Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma obsahuje následující části.
Součásti nasazení certifikátů serveru
Tuto příručku můžete použít k instalaci služby Active Directory Certificate Services (AD CS) jako kořenové certifikační autority (CA) organizace a k registraci certifikátů serveru na servery, na kterých běží server NPS (Network Policy Server), služba směrování a vzdálený přístup (RRAS), nebo NPS i RRAS.
Pokud nasadíte SDN s ověřováním na základě certifikátů, musí servery použít certifikát serveru k prokázání jejich identit na jiných serverech, aby zajistily zabezpečenou komunikaci.
Následující obrázek znázorňuje komponenty potřebné k nasazení serverových certifikátů na servery v infrastruktuře SDN.
Note
Na obrázku výše je znázorněno více serverů: DC1, CA1, WEB1 a mnoho serverů SDN. Tato příručka obsahuje pokyny pro nasazení a konfiguraci CA1 a WEB1 a pro konfiguraci řadiče domény DC1, což tento průvodce předpokládá, že už máte v síti nainstalovanou. Pokud jste ještě nenainstalovali doménu služby Active Directory, můžete to udělat pomocí průvodce základní sítí pro Windows Server 2016.
Další informace o každé položce znázorněné na obrázku výše najdete v následujících tématech:
CA1 s rolí serveru AD CS spuštěnou
V tomto scénáři je certifikační autorita (CA) Enterprise Root také vydávající certifikační autoritou. Certifikační autorita vydává certifikáty pro serverové počítače, které mají správná oprávnění zabezpečení k registraci certifikátu. Služba AD CS (Active Directory Certificate Services) je nainstalovaná v CA1.
U větších sítí nebo v případě, že obavy zabezpečení poskytují odůvodnění, můžete oddělit role kořenové certifikační autority a vydávající certifikační autority a nasadit podřízené certifikační autority, které vystavují certifikační autority.
V nejbezpečnějších nasazeních se kořenová certifikační autorita Enterprise přepíná do offline režimu a fyzicky zabezpečuje.
CAPolicy.inf
Před instalací služby AD CS nakonfigurujete soubor CAPolicy.inf s konkrétním nastavením pro vaše nasazení.
Kopie šablony certifikátu serverů RAS a IAS
Při nasazování certifikátů serveru vytvoříte jednu kopii šablony certifikátu serverů RAS a IAS a pak šablonu nakonfigurujete podle svých požadavků a pokynů v této příručce.
Místo původní šablony použijete kopii šablony, aby se zachovala konfigurace původní šablony pro možné budoucí použití. Nakonfigurujete kopii šablony serverů RAS a IAS tak, aby certifikační autorita vytvořila certifikáty serveru, které vystavuje skupinám v zadaných uživatelích a počítačích služby Active Directory.
Další konfigurace CA1
Certifikační autorita publikuje seznam odvolaných certifikátů (CRL), který musí počítače zkontrolovat, aby se zajistilo, že certifikáty, které jsou jim prezentovány jako doklad o identitě, jsou platné a nebyly odvolány. Musíte nakonfigurovat svou certifikační autoritu se správným umístěním CRL, aby počítače věděly, kde během procesu ověřování CRL hledat.
WEB1 s aktivní rolí serveru webových služeb (IIS)
Na počítači, na kterém je spuštěna role serveru webový server (IIS), WEB1, je nutné vytvořit složku v Průzkumníku Windows, která bude sloužit jako umístění pro CRL a AIA.
Virtuální adresář pro CRL a AIA
Po vytvoření složky v Průzkumníku Windows musíte složku nakonfigurovat jako virtuální adresář ve Správci internetové informační služby (IIS) a také nakonfigurovat seznam řízení přístupu pro virtuální adresář tak, aby počítače po publikování v něm mohly přistupovat k AIA a seznamu CRL.
DC1 se spuštěnými rolemi serveru AD DS a DNS
DC1 je řadič domény a server DNS ve vaší síti.
Zásady skupiny - výchozí zásady domény
Po nakonfigurování šablony certifikátu v certifikační autoritě můžete nakonfigurovat výchozí zásady domény v zásadách skupiny tak, aby se certifikáty automaticky zahrnuly na servery NPS a RAS. Zásady skupiny jsou konfigurovány ve službě AD DS na serveru DC1.
Záznam prostředku DNS aliasu (CNAME)
Pro webový server musíte vytvořit záznam prostředku aliasu (CNAME), abyste zajistili, že ostatní počítače můžou server najít, stejně jako AIA a CRL, které jsou uložené na serveru. Použití aliasového záznamu CNAME navíc poskytuje flexibilitu, abyste mohli webový server používat pro různé účely, například pro hostování webových a FTP serverů.
Server NPS1 s rolí služby Server zásad sítě v rámci role serveru Zásady sítě a přístupu
NpS se nainstaluje při provádění úloh v Příručce k základní síti Windows Serveru 2016, takže před provedením úkolů v této příručce byste už měli mít v síti nainstalovaný jeden nebo více serverů NPS.
Použité zásady skupiny a certifikát zaregistrovaný na servery
Po nakonfigurování šablony certifikátu a automatického zápisu můžete aktualizovat zásady skupiny na všech cílových serverech. V tuto chvíli servery zaregistrují certifikát serveru z CA1.
Přehled procesu nasazení certifikátu serveru
Note
Podrobnosti o provedení těchto kroků najdete v části Nasazení certifikátu serveru.
Proces konfigurace zápisu certifikátů serveru probíhá v těchto fázích:
Na serveru WEB1 nainstalujte roli Web Server (IIS).
Na řadiči domény DC1 vytvořte záznam aliasu (CNAME) pro webový server WEB1.
Nakonfigurujte webový server tak, aby hostil seznam CRL od certifikační autority, pak publikujte seznam CRL a zkopírujte certifikát kořenové certifikační autority organizace do nového virtuálního adresáře.
Na počítači, na kterém plánujete nainstalovat službu AD CS, přiřaďte počítači statickou IP adresu, přejmenujte počítač, připojte počítač k doméně a přihlaste se k počítači pomocí uživatelského účtu, který je členem skupin Domain Admins a Enterprise Admins.
Na počítači, na kterém plánujete nainstalovat službu AD CS, nakonfigurujte soubor CAPolicy.inf s nastavením, která jsou specifická pro vaše nasazení.
Nainstalujte roli serveru AD CS a proveďte další konfiguraci certifikační autority.
Zkopírujte CRL a CA certifikát od CA1 do sdílené složky na webovém serveru WEB1.
V certifikační autoritě nakonfigurujte kopii šablony certifikátu RAS a IAS Servers. Certifikační autorita vydává certifikáty založené na šabloně certifikátu, takže musíte nakonfigurovat šablonu pro certifikát serveru, aby certifikační autorita mohl vydat certifikát.
Konfigurace automatického zápisu certifikátu serveru v zásadách skupiny Když nakonfigurujete automatické přihlášení, všechny servery, které jste zadali s členstvím ve skupinách Active Directory, automaticky obdrží certifikát serveru, když se na každém serveru aktualizují zásady skupiny. Pokud později přidáte další servery, automaticky obdrží také certifikát serveru.
Aktualizujte zásady skupiny na serverech. Při aktualizaci zásad skupiny servery obdrží certifikát serveru, který je založený na šabloně, kterou jste nakonfigurovali v předchozím kroku. Tento certifikát používá server k prokázání své identity klientským počítačům a dalším serverům během procesu ověřování.
Note
Všechny členské počítače domény automaticky obdrží certifikát kořenové certifikační autority organizace bez konfigurace automatického zápisu. Tento certifikát se liší od certifikátu serveru, který konfigurujete a distribuujete pomocí automatického zápisu. Certifikát certifikační autority se automaticky nainstaluje do úložiště certifikátů důvěryhodných kořenových certifikačních autorit pro všechny členské počítače domény, aby důvěřovaly certifikátům vydaným touto certifikační autoritou.
Ověřte, že všechny servery zaregistrovaly platný certifikát serveru.