Podstawowych Przewodnik po sieci: Komputer i wdrażanie certyfikatów użytkowników
Dotyczy: Windows Server 2012
Windows Server® 2012 Przewodnik po sieci podstawowej zawiera instrukcje dotyczące planowania i wdrażania składniki wymagane do pełnej funkcjonalności sieci i nowej domeny Active Directory® w nowym lesie.
Ten przewodnik po wyjaśnia, jak tworzyć na sieć podstawowa zawiera instrukcje dotyczące wdrażania klienta certyfikatów komputerów i użytkowników z usługami certyfikatów w usłudze Active Directory (AD CS).
Przewodnik zawiera niżej wymienione sekcje.
Wymagania wstępne dotyczące korzystania z tego przewodnika
O tym przewodniku
Informacje, których nie ma w tym przewodniku
Omówienie technologii
Wymagania wstępne dotyczące korzystania z tego przewodnika
Jest to przewodnik uzupełniający do Przewodnika po sieciach podstawowych systemu Windows Server 2012. Do wdrażania certyfikatów komputerów i użytkowników z tego przewodnika, należy najpierw wykonać następujące czynności.
Wdrażanie sieci core przy użyciu przewodnik po sieci podstawowej lub już technologii umieściła w przewodniku Core sieci zainstalowana i działa prawidłowo w sieci. Technologie te obejmują TCP/IPv4, DHCP, usługi domenowe Active Directory (AD DS), DNS, NPS i serwer sieci Web (IIS).
Uwaga
Windows Server 2012 Przewodnik po sieci podstawowej jest dostępna w Windows Server 2012 bibliotekę techniczną (https://go.microsoft.com/fwlink/?LinkId=154884).
Przewodnik po sieci podstawowej jest również dostępna w formacie programu Word w Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).
Jeśli używasz certyfikaty komputera lub użytkownika do uwierzytelniania dostępu do sieci za pomocą metod uwierzytelniania opartego na certyfikatach, należy wdrożyć certyfikaty serwera serwery NPS i/lub serwerów RRAS za pomocą Przewodnik po Core sieci: Wdrażanie certyfikatu serwera; lub użytkownik musi już być wdrożony infrastruktury kluczy publicznych (PKI) i certyfikaty serwera, które spełniają wymagania dotyczące sieci uwierzytelniania dostępu.
Uwaga
Windows Server 2012 Przewodnik po sieci podstawowej: Wdrażanie certyfikatu serwera jest dostępna w Windows Server 2012 bibliotekę techniczną (https://go.microsoft.com/fwlink/p/?LinkId=251948).
Podstawowe Przewodnik po sieci: Wdrażanie certyfikatu serwera jest również dostępna w formacie programu Word w Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7).
O tym przewodniku
Ten przewodnik zawiera instrukcje dotyczące wdrażania klienta certyfikatów komputerów i użytkowników na komputerach będących członkami domeny i użytkownicy domeny za pomocą usług AD CS.
Certyfikaty są stosowane do uwierzytelniania dostępu sieciowego, ponieważ stanowią silne zabezpieczenie procesu uwierzytelniania użytkowników i komputerów, eliminując konieczność stosowania mniej bezpiecznych metod uwierzytelniania opartych na hasłach.
Podczas wdrażania protokołu uwierzytelniania rozszerzonego Transport Layer Security (EAP-TLS) lub chronionego protokołu EAP przy użyciu protokołu TLS (PEAP-TLS), certyfikaty są wymagane do uwierzytelniania serwerów i dla komputerów lub użytkowników w sieci prób połączeń za pośrednictwem serwerów dostępu do sieci, takie jak 802.1 X możliwością przełączników i dostępu bezprzewodowego punkty, wirtualne prywatne sieci (VPN) serwerów i komputerów z systemem Windows Server 2012 i bramy usług pulpitu zdalnego (RD Gateway) lub Windows Server 2008 i bramy usług terminalowych (TS Gateway).
Uwaga
Wszystkie te serwery dostępu do sieci są również nazywane klientów usługi usługi użytkowników zdalnego uwierzytelniania (RADIUS), ponieważ używają one protokołu RADIUS do wysyłania żądań połączenia i inne komunikaty RADIUS z serwerami usługi RADIUS. Serwery RADIUS przetwarzania żądań połączeń i uwierzytelniania i autoryzacji. Serwer RADIUS i serwer proxy w Windows Server 2012 jest serwer zasad sieciowych (NPS).
Wdrażanie certyfikatów przy użyciu usługi AD CS metody uwierzytelniania opartego na certyfikatach protokołu EAP i PEAP zapewnia następujące korzyści:
Zabezpieczenia dostarczone z uwierzytelniania opartego na certyfikatach, co wiąże tożsamość serwera z systemem serwera NPS, serwer RRAS, użytkownika lub komputera klienckiego do klucza prywatnego
Odnów ekonomiczne i bezpieczną metodę zarządzanie certyfikatami, co umożliwia automatyczne rejestrowanie i odwoływania certyfikatów na komputerach będących członkami domeny i użytkownicy domeny
Efektywną metodą zarządzania urzędów certyfikacji (CA)
Możliwość wdrażania innych typów certyfikatów, które są używane do celów innych niż uwierzytelnianie komputera, użytkownika lub serwera. Na przykład można wdrożyć certyfikaty, które umożliwiają użytkownikom do cyfrowego podpisywania wiadomości e-mail lub może wystawiać certyfikaty używane do podpisywania kodu oprogramowania.
Ten przewodnik jest przeznaczony dla administratorów sieci i systemu, którzy zastosowali instrukcje Windows Server 2012 Przewodnik po sieci podstawowej do wdrożenia sieci, lub dla tych, którzy już wcześniej wdrożona uwzględnione w sieci podstawowej technologii, łącznie z usług domenowych w usłudze Active Directory (AD DS), System nazw domen (DNS), protokół dynamicznej konfiguracji hosta (DHCP), protokołu TCP/IP, serwer zasad sieciowych (NPS) i serwera sieci Web (IIS).
Zalecane jest przejrzenie przewodników projektowania i wdrażania dla każdej z technologii, która jest używana w tym scenariuszu wdrażania. Te przewodniki można łatwiej ustalić, czy ten scenariusz wdrażania zapewnia usługi i konfiguracji, który należy do sieci organizacji.
Wymagania dotyczące wdrażanie certyfikatów komputerów i użytkowników
Poniżej przedstawiono wymagania dotyczące wdrażanie certyfikatów komputerów i użytkowników klienta przy użyciu automatycznej rejestracji:
Usługi AD DS jest zainstalowany, jakie są inne technologie sieci zgodnie z instrukcjami w Windows Server 2012 Przewodnik po sieci podstawowej.
Aby wykonać autorejestrowanie certyfikatów użytkowników i komputerów klienckich, musi być uruchomiony urząd certyfikacji Windows Server 2008 lub Windows Server® 2008 R2 Enterprise lub Datacenter operacyjnego i musi być wystawiającego urzędu certyfikacji; lub urzędu certyfikacji musi być uruchomiona Windows Server 2012 Standard, Enterprise lub Datacenter systemu operacyjnego i musi być wystawiającego urzędu certyfikacji. Mimo że AD CS można wdrożyć na jednym serwerze, wielu wdrożeń za pomocą dwóch warstwy infrastruktury kluczy publicznych wiele serwerów skonfigurowanych jako podrzędnych urzędów certyfikacji.
Aby wdrożyć EAP-TLS lub PEAP-TLS, muszą rejestrować certyfikaty serwera serwery NPS i, jeśli serwery usługi RRAS są używane jako serwery wirtualnej sieci prywatnej (VPN), na komputerach z systemem Windows Server 2008, Windows Server® 2008 R2, lub Windows Server 2012 i usługi Routing i dostęp zdalny (RRAS). Ten przewodnik założono, że automatycznie zarejestrowanych certyfikatów serwera przy użyciu Windows Server 2012 Przewodnik po sieci podstawowej: Wdrażanie certyfikatów serwera, który jest dostępny w formacie HTML w Windows Server 2012 bibliotekę techniczną (https://technet.microsoft.com/en-us/library/jj125379).
Uwaga
Jeśli nie masz zainstalowany serwer NPS można wdrożyć co najmniej jeden serwer RRAS jako serwery sieci VPN, zasady sieciowe i metody uwierzytelniania zawarte w tych zasad są skonfigurowane osobno na serwerze usługi RRAS, co może zająć dużo czasu i może tworzyć możliwości błędów konfiguracji. Podczas instalowania serwera NPS można skonfigurować serwer RRAS jako klientów RADIUS na serwerze zasad Sieciowych, a następnie użyj serwera zasad Sieciowych, aby centralnie zarządzać wszystkich zasad i metod uwierzytelniania dla zasady.
Aby wdrożyć PEAP lub EAP dla sieci VPN, należy wdrożyć Routing i dostęp zdalny skonfigurowany jako serwer sieci VPN. Korzystanie z serwera NPS jest opcjonalny; Jednak jeśli masz wiele serwerów sieci VPN, za pomocą serwera zasad Sieciowych jest zalecane w celu ułatwienia administracji i dla usług ewidencjonowania aktywności usługi RADIUS, które serwer zasad sieciowych.
Aby wdrożyć PEAP lub EAP dla bramy usług terminalowych w Windows Server 2008 lub bramy usług pulpitu zdalnego w Windows Server 2012, należy wdrożyć bramy serwera terminali i serwer NPS lub bramy usług pulpitu zdalnego i serwer zasad Sieciowych, odpowiednio.
Wdrażanie protokołu EAP lub PEAP 802.1 X bezpiecznej sieci przewodowej lub bezprzewodowej, należy wdrożyć serwer zasad Sieciowych i dodatkowego sprzętu, takie jak przełączniki 802.1 X możliwością lub punkty dostępu bezprzewodowego.
Informacje, których nie ma w tym przewodniku
Ten przewodnik nie dostarcza informacje na następujące tematy:
Jak wdrażanie certyfikatów użytkowników i komputerów klienckich za pomocą kart inteligentnych.
Jak wdrożyć certyfikaty serwera autorejestracji.
Sposoby projektowania i wdrażania infrastruktury kluczy publicznych (PKI) za pomocą usług AD CS. Zalecane jest, zapoznaj się dokumentacją projektowania i wdrażania usług AD CS przed wdrożeniem technologii w tym przewodniku. Aby uzyskać więcej informacji, zobacz dodatkowe zasoby.
Sposób wdrażania technologii dostępu sieciowego dla serwera, które certyfikaty mogą być używane. Może to być inne pomocnika przewodniki dostępne, które zawierają instrukcje dotyczące wdrażania tych rozwiązań dostępu do sieci. Warto także zapoznać się z dokumentacją serwera NPS dla tych informacji.
Omówienie technologii
Poniżej przedstawiono omówienie technologii dla komputera klienckiego i certyfikaty użytkownika, EAP, PEAP i AD CS.
AD CS
Usług AD CS w Windows Server 2012 to dostosowywane usługi do tworzenia i zarządzania certyfikatów X.509, które są używane w systemach zabezpieczeń oprogramowania korzystających z technologii kluczy publicznych. Organizacje mogą używać usług AD CS w celu zwiększenia zabezpieczeń przez powiązanie tożsamości osoby, urządzenia lub usługi z odpowiedniego klucza publicznego. AD CS także zawiera funkcje, które umożliwiają zarządzanie odwołania w różnych środowiskach skalowalnych i rejestrowanie certyfikatów.
Klient certyfikatów komputerów i użytkowników
Podczas wdrażania protokołu EAP-TLS lub PEAP-TLS, można wdrożyć certyfikaty komputerów do uwierzytelniania komputerów klienckich i certyfikaty użytkownika do uwierzytelniania użytkowników.
Uwaga
EAP nie udostępnia mechanizmy służące do uwierzytelniania podwójne — czyli uwierzytelniania komputera używane do uzyskiwania dostępu do sieci i użytkownika, który próbuje połączyć. Z tego powodu nie należy do wystawiania certyfikatów komputera i użytkownika podczas wdrażania EAP i PEAP z typami uwierzytelniania opartego na certyfikatach.
Istnieją dwie metody wdrażania klienta certyfikatów komputerów i użytkowników:
Za pomocą kart inteligentnych. Podczas wdrażania certyfikatów przy użyciu karty inteligentnej, musi zakupić dodatkowy sprzęt do umieszczenia certyfikatów na identyfikację użytkownika lub innych kart, używane przez pracowników do logowania się do sieci. Ponadto należy podać użytkowników z czytników kart inteligentnych, które służą do odczytu certyfikat, który jest wdrukowany karty inteligentnej podczas logowania.
Ważne
Ten przewodnik nie dostarcza informacji o sposobie wdrażanie certyfikatów użytkowników i komputerów klienckich za pomocą kart inteligentnych.
Za pomocą autorejestrowania. Podczas wdrażania certyfikatów za pomocą autorejestrowania skonfigurować urząd certyfikacji do automatycznego rejestrowania certyfikatów dla komputerów, które są członkami grupy komputerów w domenie i dla użytkowników, którzy są członkami grupy Użytkownicy domeny. Żaden dodatkowy sprzęt jest wymagany do autorejestrowanie certyfikatów, ponieważ certyfikaty są przechowywane na komputerze, na którym nawiązuje połączenie z siecią. Gdy komputer otrzyma certyfikatu użytkownika lub komputera, z urzędu certyfikacji, certyfikat jest przechowywany lokalnie w magazynie danych o nazwie w magazynie certyfikatów.
Ważne
Należy rejestrować certyfikaty tylko do komputerów i użytkowników, dla których chcesz udzielić dostępu do sieci przez klientów RADIUS. Nie trzeba autorejestrowanie certyfikatów do wszystkich członków grupy użytkowników domeny i komputerów w domenie. Zamiast tego może wystawiać certyfikaty podzbiorowi grupy użytkowników domeny i komputerów w domenie, takich jak zespół ds. sprzedaży lub działu księgowości. Do rejestrowania certyfikatów do innych grup, tworzenia grup, a następnie dodaj członków do grup komputerów i użytkownicy usługi Active Directory. W przystawce Szablony certyfikatów, Usuń grupy domeny użytkowników lub komputerów w domenie z listy kontroli dostępu (ACL) w szablonach certyfikatów (szablon użytkownika i szablonu uwierzytelniania stacji roboczej odpowiednio), a następnie dodaj grupy, które zostały utworzone dla szablonu.
Magazyn certyfikatów
Na komputerach z uruchomionym systemem operacyjnym Windows, certyfikaty, które są zainstalowane na komputerze są przechowywane w obszarze pamięci masowej o nazwie magazynu certyfikatów. Magazyn certyfikatów jest dostępny za pomocą przystawki Certyfikaty programu Microsoft Management Console (MMC).
Ten magazyn zawiera wiele folderów przechowywania certyfikatów różnych typów. Na przykład magazyn certyfikatów zawiera folder zaufanych głównych urzędów certyfikacji, którym przechowywane są certyfikaty z wszystkie zaufane główne urzędy certyfikacji.
Gdy organizacja wdraża infrastruktury kluczy publicznych i instaluje prywatny zaufanego głównego urzędu certyfikacji za pomocą usług AD CS, urząd certyfikacji automatycznie wysyła certyfikat do wszystkich komputerów będących członkami domeny w organizacji. Członek domeny komputerów klienckich i serwerów z certyfikatem urzędu certyfikacji w folderze zaufane główne urzędy certyfikacji w bieżącego użytkownika i magazynów certyfikatów komputera lokalnego. Po zakończeniu tego procesu komputerów będących członkami domeny zaufane certyfikaty wystawione przez zaufany główny urząd certyfikacji.
Podobnie, kiedy należy autorejestrowanie certyfikatów komputerów na komputerach klienckich, certyfikat jest przechowywana w magazynie certyfikatów osobistych komputera lokalnego. Gdy użytkownik autorejestrowanie certyfikatów dla użytkowników, certyfikat użytkownika jest przechowywana w osobistym magazynie certyfikatów bieżącego użytkownika.
EAP
Protokół uwierzytelniania rozszerzonego (EAP) rozszerza protokół Point-to-Point Protocol (PPP), zezwalając na dowolne metody uwierzytelniania oparte na wymianie poświadczeń i informacji o dowolnej długości. Protokół EAP został opracowany w odpowiedzi na żądanie dla metod uwierzytelniania używających urządzeń zabezpieczeń, takich jak karty inteligentne, karty tokenów i kalkulatory kryptograficzne. Protokół EAP zapewnia architekturę zgodną ze standardami branżowymi do obsługi dodatkowych metod uwierzytelniania w ramach protokołu PPP.
Za pomocą protokołu EAP dowolny mechanizm uwierzytelniania jest używany do tożsamości klienta i serwera, które są ustanawiania połączenia dostępu do sieci. Schemat uwierzytelniania, który ma zostać użyty, jest negocjował przez klienta dostępu i uwierzytelniania (serwera dostępu do sieci lub serwer RADIUS).
Do pomyślnego uwierzytelnienia występuje zarówno klient dostępu do sieci i wystawcy uwierzytelnienia (np. przez serwer NPS) musi obsługiwać ten sam typ protokołu EAP.
Ważne
Silne typy EAP (takich jak te, które są oparte na certyfikatach) zapewniają lepszą ochronę przed atakami siłowymi, ataki słownikowe i hasło zgadywania ataki niż protokoły uwierzytelniania hasła (takie jak CHAP lub MS-CHAP wersja 1).
Protokół EAP w Windows Server 2012
Windows Server 2012 obejmuje infrastrukturę protokołu EAP, dwa typy protokołu EAP i możliwość przekazywania wiadomości protokołu EAP do serwera RADIUS (EAP-RADIUS), takich jak serwer zasad Sieciowych.
Za pomocą protokołu EAP, może obsługiwać dodatkowe schematy uwierzytelniania, znane jako typy protokołu EAP. Typy protokołu EAP, które są obsługiwane przez Windows Server 2012 są:
Transport Layer Security (TLS). EAP-TLS wymaga użycia certyfikaty komputera lub użytkownika, oprócz certyfikaty serwera, które są rejestrowane dla komputerów z uruchomionym serwerem zasad Sieciowych.
Protokół uwierzytelniania typu Challenge Handshake firmy Microsoft, wersja 2 (MS-CHAP v2). Ten typ protokołu EAP jest protokół uwierzytelniania hasła. W przypadku użycia w ramach protokołu EAP jako metody uwierzytelniania EAP-MS-CHAP v2, serwery NPS i RRAS podawane certyfikatu serwera jako dowodu tożsamości na komputerach klienckich w trakcie użytkowników potwierdzić swoją tożsamość za pomocą nazwy użytkownika i hasła.
Tunelowane Transport Layer Security (TTLS). EAP-TTLS jest nowa w programie Windows Server 2012 i nie jest dostępny w innych wersjach systemu Windows Server. Protokół EAP-TTLS to oparta na standardach metoda tunelowania EAP obsługująca uwierzytelnianie wzajemne. Protokół EAP-TTLS udostępnia bezpieczny tunel uwierzytelniania klienta za pomocą metod EAP i innych starszych protokołów. Protokół EAP-TTLS można także skonfigurować na komputerach klienckich w rozwiązaniach dostępu do sieci, w których do uwierzytelniania używa się serwerów RADIUS (Remote Authentication Dial In User Service) innych niż firmy Microsoft obsługujących protokół EAP-TTLS.
Ponadto innych modułów EAP firmy Microsoft można zainstalować na serwerze z uruchomioną NPS lub Routing i dostęp zdalny do innych typów uwierzytelniania protokołu EAP. W większości przypadków Jeśli zainstalowano dodatkowe typy protokołu EAP na serwerach, również zainstalowanie pasujących składników uwierzytelniania klienta EAP na komputerach klienckich, aby klient i serwer mogą pomyślnie wynegocjować metodę uwierzytelniania używaną dla żądania połączenia.
PEAP
PEAP używa protokołu TLS do utworzenia szyfrowanego kanału między klientem PEAP uwierzytelniania, takich jak komputer bezprzewodowy, a wystawcą uwierzytelnienia PEAP, takim jak serwer NPS lub innego serwera RADIUS.
PEAP nie określa metodę uwierzytelniania, ale zapewnia dodatkowe zabezpieczenia protokołu EAP uwierzytelniania (takich jak EAP-MSCHAP v2), które mogą działać przez kanał zaszyfrowany TLS dostarczone przez PEAP. Protokół PEAP jest używany jako metoda uwierzytelniania dla klientów dostępu, łączących się z siecią organizacji za pośrednictwem następujących typów serwerów dostępu do sieci:
Punkty dostępu bezprzewodowego 802.1 X możliwością
Przełączniki uwierzytelniające 802. 1 X możliwością
Komputery z systemem Windows Server 2012 lub Windows Server 2008 R2 i usługi RRAS, które są skonfigurowane jako serwery sieci VPN
Komputery z systemem Windows Server 2012 lub Windows Server 2008 R2 i bramy usług pulpitu zdalnego
Funkcje PEAP
Aby zwiększyć bezpieczeństwo sieci i protokołów EAP, PEAP zawiera:
Kanał TLS umożliwiający ochronę negocjacji metody EAP odbywa się między klientem i serwerem. Ten kanał TLS pomaga uniemożliwić wprowadzanie pakietów między klientem a serwerem dostępu w celu negocjacji mniej bezpiecznego typu protokołu EAP. Kanał szyfrowany TLS zapobiega też atakom typu odmowa usługi na serwerze z uruchomionym serwerem zasad Sieciowych.
Obsługa fragmentacji i ponownego łączenia wiadomości, która pozwala na używanie typów protokołu EAP, które nie zawierają tej funkcji.
Klienci z możliwością uwierzytelniania serwera NPS lub do innego serwera RADIUS. Ponieważ serwer także uwierzytelnia klienta, zachodzi wzajemne uwierzytelnienie.
Ochrona przed wdrożeniem nieautoryzowanego punktu dostępu bezprzewodowego w momencie, kiedy klient EAP uwierzytelnia certyfikatu dostarczonego przez serwer NPS. Ponadto TLS główny klucz tajny jest tworzony przez wystawcy uwierzytelnienia PEAP i klienta nie jest współużytkowany z punktu dostępu. W związku z tym punktem dostępu nie może odszyfrować wiadomości, które są chronione przez PEAP.
Funkcja szybkiego łączenia ponownego, co zmniejsza opóźnienie między żądaniem uwierzytelnienia klienta i odpowiedzi przez serwer NPS lub do innego serwera RADIUS. Szybkie ponowne łączenie umożliwia także bezprzewodowi klienci przenieść między punktami dostępu, które są skonfigurowane jako klienci usługi RADIUS tego samego serwera RADIUS bez ponownego żądania uwierzytelnienia. Pozwala to zmniejszyć wymagania dotyczące zasobów dla klienta i serwera i minimalizuje liczbę razy, które użytkownicy są monitowani o poświadczenia.
Omówienie wdrożenia protokołu EAP-TLS i PEAP-TLS
Dostępne są następujące ogólne kroki wdrażania protokołu EAP-TLS lub PEAP-TLS:
Wdrażanie serwerów dostępu do sieci (klientów RADIUS), będące protokołu EAP i RADIUS zgodne.
Autorejestrowanie certyfikatów serwera na serwerach NPS i, jeśli to konieczne, serwerów routingu i dostępu zdalnego VPN.
Autorejestrowanie certyfikaty komputerów, certyfikaty użytkowników i/lub na komputerach będących członkami domeny i użytkowników, odpowiednio, lub do innych grup, które zostały utworzone.
Skonfiguruj serwery dostępu do sieci jako klientów RADIUS na serwerze zasad Sieciowych.
Skonfiguruj za pomocą uwierzytelniania EAP w zasadzie sieciowej serwera NPS lub usługi RRAS.
Upewnij się, że komputery klienckie obsługuje protokół EAP. Domyślnie Windows® 8, Windows® 7, i Windows Vista® obsługuje protokół EAP.
Zasady grupy
Zasady grupy w systemie Windows Server 2012 to infrastruktura umożliwiająca dostarczanie i stosowanie jednej lub więcej żądanych konfiguracji lub ustawień zasad do zestawu wybranych użytkowników i komputerów w środowisku usługi Active Directory. Infrastruktura ta składa się z aparatu zasad grupy i wielu rozszerzeń po stronie klienta odpowiedzialnych za odczytywanie ustawień zasad na docelowych komputerach klienckich. Zasady grupy są używane w tym scenariuszu rejestrowanie i rozpowszechniania certyfikatów do użytkowników i komputerów.