Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit onderwerp bevat de volgende secties.
Onderdelen voor de implementatie van servercertificaten
U kunt deze handleiding gebruiken om Active Directory Certificate Services (AD CS) te installeren als een basiscertificeringsinstantie (CA) van een onderneming en om servercertificaten in te schrijven op servers waarop NPS (Network Policy Server), Routing and Remote Access Service (RRAS) of zowel NPS als RRAS worden uitgevoerd.
Als u SDN implementeert met verificatie op basis van certificaten, moeten servers een servercertificaat gebruiken om hun identiteit aan andere servers te bewijzen, zodat deze beveiligde communicatie tot stand brengen.
In de volgende afbeelding ziet u de onderdelen die nodig zijn voor het implementeren van servercertificaten op servers in uw SDN-infrastructuur.
Opmerking
In de bovenstaande illustratie zijn meerdere servers afgebeeld: DC1, CA1, WEB1 en veel SDN-servers. Deze handleiding bevat instructies voor het implementeren en configureren van CA1 en WEB1 en voor het configureren van DC1, waarvan deze handleiding aanneemt dat u deze al op uw netwerk hebt geïnstalleerd. Als u uw Active Directory-domein nog niet hebt geïnstalleerd, kunt u dit doen met behulp van de Core Network Guide voor Windows Server 2016.
Zie het volgende voor meer informatie over elk item dat in de bovenstaande afbeelding is afgebeeld:
CA1 met de functie AD CS-server
In dit scenario is de basiscertificeringsinstantie (CA) van de onderneming ook een uitgevende certificeringsinstantie. De certificeringsinstantie verleent certificaten aan servercomputers die over de juiste beveiligingsmachtigingen beschikken om een certificaat in te schrijven. Active Directory Certificate Services (AD CS) is geïnstalleerd op CA1.
Voor grotere netwerken of wanneer beveiligingsproblemen een rechtvaardiging bieden, kunt u de rollen van basis-CA en uitgevende CA scheiden en onderliggende CA's implementeren die CA's uitgeven.
In de veiligste implementaties wordt de basis-CA van Enterprise offline gehaald en fysiek beveiligd.
CAPolicy.inf
Voordat u AD CS installeert, configureert u het CAPolicy.inf-bestand met specifieke instellingen voor uw implementatie.
Kopie van de certificaatsjabloon voor RAS- en IAS-servers
Wanneer u servercertificaten implementeert, maakt u één kopie van de RAS- en IAS-serverscertificaatsjabloon en configureert u de sjabloon vervolgens op basis van uw vereisten en de instructies in deze handleiding.
U gebruikt een kopie van de sjabloon in plaats van de originele sjabloon, zodat de configuratie van de oorspronkelijke sjabloon behouden blijft voor mogelijk toekomstig gebruik. U configureert de kopie van de RAS- en IAS-serversjabloon , zodat de certificeringsinstantie servercertificaten kan maken die worden verleend aan de groepen in Active Directory: gebruikers en computers die u opgeeft.
Aanvullende CA1-configuratie
De certificeringsinstantie publiceert een certificaatintrekkingslijst (CRL) die computers moeten controleren om er zeker van te zijn dat certificaten die als identiteitsbewijs aan hen worden aangeboden, geldige certificaten zijn en niet zijn ingetrokken. U moet de certificeringsinstantie configureren met de juiste locatie van de CRL, zodat computers weten waar ze de CRL moeten zoeken tijdens het verificatieproces.
WEB1 met de serverfunctie Web Services (IIS)
Op de computer waarop de serverfunctie Web Server (IIS), WEB1, wordt uitgevoerd, moet u een map maken in Windows Verkenner die u kunt gebruiken als locatie voor de CRL en AIA.
Virtuele map voor de CRL en AIA
Nadat u een map hebt gemaakt in Windows Verkenner, moet u de map configureren als een virtuele map in IIS-beheer (Internet Information Services) en moet u de toegangsbeheerlijst voor de virtuele map configureren zodat computers toegang hebben tot de AIA en CRL nadat ze daar zijn gepubliceerd.
DC1 met de AD DS- en DNS-serverrollen
DC1 is de domeincontroller en DNS-server op uw netwerk.
Groepsbeleid standaard domeinbeleid
Nadat u de certificaatsjabloon op de CA hebt geconfigureerd, kunt u het standaarddomeinbeleid in Groepsbeleid configureren, zodat certificaten automatisch worden ingeschreven bij NPS- en RAS-servers. Groepsbeleid wordt geconfigureerd in AD DS op de server DC1.
DNS-alias (CNAME) resource record
U moet een aliasbronrecord (CNAME) maken voor de webserver om ervoor te zorgen dat andere computers de server kunnen vinden, evenals de AIA en de CRL die op de server zijn opgeslagen. Bovendien biedt het gebruik van een alias CNAME-bronrecord flexibiliteit zodat u de webserver voor andere doeleinden kunt gebruiken, zoals het hosten van web- en FTP-sites.
NPS1 waarop de Network Policy Server role service van de Network Policy and Access Services-serverrol wordt uitgevoerd
De NPS wordt geïnstalleerd wanneer u de taken uitvoert in de Windows Server 2016 Core Network Guide, dus voordat u de taken in deze handleiding uitvoert, moet u al een of meer NPS'en op uw netwerk hebben geïnstalleerd.
Groepsbeleid toegepast en certificaat ingeschreven op servers
Nadat u de certificaatsjabloon en automatische inschrijving hebt geconfigureerd, kunt u Groepsbeleid vernieuwen op alle doelservers. Op dit moment registreren de servers het servercertificaat van CA1.
Overzicht van het implementatieproces voor servercertificaten
Opmerking
De details over het uitvoeren van deze stappen vindt u in de sectie Implementatie van servercertificaten.
Het proces van het configureren van de inschrijving van servercertificaten vindt plaats in de volgende fasen:
Installeer in WEB1 de rol van webserver (IIS).
Maak op DC1 een aliasrecord (CNAME) voor uw webserver, WEB1.
Configureer uw webserver voor het hosten van de CRL vanaf de CA, publiceer vervolgens de CRL en kopieer het Enterprise-basis-CA-certificaat naar de nieuwe virtuele map.
Wijs op de computer waarop u AD CS wilt installeren een statisch IP-adres toe, wijzig de naam van de computer, voeg de computer toe aan het domein en meld u vervolgens aan bij de computer met een gebruikersaccount dat lid is van de groepen Domeinadministrators en Ondernemingsadministrators.
Configureer op de computer waarop u AD CS wilt installeren het bestand CAPolicy.inf met instellingen die specifiek zijn voor uw implementatie.
Installeer de AD CS-serverfunctie en voer een aanvullende configuratie van de CA uit.
Kopieer de CRL en het CA-certificaat van CA1 naar de share op de webserver WEB1.
Configureer op de CA een kopie van de certificaatsjabloon voor RAS- en IAS-servers. De certificeringsinstantie verleent certificaten op basis van een certificaatsjabloon, dus u moet de sjabloon voor het servercertificaat configureren voordat de certificeringsinstantie een certificaat kan verlenen.
Configureer automatische inschrijving van servercertificaten in Groepsbeleid. Wanneer u automatische inschrijving configureert, ontvangen alle servers die u hebt opgegeven met Active Directory-groepslidmaatschappen automatisch een servercertificaat wanneer Groepsbeleid op elke server wordt vernieuwd. Als u later meer servers toevoegt, ontvangen deze automatisch ook een servercertificaat.
Vernieuw Groepsbeleid op servers. Wanneer Groepsbeleid wordt vernieuwd, ontvangen de servers het servercertificaat, dat is gebaseerd op de sjabloon die u in de vorige stap hebt geconfigureerd. Dit certificaat wordt door de server gebruikt om zijn identiteit te bewijzen aan clientcomputers en andere servers tijdens het authenticatieproces.
Opmerking
Alle computers die lid zijn van het domein ontvangen automatisch het certificaat van de basiscertificeringsinstantie van Enterprise zonder de configuratie van automatische inschrijving. Dit certificaat verschilt van het servercertificaat dat u configureert en distribueert met behulp van automatische inschrijving. Het certificaat van de certificeringsinstantie wordt automatisch geïnstalleerd in het certificaatarchief van vertrouwde basiscertificeringsinstanties voor alle computers die lid zijn van het domein, zodat deze de certificaten die door deze certificeringsinstantie zijn uitgegeven, vertrouwen.
Controleer of bij alle servers een geldig servercertificaat is geregistreerd.