Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa sieciowa rejestracji certyfikatów jest rolą usługi Active Directory Certificate Services (AD CS), która umożliwia użytkownikom i komputerom przeprowadzanie rejestracji certyfikatów przy użyciu protokołu HTTPS. Wraz z usługą sieci Web dla zasad rejestracji certyfikatów, pozwala to na rejestrację certyfikatów opartą na zasadach, gdy komputer kliencki nie jest członkiem domeny lub gdy komputer będący członkiem domeny nie jest połączony z domeną. Usługa sieci Web rejestracji certyfikatów używa protokołu HTTPS do akceptowania żądań certyfikatów z komputerów klienckich sieci i zwracania wystawionych certyfikatów na te komputery. Usługa sieciowa rejestracji certyfikatów używa protokołu DCOM do połączenia się z urzędem certyfikacji (CA) i finalizacji rejestracji certyfikatu w imieniu żądającego.
Rejestracja certyfikatu za pośrednictwem protokołu HTTPS umożliwia:
- Rejestracja certyfikatów w granicach lasu w celu zmniejszenia liczby urzędów certyfikacji w przedsiębiorstwie
- Wdrożenie ekstranetu w celu wystawiania certyfikatów pracownikom mobilnym i partnerom biznesowym
Ten artykuł zawiera omówienie usługi sieci Web rejestracji certyfikatów, w tym informacje o typach uwierzytelniania, zagadnieniach dotyczących równoważenia obciążenia i opcjach konfiguracji.
Typy uwierzytelniania
Usługa sieci Web rejestracji certyfikatów obsługuje trzy następujące typy uwierzytelniania:
Zintegrowane uwierzytelnianie systemu Windows
Uwierzytelnianie certyfikatu klienta
Nazwa użytkownika i uwierzytelnianie haseł
Każdy z tych typów uwierzytelniania został omówiony bardziej szczegółowo w poniższych sekcjach.
Zintegrowane uwierzytelnianie systemu Windows
Zintegrowane uwierzytelnianie systemu Windows używa protokołu Kerberos lub NT LAN Manager (NTLM), aby zapewnić bezproblemowy przepływ uwierzytelniania dla urządzeń połączonych z siecią wewnętrzną i przyłączonych do domeny. Ta metoda jest preferowana w przypadku wdrożeń wewnętrznych, ponieważ używa istniejącej infrastruktury obecnej w usługach Active Directory Domain Services (AD DS) i wymaga minimalnych zmian w komputerach klienckich certyfikatów. Użyj tej metody uwierzytelniania, jeśli potrzebujesz tylko klientów, aby uzyskać dostęp do usługi internetowej, gdy są połączeni bezpośrednio z siecią wewnętrzną.
Uwierzytelnianie certyfikatu klienta
Jeśli certyfikaty są wdrażane na komputerach, komputery klienckie mogą używać uwierzytelniania za pomocą certyfikatu klienta. Uwierzytelnianie certyfikatu klienta nie wymaga bezpośredniego połączenia z siecią firmową. Uwierzytelnianie certyfikatu klienta jest preferowane w przypadku uwierzytelniania nazwy użytkownika i hasła, ponieważ zapewnia bardziej bezpieczną metodę uwierzytelniania. Jednak ta metoda wymaga, aby certyfikaty x.509 zostały początkowo przekazywane klientom za pomocą oddzielnych metod. Użyj tej metody uwierzytelniania, jeśli planujesz udostępnić użytkownikom cyfrowe certyfikaty X.509 na potrzeby uwierzytelniania klienta. Ta metoda uwierzytelniania umożliwia udostępnienie usługi internetowej w Internecie.
Jeśli chcesz użyć uwierzytelniania opartego na certyfikatach spoza domeny dla komputera skonfigurowanego w grupie roboczej lub jest członkiem domeny, z której nie ma relacji zaufania lasu, należy również wykonać następujące czynności:
- Upewnij się, że konto komputera istnieje w lesie, do którego należy urząd certyfikacji, i ma tę samą nazwę co komputer otrzymujący certyfikat.
- Wystawianie certyfikatu przy użyciu nazw odpowiednich dla komputera, na którym wystawiono certyfikat.
- Ręcznie przenieś wystawiony certyfikat z komputera w domenie do odpowiedniego komputera skonfigurowanego w grupie roboczej lub będącego członkiem domeny, z której nie ma relacji zaufania lasu.
Nazwa użytkownika i uwierzytelnianie haseł
Najprostszą formą uwierzytelniania jest nazwa użytkownika i hasło. Ta metoda jest zwykle używana do obsługi klientów, którzy nie są bezpośrednio połączeni z siecią wewnętrzną. Jest to mniej bezpieczna opcja uwierzytelniania niż używanie certyfikatów klienta, ale nie wymaga aprowizacji certyfikatu dla klientów i dlatego często łatwiej jest zaimplementować niż uwierzytelnianie certyfikatu klienta. Użyj tej metody uwierzytelniania, jeśli chcesz, aby użytkownicy wprowadzali nazwę użytkownika i hasło w celu uwierzytelnienia w usłudze internetowej. Tej metody uwierzytelniania można użyć, gdy usługa internetowa jest dostępna w sieci wewnętrznej lub przez Internet.
Wymagania dotyczące delegowania
Delegowanie umożliwia usłudze personifikację konta użytkownika lub konta komputera w celu uzyskania dostępu do zasobów w całej sieci. Gdy usługa jest zaufana do delegowania, może podszywać się pod użytkownika, aby korzystać z innych usług sieciowych.
Delegowanie jest wymagane dla konta usługi internetowej rejestracji certyfikatów, gdy spełnione są wszystkie następujące warunki:
Urząd certyfikacji nie znajduje się na tym samym komputerze, co usługa rejestracji certyfikatów
Usługa sieci Web rejestracji certyfikatów musi mieć możliwość przetwarzania początkowych żądań rejestracji, w przeciwieństwie do przetwarzania tylko żądań odnowienia certyfikatu
Typ uwierzytelniania jest ustawiony na zintegrowane uwierzytelnianie systemu Windows lub uwierzytelnianie certyfikatu klienta
Delegowanie dla usługi sieci Web rejestracji certyfikatów nie jest wymagane, gdy:
Urząd certyfikacji i usługa rejestracji certyfikatów w sieci Web znajdują się na tym samym komputerze
Nazwa użytkownika i hasło to metoda uwierzytelniania.
Jeśli usługa rejestracji certyfikatów sieciowej jest uruchomiona jako wbudowana tożsamość puli aplikacji, należy skonfigurować delegowanie na koncie komputera hostującego usługę. Jeśli usługa sieci Web rejestracji certyfikatów jest uruchomiona jako konto użytkownika domeny, należy najpierw utworzyć odpowiednią nazwę główną usługi (SPN), a następnie skonfigurować delegowanie na koncie użytkownika domeny.
Określony typ delegowania, który należy skonfigurować, zależy od metody uwierzytelniania wybranej dla usługi sieci Web rejestracji certyfikatów:
- W przypadku wybrania zintegrowanego uwierzytelniania systemu Windows należy skonfigurować delegowanie tylko do używania protokołu Kerberos.
- Jeśli usługa korzysta z uwierzytelniania certyfikatu klienta, należy skonfigurować delegowanie do używania dowolnego protokołu uwierzytelniania.
Najlepsze rozwiązania dotyczące równoważenia obciążenia i odporności na uszkodzenia
Jednym z największych czynników wpływających na przepływność, zgodnie z rozbudowanymi testami wydajności firmy Microsoft, jest opóźnienie sieci. Zamiast polegać na technologiach równoważenia obciążenia sieciowego (NLB), w usłudze zasad rejestracji certyfikatów sieci Web i składnikach klienta usługi rejestracji certyfikatów w sieci Web zostały wbudowane logika równoważenia obciążenia i odporności na uszkodzenia. Na przykład klienci automatycznie losują listę podanych punktów końcowych i próbują iterować przez listę, jeśli pierwszy punkt końcowy nie odpowiada. O ile opublikowano wiele jednolitych identyfikatorów zasobów (URI), wbudowane jest podstawowe równoważenie obciążenia i odporność na uszkodzenia.
Równoważenie obciążenia sieciowego nie powinno być używane do zapewnienia odporności na uszkodzenia ani wysokiej dostępności, ponieważ równoważenie obciążenia sieciowego może kierować ruch do hosta, na którym zasady lub usługa sieciowa są zatrzymywane lub niedostępne. Jeśli wszystkie punkty końcowe są publikowane za pojedynczym identyfikatorem URI zrównoważonym za pomocą NLB, wbudowana logika klienta nie będzie mogła wypróbować następnego identyfikatora URI, co powoduje mniej odporne na awarie rozwiązanie niż gdyby w ogóle nie stosowano specjalnego balansowania obciążenia.
Ogólne najlepsze rozwiązania dotyczące równoważenia obciążenia zasad i usług internetowych rejestracji obejmują:
- Opublikuj wiele identyfikatorów URI rejestracji i zasad, z unikalnymi nazwami DNS, najlepiej dostępnych za pośrednictwem różnych ścieżek sieciowych; pozwól wbudowanej logice klienta zapewnić równoważenie obciążenia i odporność na uszkodzenia.
- Nie publikuj wielu URI za jednym URI (chyba że to URI jest równoważone za urządzeniem obsługującym zarówno warstwę sieci, jak i aplikacji).
- Nie używaj round robin DNS ani innych technik równoważenia obciążenia DNS, które nie zapewniają inteligencji na warstwie aplikacji i routingu.
Opcje konfiguracji
W poniższych sekcjach opisano różne opcje konfiguracji usługi sieci Web rejestracji certyfikatów.
Intranet z jednym lasem
Najprostszy scenariusz wdrażania obejmuje pojedynczy las z klientami połączonymi z intranetem. W tym projekcie usługa sieci Web zasad rejestracji certyfikatów i usługa sieci Web rejestracji certyfikatów może być zainstalowana na urzędzie wystawiającym certyfikaty, ale zaleca się ich zainstalowanie na oddzielnych komputerach. Jeśli usługa sieci Web zasad rejestracji certyfikatów i usługa sieci Web rejestracji certyfikatów działają na oddzielnych komputerach, usługa sieci Web zasad rejestracji certyfikatów musi móc komunikować się z AD DS za pomocą protokołu LDAP. Usługa sieci Web rejestracji certyfikatów musi mieć możliwość nawiązania połączenia z urzędem certyfikacji przy użyciu modelu DCOM. W scenariuszach intranetowych protokół Kerberos lub NTLM jest typowym typem uwierzytelniania.
Intranet z wieloma strukturami leśnymi
Bardziej zaawansowany scenariusz intranetowy obejmuje wiele lasów z wydawaniem scentralizowanych usług tylko w jednym (lub niektórych) z nich. W tym projekcie nazwy lasów są połączone przez dwukierunkowe zaufanie między lasami, a urząd certyfikacji oraz usługi rejestracji certyfikatów w sieci Web są hostowane w tym samym lesie. Zalety tego modelu są takie, że zapewnia wysoki stopień konsolidacji w wielu środowiskach lasu. W przeszłości każdy las domenowy wymagał własnego CA do automatycznej rejestracji, teraz wszystkie usługi PKI są scentralizowane, co może spowodować znaczną redukcję całkowitej liczby wymaganych CA. Ponownie, ponieważ jest to scenariusz intranetowy, najczęstszym schematem uwierzytelniania jest Kerberos lub NTLM.
Sieć obwodowa i oddział
Ten scenariusz wdrażania umożliwia rejestrowanie użytkowników i komputerów, które nie są bezpośrednio połączone z siecią organizacji lub połączone za pośrednictwem wirtualnej sieci prywatnej (VPN). W tym projekcie usługa sieci Web zasad rejestracji certyfikatów i usługa sieci Web rejestracji certyfikatów są umieszczone w sieci obwodowej, a klienci korzystający z internetu dokonują rejestracji za pośrednictwem protokołu HTTPS do tych punktów końcowych. Ten model wdrażania jest idealnym rozwiązaniem dla użytkowników domeny, którzy często pracują zdalnie lub w scenariuszach oddziałów, w których sieć VPN lub bezpośrednie połączenie z powrotem do sieci firmowej jest zawodne.
Opcjonalnie można użyć kontrolera domeny tylko do odczytu (RODC). Klienci zewnętrzni (użytkownicy zdalni) nie mają dostępu za pośrednictwem zapory sieciowej Corp do zapisywalnego kontrolera domeny lub jednostki certyfikującej. Serwery usług internetowych do rejestracji użytkowników i zarządzania zasadami nie mają dostępu do zapisywalnego kontrolera domeny. Jednak usługa internetowa rejestracji certyfikatów musi mieć możliwość nawiązania połączenia przez zaporę ogniową z urzędem certyfikacji za pośrednictwem DCOM.
Tryb wyłącznie odnawiania
Aby usługa internetowa rejestracji certyfikatów mogła żądać certyfikatów od urzędu certyfikacji, musi delegować wywołanie do niego, podszywając się pod obiekt wywołujący. Oznacza to, że konto usługi sieci Web rejestracji certyfikatów powinno mieć włączone delegowanie. W przypadku punktów końcowych usługi sieci Web rejestracji certyfikatów dostępnych z Internetem może to nie być preferowane, ponieważ stanowi zwiększony poziom narażenia na zagrożenia pochodzące z Internetu.
Aby ograniczyć to ryzyko, tryb tylko do odnawiania umożliwia usłudze sieci Web rejestracji certyfikatów przetwarzanie tylko żądań odnowienia certyfikatu bez włączonego delegowania. Usługa sieci Web rejestracji certyfikatów używa oryginalnego certyfikatu dostarczonego z sieci wewnętrznej w celu uwierzytelnienia żądania odnowienia wysyłanego przez internet. Następnie usługa sieci Web rejestracji certyfikatów przesyła żądanie do urzędu certyfikacji w ramach własnych poświadczeń, a urząd certyfikacji odnowi certyfikat na podstawie informacji o wnioskodawcy z usługi Active Directory oryginalnego certyfikatu i/lub informacji o podmiocie w oryginalnym certyfikacie. W tym trybie nowe żądania rejestracji certyfikatów są odrzucane przez usługę rejestracji certyfikatów i nigdy nie docierają do Centrum Certyfikacji.
Z perspektywy projektowania sieci ten scenariusz łączy zarówno modele sieci wewnętrznej, jak i obwodowej omówione wcześniej.
Odnawianie oparte na kluczach
Tryb odnawiania opartego na kluczach umożliwia użycie istniejącego ważnego certyfikatu do uwierzytelniania własnego żądania odnowienia. Umożliwia to komputerom, które nie są połączone bezpośrednio z siecią wewnętrzną, możliwość automatycznego odnawiania istniejącego certyfikatu.
Można użyć odnawiania opartego na kluczach, aby umożliwić komputerom klienckim certyfikatów spoza lasu usług AD DS odnawianie certyfikatów przed ich wygaśnięciem. Obejmuje to klientów skonfigurowanych w grupach roboczych lub klientów będących członkami innych lasów usług Active Directory Domain Services (AD DS). Aby uzyskać certyfikat początkowy, należy użyć konta w lesie urzędu certyfikacji. Jednak po dystrybucji tego certyfikatu do klienta odnawianie certyfikatów oparte na kluczach nie wymaga zaufania między lasami, aby umożliwić odnowienie certyfikatu.
Na przykład certyfikat wystawiony dla serwera internetowego skonfigurowanego w grupie roboczej może zostać odnowiony przez członka domeny urzędu certyfikacji przedsiębiorstwa. Przykład takiej konfiguracji przedstawiono na poniższym diagramie.
Web1 musi mieć certyfikat podstawowego urzędu certyfikacji w magazynie zaufanych głównych urzędów certyfikacji przed żądaniem odnowienia certyfikatu. Web1 używa Certificate Enrollment Web Services do automatycznego odnawiania certyfikatów, jeśli włączono odnawianie oparte na kluczach. Administrator serwera Web1 musi upewnić się, że identyfikator URI usługi sieci Web zasad rejestracji certyfikatów jest skonfigurowany na serwerze Web1.
Uwaga
Jeśli chcesz włączyć odnawianie oparte na kluczach, musisz włączyć uwierzytelnianie certyfikatu klienta dla usługi sieci Web rejestracji certyfikatów.
Różnice w usłudze rejestrowania przez sieć Web roli urzędu certyfikacji
Mimo że usługi sieci Web rejestracji urzędu certyfikacji i rejestracji certyfikatów używają protokołu HTTPS, są one zasadniczo różne technologie. Rejestracja internetowa w urzędzie certyfikacji (CA Web Enrollment) oferuje metodę interaktywną opartą na przeglądarce do żądania indywidualnych certyfikatów, która nie wymaga żadnych specyficznych składników klienta ani konfiguracji. Rejestracja na stronie urzędu certyfikacji obsługuje tylko interaktywne żądania tworzone przez żądającego i przekazywane ręcznie przez stronę internetową. Jeśli na przykład administrator chce aprowizować certyfikat na serwerze sieci Web Apache z systemem operacyjnym Linux, można przekazać żądanie PKCS #10 utworzone przy użyciu biblioteki OpenSSL. Po wydaniu żądania przez urząd certyfikacji można pobrać certyfikat przy użyciu przeglądarki.
Usługa sieci Web zasad rejestracji certyfikatów i usługa sieci Web rejestracji certyfikatów koncentrują się na automatycznych żądaniach certyfikatów i ich aprowizacji przy użyciu rodzimego klienta. Usługi webowej rejestracji certyfikatów i webowa rejestracja CA to technologie uzupełniające. Internetowa rejestracja CA obsługuje żądania certyfikatów i różne systemy operacyjne klienta. Usługi sieci Web rejestracji certyfikatów oferują automatyczne żądania i przyznawanie certyfikatów dla komputerów klienckich.