Touche-à-tout : certificats en toute simplicité
Configurer votre propre mécanisme de génération de certificats de sécurité n’est pas aussi compliqué qu’il n’y paraît.
Greg Shields
Vous avez vu ce un million de fois avant. Il est peut-être dans un article sur la sécurisation d'IIS, ou peut-être que c'est une des étapes de la signature d'un script de Windows PowerShell. Il est sans doute une des instructions plus reviled que vous rencontrerez dans n'importe quel article de la base de connaissances informatiques. Il va ressembler à ceci: « Installer un certificat de confiance à l'aide d'un serveur de Services de certificats interne ou en achetant un à partir d'un public certificate authority [CA], puis … »
Argh. Les certificats sont la bête noire de notre existence. Programme d'installation est bien trop souvent un obstacle d'arrêt de travail. En règle générale, vous avez deux options. Les coûts premier vous rien, mais le temps et les efforts requis pour configurer votre propre serveur de Services de certificats. Le second exige que vous achetez un certificat à partir d'un tiers de confiance, qui peut coûter cher. Venez le coût approuvé peut être un défi.
Les certificats sont apparemment partout comme mécanismes de cryptage des données et d'authentification. Vous pourriez dire que les certificats ne si importantes, cependant. Par rapport aux autres solutions, ils sont un moyen facile de répondre à une demande de sécurité. Avec un serveur de Services de certificats Active Directory (AD CS) entièrement fonctionnel et les certificats racine approprié sur chaque ordinateur de bureau, création et déploiement d'un certificat vous en coûte rien, mais quelques minutes et quelques clics.
Toutefois, les étapes pour construire une infrastructure AD CS sont souvent susceptibles d'être un art obscures. Recherchez « installation certificate services » et vous y trouverez une longue liste de références, y compris les repères, les livres et les billets de blog qui risque de dérouter probablement plus d'assistance.
Une raison derrière cette complexité est lié à l'évolutivité des services AD CS. Son rôle de Windows Server peut répondre aux besoins d'une société de 80 000 aussi facilement qu'une des huit. Il possède tous les l'inscription automatique richesse que nécessite une grande entreprise. Ces fonctionnalités, smother, cependant, parfois plus petits groupes avec une complexité unfathomable.
Configuration de votre propre serveur AD CS après de nombreux avantages, pas le moindre est en éliminant la nécessité d'acheter des certificats d'une autre personne. Peut-être pas savoir, cependant, est que la création d'un simple n'est pas tout ce défi. L'astuce ignore la majeure partie de ce que vous lisez — sauf, bien sûr, que vous allez lire ensuite.
Créer un serveur CS facilement
Configuration de votre propre serveur AD CS requiert un peu plus qu'une instance de Windows Server. Effectuez la Standard Edition ou Enterprise Edition. Dans cet exemple, vous ne sont pas être à l'aide de l'inscription automatique ou modification des modèles de certificats. Vous aurez uniquement accès à celles-ci et d'autres fonctions avancées lorsque vous installez les services AD CS par-dessus Windows Server Enterprise Edition.
Services de certificats nécessite également peu en termes de ressources du serveur. Vous pouvez l'installer sur un serveur existant déjà été enclenchée par une autre tâche ou même une légère configurée machine virtuelle (VM). Si vous décidez de partager le rôle AD CS avec d'autres fonctions, soyez prudent ; retirer un serveur AD CS peut signifier à lancer ce processus partout à nouveau.
Lancez le Gestionnaire de serveur sur votre serveur et installer le rôle AD CS avec le service de rôle d'autorité de Certification. Vous serez invité à plusieurs questions pour commencer l'installation. Le premier définit le Type d'installation. La configuration la plus simple de AD CS est en mode autonome, afin de sélectionner ce mode lorsque vous y êtes invité.
Vous implémentez couramment des serveurs AD CS dans les grands environnements au sein d'une hiérarchie. Un ou plusieurs autorités de certification subordonnées fonctionnerait en combinaison avec une autorité de certification racine hors connexion. Votre implémentation simple ici ne requiert qu'une autorité de certification racine. Configurer votre serveur avec ce paramètre dans l'écran suivant.
Puis vous demandera une série de questions sur la création d'une clé privée pour le serveur. Créez une nouvelle clé privée et sélectionnez les paramètres par défaut pour la configuration de la cryptographie et le nom de votre autorité de certification. Vous devez également sélectionner une période de validité, les valeurs par défaut pour cinq ans. Cette période de validité identifie la plus longue période de temps que n'importe quel certificat est autorisé à « live ». En sélectionnant une plus longue période de validité ici, accorder une période plus longue avant de devoir mettre à jour le certificat de l'autorité de certification racine. Enfin, choisissez un emplacement pour votre base de données de certificat et ses fichiers journaux.
Là, vous avez installé votre serveur AD CS. En supposant que vous avez installé ce serveur comme un administrateur de domaine, il commencera automatiquement remplir son certificat racine sur tous les ordinateurs de votre domaine. Si vous avez tout fait correctement, vous devriez trouver bientôt certificat racine du serveur AD CS dans le magasin d'autorités de Certification racines de confiance sur un ordinateur. Le certificat racine pour le serveur AD CS dans cet exemple est mis en surbrillance dans les certificats MMC Microsoft Management Console () (voir Figure 1).
.jpg)
Figure 1 certificat racine de l'autorité de certification racine dans le Gestionnaire de certificats.
Émettre des certificats IIS
Étant donné que ce certificat d'autorité de certification racine se trouve dans votre magasin d'autorités de Certification racines de confiance, cet ordinateur va approuver maintenant les certificats émis par votre serveur AD CS. Ce niveau de confiance est exceptionnellement puissant. Elle vous permet d'émettre automatiquement des certificats à des fins spécifiques, telles que l'activation de HTTPS sur un serveur IIS. Examinons les étapes que vous utiliserez pour effectuer cette opération.
Vous devez créer un certificat de serveur de domaine pour activer HTTPS dans IIS. Pour ce faire dans la console Gestionnaire IIS en sélectionnant le nom du serveur, double-cliquez sur certificats de serveur, puis en cliquant sur le lien créer un certificat de domaine dans le volet Actions. Vous verrez un Assistant qui vous invite à entrer les informations requises du certificat. Entrez les informations et cliquez sur Suivant.
Deuxième écran de l'Assistant peut être un peu déroutant. Le bouton de sélection n'est pas toujours disponible pour sélectionner automatiquement un serveur AD CS. Si le bouton apparaît grisé, entrez les noms d'autorité de certification suivies du nom de serveur (voir Figure 2). L'autorité de certification dans cet exemple est la société-DC-CA droit sur le serveur contrôleur de domaine. Vous devrez également entrer un nom plus « convivial » pour votre serveur d'autorité de certification.
.jpg)
Figure 2 spécifier une autorité de Certification en ligne.
Cliquez sur Terminer pour demander le certificat. Par défaut, les services AD CS requiert l'approbation administrateur pour émettre un certificat, afin que vous verrez probablement un message d'erreur. Ce message d'erreur vous permet de savoir la demande de certificat a réussi, mais l'autorité n'a pas émettre automatiquement le certificat (voir Figure 3).
.jpg)
Figure 3 ce message indique une demande réussie d'émission de certificat en attente.
Revenir à la console Autorité de certification et cliquez sur demandes en attente. Vous devriez voir le certificat demandé. Cliquez sur la demande et cliquez sur délivrer pour délivrer le certificat (voir Figure 4). À ce stade, le transfert qui délivré certificat précédent pour IIS nécessite une importation et exportation de processus à partir de l'autorité de certification à IIS Manager.
.jpg)
Figure 4 numéro de certificat.
Dans la console Autorité de certification, cliquez sur certificats délivrés et double-cliquez sur le certificat à transférer. Sélectionnez Détails | Copiez le fichier pour lancer l'Assistant Exportation de certificat. Exportez le certificat dans un fichier en tant qu'un DER codé binaire certificat X.509 avec une extension .cer.
Enfin, retour dans le Gestionnaire IIS, sélectionnez une demande de certificat complète et pointez l'Assistant qui en résulte pour le fichier que vous venez de créer. Vous pouvez désormais utiliser ce certificat permettant la communication HTTPS.
Maintenir la sécurité de ces certificats
Vous devez effectuer ces opérations supplémentaires dans la mesure où les services AD CS dans Windows Standard Edition ne peut pas utiliser Active Directory afin de vérifier qui a autorisé à demander des certificats. Par conséquent, les certificats restent dans les demandes en attente jusqu'à ce que vous émettiez manuellement les. Vous pouvez ajuster un paramètre dans le Module de stratégie de serveur AD CS pour permettre l'approbation automatique de tous les certificats, mais qui n'est pas une bonne idée. L'activation de la délivrance automatique serait n'importe qui permettent de créer un certificat approuvé automatiquement à des fins — pas exactement une bonne pratique de sécurité.
Windows Server Enterprise Edition comprend d'autres fonctions qui en font un candidat intéressant pour les services AD CS. Vous pouvez personnaliser les modèles de certificats et émettre des certificats pour les utilisations spéciales telles que la signature des scripts de Windows PowerShell (appelées certificats v2 et v3). Cela nécessite un certificat de signature de Code qui n'est pas disponible pour les services AD CS dans Windows Server Standard Edition. Autres fonctionnalités de Windows Server Enterprise Edition vous permettent de mettre à niveau une instance AD CS simple dans une infrastructure à clé publique complète.
Consultez les certificats ne sont vraiment pas si mauvais que ça. Dieu sait que vous en avez besoin. Créer votre propre infrastructure de certificat n'a pas besoin d'être difficile. Commencez à simple avec la conception de votre autorité de certification.
.jpg)
Greg Shields, MVP, est l'un des partenaires de Concentrated Technology. Tirez le maximum des boucliers touche-à-tout ont des astuces au ConcentratedTech.com.