Handleiding voor het Basisnetwerk: De Computer en gebruiker certificaten implementatie
Van toepassing op: Windows Server 2012
De Windows Server® 2012 Core netwerkhandleiding bevat instructies voor het plannen en implementeren van de componenten die vereist zijn voor een volledig functionerende netwerk en een nieuw domein Active Directory® in een nieuw forest.
Deze handleiding wordt uitgelegd hoe zijn gebaseerd op het Basisnetwerk met behulp van instructies voor het implementeren van client-computer- en gebruikerscertificaten met Active Directory Certificate Services (AD CS).
Deze handleiding bevat de volgende secties.
Vereisten voor het gebruik van deze handleiding
Over deze handleiding
Wat deze handleiding niet biedt
Technologieoverzicht
Vereisten voor het gebruik van deze handleiding
Dit is een aanvullende handleiding bij de handleiding voor het basisnetwerk van Windows Server 2012. Voor het implementeren van computer- en gebruikerscertificaten met deze handleiding, moet u eerst het volgende doen.
Een Basisnetwerk met behulp van de Guide Core netwerk implementeren of al hebben de technologieën opgegeven in de Core netwerk Guide geïnstalleerd en correct werkt op uw netwerk. Deze technologieën zijn TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS, NPS en Webserver (IIS).
Notitie
De Windows Server 2012 Core netwerk Guide is beschikbaar in de Windows Server 2012 technische bibliotheek (https://go.microsoft.com/fwlink/?LinkId=154884).
De handleiding Core netwerk is ook beschikbaar in Word-indeling op de Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).
Als u computercertificaten of gebruikerscertificaten voor verificatie van netwerktoegang met verificatiemethoden op basis van certificaten, moet u servercertificaten implementeren naar NPS-servers, RRAS-servers of beide met behulp van de handleiding voor het Basisnetwerk: certificaat serverimplementatie; of u al een public key infrastructure (PKI) hebt geïmplementeerd en certificaten die voldoen aan de vereisten voor netwerk-verificatie.
Notitie
De Windows Server 2012 handleiding voor het Basisnetwerk: certificaat-serverimplementatie is beschikbaar in de Windows Server 2012 technische bibliotheek (https://go.microsoft.com/fwlink/p/?LinkId=251948).
De handleiding voor het Basisnetwerk: Certificaat-serverimplementatie is ook beschikbaar in Word-indeling op de Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7).
Over deze handleiding
Deze handleiding bevat instructies voor het implementeren van client-computer- en gebruikerscertificaten domeinleden en domeingebruikers via AD CS.
Certificaten worden gebruikt voor authenticatie van netwerktoegang, omdat ze sterke beveiliging bieden voor het verifiëren van gebruikers en computers en minder veilige authenticatiemethoden overbodig maken.
Wanneer u Extensible Authentication Protocol met Transport Layer Security (EAP-TLS) of beveiligde EAP met TLS (PEAP-TLS) implementeert, certificaten zijn vereist voor de verificatie van servers en voor client-computers of gebruikers tijdens netwerk verbindingspogingen via netwerktoegangsservers, zoals 802. 1 X-compatibele switches en draadloze toegang punten, virtueel particulier netwerk (VPN)-servers en computers met Windows Server 2012 en extern bureaublad-Gateway (RD-Gateway) of Windows Server 2008 en Terminal Services Gateway (TS Gateway).
Notitie
Alle deze netwerktoegangsservers heten Remote Authentication Dial-In User Service (RADIUS)-clients, omdat deze het RADIUS-protocol gebruiken voor verbindingsaanvragen en andere RADIUS-berichten verzenden naar RADIUS-servers. RADIUS-servers verwerken van de verbindingsaanvragen en verificatie en autorisatie. De RADIUS-server en proxy in Windows Server 2012 Network Policy Server (NPS) is.
Implementatie van certificaten met AD CS voor EAP- en PEAP op basis van certificaten verificatiemethoden biedt de volgende voordelen:
Beveiliging met verificatie op basis van certificaten, wat koppelt u de identiteit van de server met NPS, RRAS-server, gebruiker of clientcomputer met een persoonlijke sleutel
Rendabele en veilige methode voor het beheren van certificaten, zodat u automatisch inschrijven, vernieuwen en intrekken van certificaten voor domein-computers en gebruikers van een domein
Een efficiënte manier voor het beheer van certificeringsinstanties (CA's)
De mogelijkheid voor het implementeren van andere typen certificaten die worden gebruikt voor andere doeleinden dan de computer, gebruiker of server-verificatie. Bijvoorbeeld, kunt u certificaten waarmee gebruikers de mogelijkheid om digitaal te ondertekenen e-mail implementeren of u kunt certificaten gebruikt voor ondertekening van programmacode in software.
Deze handleiding is bedoeld voor netwerk- en beheerders hebben gevolgd, de instructies in de Windows Server 2012 Core netwerkhandleiding voor het implementeren van een netwerk of voor gebruikers die de technologieën die zijn opgenomen in het Basisnetwerk eerder hebt geïmplementeerd, met inbegrip van Active Directory Domain Services (AD DS), Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, Network Policy Server (NPS) en Web Server (IIS).
U wordt aangeraden de ontwerp- en implementatiehandleidingen te raadplegen voor de technologieën die worden gebruikt in dit implementatiescenario. Deze handleidingen kunt u bepalen of dit implementatiescenario biedt de services en configuratie die u nodig hebt voor het netwerk van uw organisatie.
Vereisten voor het implementeren van computer- en gebruikerscertificaten
Hier volgen de vereisten voor het implementeren van client-computer- en gebruikerscertificaten met behulp van automatische inschrijving:
AD DS is geïnstalleerd, zoals andere netwerktechnologieën zijn volgens de instructies in de Windows Server 2012 Core netwerk Guide.
Als u automatische inschrijving van client-computer- en gebruikerscertificaten, uw CA moet worden uitgevoerd de Windows Server 2008 of Windows Server® 2008 R2 Enterprise of Datacenter besturingssysteem en moet worden van een verlenende Certificeringsinstantie; of uw CA moet worden uitgevoerd de Windows Server 2012 Standard, Enterprise of Datacenter-besturingssysteem en moet een verlenende CA. Hoewel AD CS kan worden geïmplementeerd op een enkele server, veel implementaties een twee lagen public key infrastructure gebruiken met meerdere servers die zijn geconfigureerd als onderliggende CA's.
Voor het implementeren van EAP-TLS of PEAP-TLS servercertificaten aan NPS-servers moeten worden ingeschreven en, indien u RRAS-servers gebruikt als een virtueel particulier netwerk (VPN)-servers op computers met Windows Server 2008, Windows Server® 2008 R2, of Windows Server 2012 en Routing and Remote Access service (RRAS). Deze handleiding wordt ervan uitgegaan dat u ingeschreven servercertificaten in overeenstemming met hebt de Windows Server 2012 handleiding voor het Basisnetwerk: implementatie van certificaten, die beschikbaar is in HTML-indeling in de Windows Server 2012 technische bibliotheek (https://technet.microsoft.com/en-us/library/jj125379).
Notitie
Als u een of meer RRAS-servers als VPN-servers implementeert en u geen NPS geïnstalleerd hebt, netwerkbeleid en de verificatiemethoden opgenomen in dit beleid zijn geconfigureerd afzonderlijk per RRAS-server, die veel tijd in beslag en mogelijkheden voor configuratiefouten kunt maken. Wanneer u NPS installeert, kunt u RRAS-servers configureren als RADIUS-clients in NPS en NPS vervolgens worden gebruikt voor het centraal beheren van beleid en de verificatiemethoden per beleid gebruikt.
Als u wilt implementeren PEAP of EAP voor VPN, moet u de Routing and Remote Access geconfigureerd als een VPN-server implementeren. Het gebruik van NPS is optioneel. Als u meerdere VPN-servers hebt, wordt met behulp van NPS echter aanbevolen voor het vereenvoudigen van beheer en de RADIUS-accounting-services die NPS biedt.
PEAP of EAP implementeren voor TS-Gateway in Windows Server 2008 of RD-Gateway in Windows Server 2012, moet u implementeren TS-Gateway en NPS of RD-Gateway en NPS, respectievelijk.
Voor het implementeren van PEAP of EAP voor 802. 1 X beveiligde bekabelde of draadloze, moet u implementeren NPS en extra hardware, zoals 802. 1 X-compatibele switches of draadloze toegangspunten.
Wat deze handleiding niet biedt
Deze handleiding biedt geen informatie over het volgende:
Het implementeren van client-computer- en gebruikerscertificaten met smartcards.
Het implementeren van automatische inschrijving voor certificaten.
Het ontwerpen en implementeren van een openbare-sleutelinfrastructuur (PKI) met behulp van AD CS. Het is raadzaam om AD CS-ontwerp en implementatie documentatie voordat de technologieën in deze handleiding wordt geïmplementeerd. Zie voor meer informatie aanvullende bronnen.
Het implementeren van het netwerk toegangstechnologieën voor welke server certificaten kunnen worden gebruikt. Mogelijk zijn er andere companion-handleidingen beschikbaar die instructies voor het implementeren van deze toegang netwerktoegangsoplossingen bieden. U kunt ook de NPS-documentatie voor deze informatie te bekijken.
Technologieoverzicht
Hieronder vindt u overzichten technologie voor de clientcomputer en gebruikerscertificaten, EAP PEAP en AD CS.
AD CS
AD CS in Windows Server 2012 biedt aanpasbare services voor het maken en beheren van de X.509-certificaten die worden gebruikt in softwarebeveiligingssystemen waarmee u de openbare sleutel technologieën. Organisaties kunnen AD CS gebruiken om beveiliging te verbeteren door de identiteit van een persoon, apparaat of service binden aan een bijbehorende openbare sleutel. AD CS bevat tevens functies waarmee u kunt het certificaat inschrijven en intrekken in verschillende schaalbare omgevingen beheren.
Client-computer- en gebruikerscertificaten
Wanneer u EAP-TLS of PEAP-TLS implementeert, kunt u computercertificaten voor verificatie van clientcomputer en/of de certificaten voor verificatie van gebruikers kunt implementeren.
Notitie
EAP biedt geen mechanismen om dubbele verificatie uitvoeren — dat wil zeggen, de verificatie van zowel de computer die wordt gebruikt voor toegang tot het netwerk en de gebruiker die u probeert verbinding te maken. Daarom moet u niet verplicht computer en gebruiker om certificaten te verlenen wanneer u EAP- en PEAP met verificatie op basis van certificaat typen implementeert.
Er zijn twee methoden voor het implementeren van client-computer- en gebruikerscertificaten:
Smartcards. Wanneer u certificaten met behulp van smartcards implementeert, moet u extra hardware om te voorzien van certificaten op gebruikers-id of andere kaarten die uw werknemers gebruiken om aan te melden met het netwerk aanschaffen. Bovendien kunnen gebruikers moeten worden opgegeven met smartcardlezers die worden gebruikt voor het lezen van het certificaat dat wordt geplaatst op de smartcard wanneer ze zich aanmelden.
Belangrijk
Deze handleiding biedt geen informatie over het implementeren van client-computer- en gebruikerscertificaten met smartcards.
Met behulp van automatische inschrijving. Wanneer u certificaten met behulp van automatische inschrijving implementeert, configureert u de CA automatisch om certificaten te registreren op computers die lid van de groep Domeincomputers zijn en voor gebruikers die lid van de groep Domeingebruikers zijn. Er zijn geen extra hardware is vereist voor automatische van inschrijvingscertificaten, omdat de certificaten zijn opgeslagen op de computer die verbinding met het netwerk maakt. Wanneer een computer een certificaat van de computer of gebruiker van de CA ontvangt, wordt het certificaat lokaal opgeslagen in een gegevensarchief met de naam het certificaatarchief.
Belangrijk
U moet certificaten alleen voor computers en gebruikers aan wie u netwerktoegang wilt verlenen via een RADIUS-clients inschrijven. U hoeft niet te automatische van inschrijvingscertificaten voor alle leden van de groepen Domeingebruikers en domeincomputers. In plaats daarvan kunt u certificaten om subsets van de groepen Domeingebruikers en Domeincomputers uitgeven zoals Sales-team of de afdeling boekhouding. De groepen maken om certificaten te registreren voor andere groepen, en vervolgens leden toevoegen aan groepen in Active Directory: gebruikers en Computers. In de module Certificaatsjablonen de groepen Domeingebruikers of Domeincomputers uit de toegangsbeheerlijst (ACL) voor de certificaatsjablonen verwijderen (de sjabloon gebruiker en de sjabloon voor verificatie van werkstation, respectievelijk), en voeg de groepen die u hebt gemaakt aan de sjabloon.
Certificaatarchief
Op computers waarop de Windows-besturingssysteem, certificaten die zijn geïnstalleerd op de computer worden opgeslagen in een aangeroepen opslaggebied de certificaatarchief. Het certificaatarchief is toegankelijk via de module Certificaten Microsoft Management Console (MMC) in.
Dit archief bevat meerdere mappen waarin de certificaten van verschillende typen worden opgeslagen. Het certificaatarchief bevat bijvoorbeeld een vertrouwde basiscertificeringsinstanties map waar de certificaten uit alle vertrouwde basiscertificeringsinstanties worden gehouden.
Wanneer uw organisatie implementeert een PKI en installeert een persoonlijke vertrouwde basis-CA met verzendt AD CS, de CA automatisch het certificaat naar alle computers die domein lid in de organisatie. De domein-client en server computers opslaan van de certificeringsinstantie in de map vertrouwde basiscertificeringsinstanties in de huidige gebruiker en de certificaatarchieven van de lokale Computer. Nadat u dit probleem optreedt, vertrouwt de domeinleden certificaten die zijn uitgegeven door het vertrouwde basis-CA.
Op dezelfde manier als u automatische inschrijving van computercertificaten aan de clients, het certificaat wordt opgeslagen in het persoonlijke certificaatarchief van de lokale Computer. Wanneer u automatische van inschrijvingscertificaten voor gebruikers, het gebruikerscertificaat wordt opgeslagen in het persoonlijke certificaatarchief van de huidige gebruiker.
EAP
EAP (Extensible Authentication Protocol) is een uitbreiding van PPP (Point-to-Point Protocol) doordat willekeurige verificatiemethoden worden ingeschakeld die referenties en informatie van willekeurige lengte uitwisselen. EAP is ontwikkeld als reactie op de vraag naar verificatiemethoden waarbij zoals smartcards, token kaarten en crypto rekenmachines beveiligingsapparaten. EAP is een industriestandaard-architectuur voor extra verificatiemethoden binnen PPP.
Met EAP kan een willekeurige verificatiemethode gebruikt om te controleren of de identiteit van de client en server die een netwerk-verbinding tot stand brengt. Het verificatieschema moet worden gebruikt wordt door de toegangsclient en de verificator (network access server of de RADIUS-server) onderhandeld.
Succesvolle verificatie optreden, de netwerk-client en de verificator (zoals de NPS) moeten ondersteuning bieden voor hetzelfde EAP-type.
Belangrijk
Sterke EAP-typen (zoals de objecten die zijn gebaseerd op certificaten) bieden een betere bescherming tegen beveiligingsaanvallen, woordenlijst aanvallen en het wachtwoord wordt geraden aanvallen dan wachtwoord gebaseerde verificatieprotocollen (zoals CHAP of MS-CHAP versie 1).
EAP in Windows Server 2012
Windows Server 2012 bevat een EAP-infrastructuur, twee EAP-typen en de mogelijkheid om door te geven van EAP-berichten voor een RADIUS-server (EAP-RADIUS) zoals NPS.
Met behulp van EAP, kunt u aanvullende verificatiemethoden bekend als EAP-typen ondersteunen. De EAP-typen worden ondersteund door Windows Server 2012 zijn:
Transport Layer Security (TLS). EAP-TLS vereist het gebruik van computercertificaten of gebruikerscertificaten naast servercertificaten die op computers met NPS zijn geregistreerd.
Microsoft Challenge-Handshake Authentication Protocol, versie 2 (MS-CHAP v2). Deze EAP-type is een protocol op basis van wachtwoorden. Bij gebruik in EAP als verificatiemethode EAP-MS-CHAP v2 bieden NPS en RRAS-servers een servercertificaat als identiteitsbewijs op clientcomputers, terwijl gebruikers hun identiteit met een gebruikersnaam en wachtwoord bewijzen.
Getunneld Transport Layer Security (TTLS). EAP-TTLS is nieuw in Windows Server 2012 en is niet beschikbaar in andere versies van Windows Server. EAP-TTLS is een op standaarden gebaseerde EAP-tunnelmethode die wederzijdse authenticatie ondersteunt. EAP-TTLS biedt een beveiligde tunnel voor clientauthenticatie op basis van EAP-methoden en andere verouderde protocollen. EAP-TTLS biedt u ook de mogelijkheid EAP-TTLS te configureren op clientcomputers voor netwerktoegangsoplossingen waarin andere dan Microsoft RADIUS-servers (Remote Authentication Dial In User Service) die ondersteuning bieden voor EAP-TTLS voor authenticatie worden gebruikt.
U kunt bovendien andere niet - Microsoft-EAP-modules installeren op de server met NPS of Routing and Remote Access zodat andere EAP-typen voor verificatie. In de meeste gevallen, als u extra EAP-typen op servers installeren, moet u ook installeren overeenkomende EAP-verificatie clientonderdelen op clientcomputers zodat de client en server is een verificatiemethode die moet worden gebruikt voor verbindingsaanvragen kunnen onderhandelen.
PEAP
PEAP gebruikt TLS om een versleutelde kanaal tussen een verificatie PEAP-client, zoals een draadloze computer en een PEAP-verificator, zoals een server met NPS of andere RADIUS-server te maken.
PEAP geeft geen verificatiemethode, maar het extra beveiliging biedt voor andere EAP-verificatieprotocollen (zoals EAP-MSCHAP v2) die via het TLS-versleutelde kanaal dat door PEAP kunnen werken. PEAP wordt gebruikt als een verificatiemethode voor-clients die verbinding met het netwerk van uw organisatie via de volgende soorten netwerktoegangsservers maakt:
802. 1 X-compatibele draadloze toegangspunten
Draadloze 802. 1 X verificatie switches
Computers met Windows Server 2012 of Windows Server 2008 R2 en RRAS die zijn geconfigureerd als VPN-servers
Computers met Windows Server 2012 of Windows Server 2008 R2 en RD-Gateway
Functies van PEAP
Betere EAP-protocollen en netwerkbeveiliging, biedt PEAP:
Een TLS-kanaal dat biedt beveiliging voor EAP-onderhandeling tussen de client en server. Dit TLS-kanaal helpt voorkomen dat aanvallers injecteren pakketten tussen de client en de network access server leiden tot het onderhandelen over een minder veilige EAP-type. Het versleutelde TLS-kanaal ook voorkomt denial of service-aanvallen op de NPS-server.
Ondersteuning voor de fragmentatie en samenvoegen van berichten, waarmee het gebruik van EAP-typen die deze functionaliteit bieden.
Clients met de mogelijkheid om de NPS of andere RADIUS-server te verifiëren. Omdat de server ook de client sprake van wederzijdse verificatie verifieert.
Bescherming tegen de implementatie van een niet-geautoriseerde toegangspunt op het moment waarop de EAP-client verifieert het certificaat dat is opgegeven door de NPS-server. Bovendien wordt het TLS-geheim dat is gemaakt door de verificator PEAP en de client niet gedeeld met het toegangspunt. Als gevolg hiervan moet het toegangspunt kan de berichten die zijn beveiligd door PEAP niet ontsleutelen.
Snel opnieuw verbinding maken, die de vertraging tussen een verificatieaanvraag door een client en het antwoord op de NPS of andere RADIUS-server wordt beperkt. Snel opnieuw verbinding maken kunt u ook draadloze clients te verplaatsen tussen toegangspunten die zijn geconfigureerd als RADIUS-server zonder herhaalde verificatieaanvragen RADIUS-clients. Dit vermindert de bronvereisten voor de client en de server en zo klein mogelijk houdt het aantal keren dat gebruikers wordt gevraagd om referenties.
EAP-TLS- en PEAP-TLS implementatie-overzicht
Hier volgen de algemene stappen voor het implementeren van EAP-TLS of PEAP-TLS:
Implementeer netwerktoegangsservers (RADIUS-clients) die EAP en RADIUS-compatibel zijn.
Automatische inschrijving van certificaten met NPS-servers en, indien van toepassing, Routering en RAS-VPN-servers.
Automatische inschrijving computercertificaten, gebruikerscertificaten of beide lidcomputers zijn van het domein en gebruikers, respectievelijk of aan andere groepen die u hebt gemaakt.
Configureer netwerktoegangsservers als RADIUS-clients in NPS.
EAP-verificatie in NPS of RRAS netwerkbeleid configureren.
Zorg ervoor dat clientcomputers EAP ondersteunen. Standaard Windows® 8, Windows® 7, en Windows Vista® EAP ondersteunen.
Groepsbeleid
Groepsbeleid in Windows Server 2012 is een infrastructuur waarmee een of meer gewenste configuraties of beleidsinstellingen worden geleverd aan een reeks specifieke gebruikers en computers binnen een Active Directory-omgeving. Deze infrastructuur bestaat uit een groepsbeleid-engine en meerdere clientextensies die verantwoordelijk zijn voor het lezen van beleidsinstellingen op doelclientcomputers. Groepsbeleid wordt gebruikt in dit scenario te schrijven en distribueren van certificaten voor gebruikers, computers of beide.