без учетных данных в домене, получать сертификаты.
Служба подачи заявок на регистрацию сетевых устройств работает как фильтр ISAPI в службе IIS, который выполняет следующие функции:
генерирует и предоставляет одноразовые пароли заявок администраторам;
обрабатывает запросы заявок протокола SCEP;
извлекает находящиеся в ожидании запросы из центра сертификации.
Протокол SCEP разработан в качестве расширения существующих протоколов HTTP, PKCS #10, PKCS #7, RFC 2459 и прочих стандартов для обеспечения выполнения центрами сертификации заявок на сертификаты сетевых устройств и приложений. Протокол SCEP определен и документально представлен на веб-узле группы IETF (http://go.microsoft.com/fwlink/?LinkId=71055) (на английском языке).
Прежде чем начинать выполнение процедуры, создайте пользователя ndes_user1 и добавьте этого пользователя в группу пользователей службы IIS. Затем воспользуйтесь оснасткой Certificate Templates для настройки разрешений Read и Enroll для этого пользователя в шаблоне сертификата IPSEC (автономный запрос).
Установка и настройка службы подачи заявок на регистрацию сетевых устройств
-
|
1. Войдите в систему компьютера LH_NDES в качестве администратора предприятия.
2. Запустите Add Roles Wizard (мастер добавления ролей). На странице Select Server Roles (выбор ролей сервера) установите флажок Active Directory Certificate Services, затем нажмите кнопку Next два раза.
3. На странице Select Role Services снимите флажок Certification Authority и установите флажок Network Device Enrollment Service.
Появится запрос об установке службы IIS и службы активации Windows.
4. Выберите Add Required Role Services, затем нажмите кнопку Next три раза.
5. На странице Confirm Installation Options нажмите кнопку Install.
6. После завершения установки проверьте страницу состояния, чтобы убедиться в успешном завершении установки.
7. Так как это новая установка и находящихся в ожидании запросов сертификатов SCEP нет, выберите пункт Replace existing Registration Authority (RA) certificates (заменить сертификаты существующего центра регистрации, затем нажмите кнопку Next.
При установке службы подачи заявок на регистрацию сетевых устройств на компьютер, на котором уже существует центр регистрации, существующий центр регистрации и все находящиеся в ожидании запросы сертификатов будут удалены.
8. На странице Specify User Account (определение учетной записи пользователя) щелкните пункт Select User (выбор пользователя) и введите имя пользователя ndes_user1 и пароль для этой учетной записи, который службы подачи заявок на регистрацию сетевых устройств будет использовать для авторизации запросов сертификатов. Нажмите кнопку OK, затем кнопку Next.
9. На странице Specify CA (назначение центра сертификации) установите флажок CA name (имя центра сертификации) или Computer name (имя компьютера), нажмите кнопку Browse (обзор), чтобы найти центр сертификации, который будет выпускать сертификаты службы подачи заявок на регистрацию сетевых устройств, LH_CA_ISSUE1, затем нажмите кнопку Next.
10. На странице Specify Registry Authority Information (определение информации центра регистрации) введите имя ndes_1 в поле RA name (имя центра регистрации). В поле Country/region установите флажок, соответствующий стране/региону, где вы находитесь, затем нажмите кнопку Next.
11. На странице Configure Cryptography (настройка криптографии) примите установленные по умолчанию значения подписи и ключей шифрования, затем нажмите кнопку Next.
12. Проверьте сведения о параметрах настройки, затем нажмите кнопку Install.
|
Этап 10. Проверка надлежащего функционирования настроенной расширенной тестовой среды AD CS
Проверять правильность выполнения приведенных выше шагов по настройке можно по мере их выполнения.
После завершения установки необходимо убедиться в правильности работы расширенной тестовой среды.
Проверка надлежащего функционирования настроенной расширенной тестовой среды AD CS
-
|
1. В центре сертификации настройте несколько шаблонов сертификатов для выполнения автоматических заявок на сертификаты для компьютера LH_CLI1 и пользователей этого компьютера.
2. После публикации информации о новых сертификатах в службу AD DS откройте командную строку на клиентском компьютере и введите следующую строку, чтобы начать автоматическую заявку на сертификат:
certutil -pulse
3. На клиентском компьютере с помощью оснастки Certificates проверьте правильность выпуска сертификатов для пользователя и компьютера.
4. В центре сертификации с помощью оснастки Certification Authority просмотрите и отзовите один или несколько выпущенных сертификатов, щелкнув команду Certification Authority (Computer)/CA name/Issued Certificates и выбрав сертификат, который необходимо отозвать. В меню Action, выберите пункт All Tasks, затем выберите команду Revoke Certificate. Выберите причину отзыва сертификата и нажмите кнопку Yes.
5. В оснастке Certification Authority опубликуйте новый список CRL, щелкнув команду Certification Authority (Computer)/CA name/Revoked Certificates в дереве консоли. В меню Action выберите пункт All Tasks, затем выберите команду Publish.
6. Удалите все расширения точки распределения CRL из выпускающего центра сертификации, открыв оснастку Certification Authority и выбрав центр сертификации. В меню Action выберите пункт Properties.
7. На вкладке Extensions проверьте, чтобы для настройки Select extension было установлено значение CRL Distribution Point (CDP).
8. Выберите любые точки распределения CRL в списке, нажмите кнопку Remove, затем нажмите кнопку OK.
9. Выключите или перезапустите службу AD CS.
10. Повторите приведенные выше шаги 1 и 2, затем проверьте, чтобы клиенты по-прежнему могли получить данные об отзыве. Для этого используйте оснастку Certificates, чтобы экспортировать сертификат в файл (*.cer). Введите в командной строке следующий текст:
certutil -url
11. В появившемся диалоговом окне Verify and Retrieve выберите команду From CDP и From OCSP и сравните результаты.
|
|
