Przewodnik uzupełniający po sieciach podstawowych: wdrażanie certyfikatów serwera

 

Dotyczy: Windows Server 2012

Przewodnik po sieciach podstawowych systemu Windows Server 2012 zawiera instrukcje dotyczące planowania i wdrażania podstawowych składników wymaganych, aby sieć i nowa domena usługi Active Directory® w nowym lesie były w pełni funkcjonalne.

Ten przewodnik wyjaśnia, jak tworzyć na sieć podstawowa zawiera instrukcje dotyczące wdrażania serwera certyfikatów dla komputerów z systemem serwera zasad sieciowych (NPS), routingu i usługi Dostęp zdalny (RRAS) lub obu.

Porada

Ten przewodnik jest dostępny w formacie programu Word w Microsoft TechNet Gallery w https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7.

Przewodnik zawiera niżej wymienione sekcje.

• Wymagania wstępne dotyczące korzystania z tego przewodnika

• O tym przewodniku

• Informacje, których nie ma w tym przewodniku

• Omówienie technologii

• Omówienie wdrażania certyfikatu serwera

• Planowanie wdrożenia certyfikat serwera

• Wdrażanie certyfikatu serwera

• Dodatkowe zasoby

Wymagania wstępne dotyczące korzystania z tego przewodnika

Jest to przewodnik uzupełniający do Przewodnika po sieciach podstawowych systemu Windows Server 2012. Aby wdrożyć certyfikaty serwera z tego przewodnika, należy najpierw wykonać następujące czynności.

• Wdrażanie sieci core przy użyciu przewodnik po sieci podstawowej lub już mieć technologii dostarczanych w podręczniku Core sieci zainstalowana i działa prawidłowo w sieci. Technologie te obejmują TCP/IPv4, DHCP, usługi domenowe Active Directory (AD DS), DNS, NPS i serwer sieci Web (IIS).

  Uwaga

  Windows Server 2012 Przewodnik po sieci podstawowej jest dostępna w Windows Server 2012 bibliotekę techniczną (https://go.microsoft.com/fwlink/?LinkId=154884).

  Przewodnik po sieci podstawowej jest również dostępna w formacie programu Word w Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

O tym przewodniku

Ten przewodnik zawiera instrukcje dotyczące wdrażania certyfikatów serwera do serwerów z systemem serwera zasad Sieciowych, usługi RRAS i/lub za pomocą usług AD CS w Windows Server 2012.

Certyfikaty serwera są wymagane w przypadku wdrażania metod uwierzytelniania opartych na certyfikatach z użyciem protokołu uwierzytelniania rozszerzonego (EAP) i chronionego protokołu EAP (PEAP) dla celów uwierzytelniania dostępu do sieci.

Wdrażanie certyfikatów serwerów z usługami certyfikatów Active Directory (AD CS) dla metod uwierzytelniania opartego na certyfikatach protokołu EAP i PEAP zapewnia następujące korzyści:

• Powiązanie tożsamość serwera NPS lub serwera RRAS do klucza prywatnego

• Ekonomiczne i bezpieczną metodę automatycznego rejestrowania certyfikatów dla serwerów zasad Sieciowych i usługi RRAS element członkowski domeny

• Efektywną metodą zarządzania certyfikatami i urzędów certyfikacji (CA)

• Zabezpieczenia zapewniane przez uwierzytelnianie oparte na certyfikatach

• Możliwość rozszerzenia zastosowania certyfikatów do realizacji dodatkowych celów

Ten przewodnik jest przeznaczony dla administratorów sieci i systemu, którzy posługiwali się instrukcjami z Przewodnika po sieciach podstawowych systemu Windows Server 2012 podczas wdrażania sieci podstawowej, lub dla tych, którzy wcześniej wdrożyli technologie omówione w Przewodniku po sieciach podstawowych, w tym usługi domenowe Active Directory (AD DS), usługę DNS (Domain Name Service), protokół DHCP (Dynamic Host Configuration Protocol), TCP/IP, serwer sieci Web (IIS) i serwer zasad sieciowych (NPS).

Ważne

Niniejszy przewodnik zawiera instrukcje dotyczące wdrażania serwera certyfikatów przy użyciu online Enterprise główny urząd certyfikacji (CA), jest przeznaczony dla małych organizacji, które mają ograniczone zasobów komputerowych. Ze względów bezpieczeństwa - Jeśli Twoja organizacja ma zasobów komputerowych - zalecane jest wdrożenie offline urzędu certyfikacji przedsiębiorstwa głównym w dwóch warstwy infrastruktury kluczy publicznych (PKI). Aby uzyskać więcej informacji, zobacz temat Dodatkowe zasoby.

Zalecane jest przejrzenie przewodników projektowania i wdrażania dla każdej z technologii, która jest używana w tym scenariuszu wdrażania. Przewodniki te pomagają określić, czy ten scenariusz wdrażania udostępnia usługi i konfigurację potrzebne w sieci organizacji.

Wymagania dotyczące wdrażanie certyfikatów serwera

Poniżej przedstawiono wymagania dotyczące certyfikatów:

• Aby wdrożyć certyfikaty serwera za pomocą autorejestrowania, wymaga usług AD CS Windows Server 2012 Standard, Enterprise lub Datacenter systemów operacyjnych. Przed zainstalowaniem usług AD CS, należy zainstalować usługi AD DS. Mimo że AD CS można wdrożyć na jednym serwerze, wielu wdrożeń obejmować wiele serwerów skonfigurowanych jako urzędy certyfikacji.

• Aby zapewnić komputerom dostęp do urzędu dostęp do informacji (AIA) i listy odwołania certyfikatów (CRL), który jest generowany przez urząd certyfikacji, musi mieć serwera sieci Web, który jest odpowiednio skonfigurowana zgodnie z instrukcjami w tym przewodniku.

• Aby wdrożyć PEAP lub EAP wirtualnych sieci prywatnych (VPN), należy wdrożyć usługi RRAS skonfigurowany jako serwer sieci VPN. Korzystanie z serwera NPS jest opcjonalny; Jednak jeśli masz wiele serwerów sieci VPN, za pomocą serwera zasad Sieciowych jest zalecane w celu ułatwienia administracji i dla usług ewidencjonowania aktywności usługi RADIUS, które serwer zasad sieciowych.

• Aby wdrożyć PEAP lub EAP dla bramy usług pulpitu zdalnego (RD Gateway), należy wdrożyć bramy usług pulpitu zdalnego i serwer zasad Sieciowych.

  Uwaga

  W poprzednich wersjach systemu Windows Server usług pulpitu zdalnego nosił nazwę usług terminalowych.

• Wdrażanie protokołu EAP lub PEAP 802.1 X bezpiecznej sieci przewodowej lub bezprzewodowej, należy wdrożyć serwer zasad Sieciowych i dodatkowego sprzętu, takie jak punkty dostępu bezprzewodowego i przełączniki 802.1 X możliwością.

• Aby wdrożyć metod uwierzytelniania opartego na certyfikatach, która wymaga certyfikatów do uwierzytelniania użytkowników i komputerów, oprócz wymaganie certyfikatów do uwierzytelniania serwera, takie jak EAP Transport Layer Security (EAP-TLS) lub PEAP-TLS, należy wdrożyć certyfikat użytkownika lub komputera przy użyciu autorejestrowania lub za pomocą kart inteligentnych.

Informacje, których nie ma w tym przewodniku

Ten przewodnik nie zawiera instrukcji kompleksowe dotyczące projektowania i wdrażania infrastruktury kluczy publicznych (PKI) za pomocą usług AD CS. Zaleca się zapoznać z dokumentacją usług AD CS i dokumentacji projektu PKI przed wdrożeniem technologii w tym przewodniku. Aby uzyskać więcej informacji, zobacz Dodatkowe zasoby sekcję w dalszej części tego dokumentu.

Ten przewodnik nie zawierają instrukcje dotyczące sposobu instalowania serwera sieci Web (IIS), lub technologii, serwer zasad sieciowych na komputerach serwera; te instrukcje znajdują się w przewodniku sieci podstawowej.

Ten przewodnik nie udostępniają szczegółowe instrukcje dotyczące wdrażania technologie dostępu do sieci, dla których serwer certyfikaty mogą być używane.

Omówienie technologii

Poniżej przedstawiono omówienie technologii dla protokołu EAP, PEAP i AD CS.

EAP

Protokół uwierzytelniania rozszerzonego (EAP) rozszerza protokół Point-to-Point Protocol (PPP), zezwalając na dowolne metody uwierzytelniania oparte na wymianie poświadczeń i informacji o dowolnej długości. Protokół EAP został opracowany w odpowiedzi na rosnące zapotrzebowanie na metody uwierzytelniania, które używają zabezpieczeń urządzeń, takich jak karty inteligentne, karty tokenów i kalkulatory kryptograficzne. Protokół EAP zapewnia architekturę zgodną ze standardami branżowymi do obsługi dodatkowych metod uwierzytelniania w ramach protokołu PPP.

Za pomocą protokołu EAP dowolny mechanizm uwierzytelniania jest używany do tożsamości klienta i serwera, które są ustanawiania połączenia dostępu do sieci. Dokładny schemat uwierzytelniania ma być używany jest negocjował przez klienta dostępu i wystawcy uwierzytelnienia - serwera dostępu do sieci lub serwer usługi usługi użytkowników zdalnego uwierzytelniania (RADIUS).

Za pomocą uwierzytelniania EAP zarówno klient dostępu do sieci i wystawcy uwierzytelnienia (np. przez serwer NPS) musi obsługiwać tego samego typu EAP dla pomyślnego uwierzytelnienia występuje.

Ważne

Silne typy EAP, takich jak te, które są oparte na certyfikatach, oferują lepsze zabezpieczenia przed atakami siłowymi, atakami zgadnięciem hasła i ataki słownikowe niż protokoły uwierzytelniania opartego na hasłach, takie jak CHAP lub MS-CHAP w wersji 1.

Protokół EAP w Windows Server 2012

Windows Server 2012 obejmuje infrastrukturę protokołu EAP, typy protokołu EAP i możliwość przekazywania wiadomości protokołu EAP do serwera RADIUS (EAP-RADIUS), takich jak serwer zasad Sieciowych.

Za pomocą protokołu EAP, może obsługiwać dodatkowe schematy uwierzytelniania, znane jako typy protokołu EAP. Typy protokołu EAP, które są obsługiwane przez Windows Server 2012 są:

• Transport Layer Security (TLS). EAP-TLS wymaga użycia certyfikaty komputera lub użytkownika, oprócz certyfikaty serwera, które są rejestrowane dla komputerów z uruchomionym serwerem zasad Sieciowych.

• Protokół uwierzytelniania typu Challenge Handshake firmy Microsoft, wersja 2 (MS-CHAP v2). Ten typ protokołu EAP jest protokół uwierzytelniania hasła. W przypadku użycia w ramach protokołu EAP jako metody uwierzytelniania EAP-MS-CHAP v2, serwery NPS i RRAS podawane certyfikatu serwera jako dowodu tożsamości na komputerach klienckich w trakcie użytkowników potwierdzić swoją tożsamość za pomocą nazwy użytkownika i hasła.

• Tunelowane Transport Layer Security (TTLS). EAP-TTLS jest nowa w programie Windows Server 2012 i nie jest dostępny w innych wersjach systemu Windows Server. Protokół EAP-TTLS to oparta na standardach metoda tunelowania EAP obsługująca uwierzytelnianie wzajemne. Protokół EAP-TTLS udostępnia bezpieczny tunel uwierzytelniania klienta za pomocą metod EAP i innych starszych protokołów. Protokół EAP-TTLS można także skonfigurować na komputerach klienckich w rozwiązaniach dostępu do sieci, w których do uwierzytelniania używa się serwerów RADIUS (Remote Authentication Dial In User Service) innych niż firmy Microsoft obsługujących protokół EAP-TTLS.

Ponadto innych modułów EAP firmy Microsoft można zainstalować na serwerze z uruchomioną NPS lub Routing i dostęp zdalny do innych typów uwierzytelniania protokołu EAP. W większości przypadków Jeśli zainstalowano dodatkowe typy protokołu EAP na serwerach, również zainstalowanie pasujących składników uwierzytelniania klienta EAP na komputerach klienckich, aby klient i serwer mogą pomyślnie wynegocjować metodę uwierzytelniania używaną dla żądania połączenia.

PEAP

PEAP używa protokołu TLS do utworzenia szyfrowanego kanału między klientem PEAP uwierzytelniania, takich jak komputer bezprzewodowy, a wystawcą uwierzytelnienia PEAP, takim jak serwer NPS lub innego serwera RADIUS.

PEAP nie określa metodę uwierzytelniania, ale zapewnia dodatkowe zabezpieczenia protokołu EAP uwierzytelniania (takich jak EAP-MSCHAP v2), które mogą działać przez kanał zaszyfrowany TLS dostarczone przez PEAP. Protokół PEAP jest używany jako metoda uwierzytelniania dla klientów dostępu, łączących się z siecią organizacji za pośrednictwem następujących typów serwerów dostępu do sieci:

• Punkty dostępu bezprzewodowego 802.1 X możliwością

• Przełączniki uwierzytelniające 802. 1 X możliwością

• Komputery z systemem Windows Server 2012 lub Windows Server 2008 R2 i usługi RRAS, które są skonfigurowane jako serwery sieci VPN

• Komputery z systemem Windows Server 2012 lub Windows Server 2008 R2 i bramy usług pulpitu zdalnego

Funkcje PEAP

Aby zwiększyć bezpieczeństwo sieci i protokołów EAP, PEAP zawiera:

• Kanał TLS umożliwiający ochronę negocjacji metody EAP odbywa się między klientem i serwerem. Ten kanał TLS pomaga uniemożliwić wprowadzanie pakietów między klientem a serwerem dostępu w celu negocjacji mniej bezpiecznego typu protokołu EAP. Kanał szyfrowany TLS zapobiega też atakom typu odmowa usługi na serwerze z uruchomionym serwerem zasad Sieciowych.

• Obsługa fragmentacji i ponownego łączenia wiadomości, która pozwala na używanie typów protokołu EAP, które nie zawierają tej funkcji.

• Klienci z możliwością uwierzytelniania serwera NPS lub do innego serwera RADIUS. Ponieważ serwer także uwierzytelnia klienta, zachodzi wzajemne uwierzytelnienie.

• Ochrona przed wdrożeniem nieautoryzowanego punktu dostępu bezprzewodowego w momencie, kiedy klient EAP uwierzytelnia certyfikatu dostarczonego przez serwer NPS. Ponadto TLS główny klucz tajny jest tworzony przez wystawcy uwierzytelnienia PEAP i klienta nie jest współużytkowany z punktu dostępu. W związku z tym punktem dostępu nie może odszyfrować wiadomości, które są chronione przez PEAP.

• Funkcja szybkiego łączenia ponownego, co zmniejsza opóźnienie między żądaniem uwierzytelnienia klienta i odpowiedzi przez serwer NPS lub do innego serwera RADIUS. Szybkie ponowne łączenie umożliwia także bezprzewodowi klienci przenieść między punktami dostępu, które są skonfigurowane jako klienci usługi RADIUS tego samego serwera RADIUS bez ponownego żądania uwierzytelnienia. Pozwala to zmniejszyć wymagania dotyczące zasobów dla klienta i serwera i minimalizuje liczbę razy, które użytkownicy są monitowani o poświadczenia.

Usługi certyfikatów Active Directory

Usług AD CS w Windows Server 2012 to dostosowywane usługi do tworzenia i zarządzania certyfikatów X.509, które są używane w systemach zabezpieczeń oprogramowania korzystających z technologii kluczy publicznych. Organizacje mogą używać usług AD CS w celu zwiększenia zabezpieczeń przez powiązanie tożsamości osoby, urządzenia lub usługi z odpowiedniego klucza publicznego. AD CS także zawiera funkcje, które umożliwiają zarządzanie odwołania w różnych środowiskach skalowalnych i rejestrowanie certyfikatów.