Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Опубликовано 16 января 2007 г.
На этой странице
Введение Определение Трудности Решения Аннотация
Введение
Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.
Аннотация
Использование беспроводных локальных сетей (WLAN) в корпоративных средах вызывает в мире бизнеса много споров, однако в большинстве компаний уже развернуты те или иные беспроводные сети или, по крайней мере, рассмотрены их достоинства и недостатки. Как бы то ни было, у специалистов компаний, развернувших беспроводные сети, обычно возникает много вопросов по поводу безопасности выбранных решений, а руководители компаний, избегающие внедрения беспроводных технологий, беспокоятся об упущенных возможностях повышения производительности труда и сокращения инфраструктурных расходов.
Раньше сомнения в безопасности беспроводных технологий были вполне обоснованными, но даже сегодня беспроводные сети по традиции считаются недостаточно защищенными, потому что в протоколах IEEE 802.11 первого поколения, разработанных для защиты беспроводных сетей, были обнаружены широко обсуждавшиеся изъяны. И хотя за прошедшие годы было разработано много способов компенсации этих изъянов, большинство предлагаемых решений были слишком дорогими или имели собственные недостатки.
Однако с тех пор многое изменилось, и по мере повышения пропускной способности и надежности беспроводных сетей совершенствовались и стандарты обеспечения их безопасности. WPA и WPA2 — новейшие протоколы обеспечения безопасности беспроводных сетей, разработанные на основе стандарта IEEE 802.11i, — помогают надежно защитить трафик в беспроводных сетях даже в ситуациях, предъявляющих повышенные требования к безопасности. При правильной настройке системы с поддержкой этих стандартов защищены гораздо надежнее, чем прежние решения, и их можно смело использовать в корпоративных системах среднего размера.
Обзор
Данный документ содержит четыре основных раздела, в которых подробно рассматривается разработка и реализация эффективного решения для защиты беспроводной сети в компании среднего размера. Ниже приводится краткое описание этих разделов.
Введение. Этот раздел содержит аннотацию документа, обзор его структуры и информацию о том, на кого он ориентирован.
Определения. В этом разделе определяются и поясняются некоторые термины, которые нужно знать для понимания документа.
Проблемы. В этом разделе описываются проблемы, с которыми часто сталкиваются компании среднего размера при подготовке к развертыванию беспроводных сетей, и формируется основа для обсуждения предлагаемого в данном документе решения.
Решения. В этом разделе приводится подробное пошаговое руководство по планированию, разработке, развертыванию и поддержке защищенной беспроводной инфраструктуры. Этот раздел содержит три основных подраздела.
Оценка защищенности беспроводной сети. В данном разделе рассматриваются необходимые условия и описываются возможные варианты, которые можно взять за основу при разработке плана решения.
Разработка защищенного беспроводного сетевого решения. В этом разделе описано, как на основе информации, полученной на этапе оценки, выбрать решение, создать план его внедрения и разработать его базовые компоненты.
Развертывание и управление. Этот раздел содержит подробное пошаговое руководство по созданию описанного в данном документе защищенного беспроводного сетевого решения, а также информацию, помогающую организовать управление этим решением и проверить его соответствие требованиям.
Для кого предназначен этот документ
Этот документ ориентирован на сотрудников компаний среднего размера: технических специалистов и руководителей технических отделений, которые оценивают целесообразность использования протокола Wi-Fi Protected Access (WPA) или Wi-Fi Protected Access 2 (WPA2) для защиты беспроводной инфраструктуры. Предполагается, что читатель имеет общие технические знания о беспроводных устройствах и сетевых технологиях, имеет опыт работы с ОС Microsoft® Windows Server™ 2003, службой проверки подлинности в Интернете (Internet Authentication Service, IAS), службами сертификации и службой каталогов Active Directory® и знает, как настраивать и применять групповую политику.
Определение
Для понимания изложенных в документе сведений необходимо знать следующие термины.
AES. В стандарте AES (Advanced Encryption Standard), входящем в состав спецификации WPA2, используется симметричное блочное шифрование данных.
EAP. Extensible Authentication Protocol (EAP) — это стандарт 802.1X, позволяющий разработчикам передавать используемые при проверке подлинности данные между серверами RADIUS и точками беспроводного доступа. Протокол EAP имеет ряд вариантов, в число которых входят EAP MD5, EAP-TLS, EAP-TTLS, LEAP и PEAP.
EAP-TLS. Протокол EAP Transport Layer Security (EAP-TLS) был разработан корпорацией Майкрософт на основе стандарта 802.1X для использования цифровых сертификатов при проверке подлинности. В настоящее время он является отраслевым стандартом проверки подлинности для спецификации 802.11i.
IEEE 802.1X. Стандарт IEEE 802.1X определяет процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (RADIUS).
IEEE 802.11. Стандарт IEEE 802.11 регламентирует передачу данных в беспроводных сетях и включает несколько спецификаций: от 802.11g, которая позволяет передавать данные со скоростью более 20 Мбит/с в частотном диапазоне 2,4 ГГц, до 802.11i, которая определяет механизмы шифрования и проверки подлинности по протоколу WPA2.
IEEE 802.11i. Поправка IEEE 802.11i к стандарту 802.11 определяет методы обеспечения безопасности (WPA2), предусматривающие применение блочного шифра AES для защиты процессов проверки подлинности (EAP). Это устраняет некоторые существовавшие ранее недостатки стандартов и спецификаций обеспечения безопасности беспроводных сетей.
MS-CHAP v2. Microsoft Challenge Handshake Authentication Protocol, версия 2 (MS-CHAP v2) — это основанный на использовании паролей протокол взаимной проверки подлинности по схеме «запрос-ответ» с шифрованием данных по алгоритмам MD4 и DES. Он используется вместе с протоколом PEAP (PEAP-MS-CHAP v2) для защиты сеансов беспроводной связи.
PEAP. Защищенный протокол расширенной проверки подлинности (Protected Extensible Authentication Protocol, PEAP) — это вариант протокола расширенной проверки подлинности (EAP), устраняющий проблемы безопасности, связанные с передачей незашифрованного текста по протоколу EAP. Для этого создается безопасный канал связи, который шифруется и защищается с использованием протокола TLS.
SSID. Идентификатор беспроводной сети (SSID) — это имя, назначаемое беспроводной сети и используемое клиентом для определения корректных параметров и учетных данных, необходимых для доступа к ней.
TKIP. Протокол TKIP (Temporal Key Integrity Protocol) входит в стандарт шифрования WPA для беспроводных сетей. Этот протокол представляет собой модернизированную версию стандарта WEP, которая устраняет обнаруженные в WEP недостатки за счет поддержки смешения ключей для каждого пакета.
WEP. Спецификация Wired Equivalent Privacy (WEP) входит в стандарт IEEE 802.11 и предусматривает 64-битное или 128-битное шифрование по алгоритму RC4. В 2001 году в стандарте WEP были обнаружены серьезные недостатки, связанные преимущественно с длиной вектора инициализации поточного шифра RC4 и делающие возможным пассивное декодирование ключа RC4.
WLAN. Беспроводная локальная сеть.
WPA. Для устранения найденных в стандарте WEP изъянов в 2003 году был представлен стандарт Wi-Fi Protected Access (WPA) — совместимая с другими версиями спецификация обеспечения безопасности в беспроводных сетях, являющаяся подмножеством стандарта IEEE 802.11. Данный стандарт включает механизмы проверки подлинности и использует для шифрования данных протокол TKIP.
WPA2. Стандарт WPA2 был принят в сентябре 2004 года организацией Wi-Fi Alliance и представляет собой сертифицированную совместимую версию полной спецификации IEEE 802.11i, принятой в июне 2004 года. Как и предшествующий ему стандарт, WPA2 поддерживает проверку подлинности по протоколу IEEE 802.1X/EAP или технологию предварительных ключей, но, в отличие от своего предшественника, содержит новый усовершенствованный механизм шифрования AES (Advanced Encryption Standard), основанный на использовании протокола Counter-Mode/CBC-MAC Protocol (CCMP).
Трудности
Руководители многих организаций понимают, что беспроводные технологии позволяют повысить продуктивность работы и сотрудничества, но не решаются приступить к их внедрению, опасаясь уязвимостей, которые могут появиться в корпоративной сети вследствие использования беспроводных сетей. Разнообразие предлагаемых методов защиты беспроводных коммуникаций и разногласия по поводу их эффективности только усиливают эти сомнения.
С внедрением беспроводных технологий в компании среднего размера связано множество проблем, которые заставляют задуматься не только о защите беспроводной сети, но и о том, нужна ли она вообще. Ниже указаны некоторые из самых распространенных проблем, с которыми поможет справиться данное руководство.
Принятие решения по поводу того, следует ли развертывать беспроводную сеть.
Осознание и уменьшение риска, связанного с внедрением беспроводных технологий.
Определение подхода к защите беспроводной сети.
Выбор оптимальных технологий защиты беспроводной сети.
Проверка уровня защищенности развернутой беспроводной сети.
Интеграция имеющихся активов в решение для обеспечения безопасности беспроводной сети.
Обнаружение и предотвращение несанкционированных подключений к беспроводной сети.
Решения
В этом разделе приводится описание проектирования, разработки, реализации и поддержки защищенных беспроводных решений, которые могут быть развернуты в корпоративных системах среднего размера. Как уже было сказано, использование беспроводных технологий сопряжено со многими проблемами. Все они будут рассмотрены, чтобы преимущества беспроводных сетевых технологий можно было использовать как можно эффективнее и безопаснее.
Оценка защищенности беспроводной сети
Развитие беспроводных технологий достигло того этапа, когда они стали достаточно производительными и безопасными для использования в корпоративных системах среднего размера, но перед развертыванием беспроводной сети все еще нужно проанализировать множество разных факторов, в том числе различные методы ее защиты. В этом разделе рассматриваются популярные методы защиты беспроводных сетей, приводятся рекомендации по выбору решения, оптимального для конкретной среды, и описываются достоинства и недостатки каждого подхода.
Преимущества беспроводных сетевых технологий
Преимущества, обеспечиваемые беспроводными сетевыми технологиями, можно разделить на две категории: функциональные и экономические. Функциональные преимущества включают сокращение расходов на управление и уменьшение объема капитальных затрат, а экономические — увеличение производительности труда, повышение эффективности бизнес-процессов и появление дополнительных возможностей для создания новых бизнес-функций.
Экономические преимущества
Большинство серьезных экономических преимуществ, связанных с использованием беспроводных сетей, являются результатом повышения гибкости и мобильности сотрудников. Беспроводные технологии устраняют ограничения, вынуждающие сотрудников находиться за своими рабочими столами, позволяя сравнительно свободно перемещаться по офису или офисному зданию. Преимущества этого перечислены ниже.
Мобильные сотрудники компании, например менеджеры по продажам, могут перемещаться между офисами или работать на выезде, прозрачно подключаясь к корпоративной сети. Связь устанавливается почти мгновенно, при этом никогда не приходится искать сетевой порт или распутывать провода, что экономит много времени и усилий в сравнении с кабельными сетями.
Сотрудники технического отдела могут постоянно сохранять связь с администрируемыми системами, вне зависимости от того, в каком месте здания находятся (даже на собраниях или вдалеке от своего рабочего места). Использование портативных систем, таких как ноутбуки, планшетные и карманные ПК, позволяет сотрудникам ИТ-службы компании незамедлительно реагировать на любые возникающие потребности.
Пользователи всегда могут получить нужную информацию за считанные секунды. Собрания не приходится прерывать из-за того, что кому-то нужно сделать копии документов или вернуться на рабочее место за отчетом. Во время презентаций вместо показа расплывчатых изображений на большом экране можно загружать слайды на компьютеры участников. При проведении собраний можно использовать интерактивные технологии для связи с сотрудниками удаленных офисов и дистанционными пользователями.
Благодаря возможности быстро и легко вносить изменения в структуру организации значительно повышается ее гибкость. Отказ от сетевых кабелей позволяет иногда реструктурировать целые подразделения.
Беспроводные технологии позволяют реализовать в бизнес-среде приложения и решения новых типов и интегрировать в нее такие устройства, как карманные и планшетные ПК. Компании или их подразделения, которые раньше мало пользовались ИТ-системами из-за их ограничений, теперь тоже могут извлекать выгоду из использования сетевых технологий. Легкий доступ к информации позволяет повысить производительность труда сотрудников, работающих в столовых, ресторанах, больницах, розничных магазинах и даже в заводских цехах.
Функциональные преимущества
Функциональные преимущества беспроводных технологий также весьма разнообразны и зависят от типа компании и используемых ресурсов. Некоторые из них описаны ниже.
Благодаря ослаблению зависимости от кабельной сетевой инфраструктуры сокращаются расходы на развертывание и обслуживание сети. Развертывание беспроводной сети позволяет без больших затрат организовать доступ к сети в тех областях, в которых раньше внедрять сетевые технологии было невыгодно, в том числе вне помещений и в распределенных офисах.
Сеть можно эффективнее и быстрее адаптировать к изменениям потребностей, потому что установить или переместить точки беспроводного доступа гораздо проще, чем увеличить число сетевых портов.
Сокращается объем средств, «замороженных» в инфраструктуре, поскольку оборудование для беспроводных сетей превосходят по гибкости кабельную сетевую инфраструктуру. Это обеспечивает больше возможностей при расширении офиса или его переносе в другое место. Беспроводные сети с высокой пропускной способностью (802.11a/g/n) являются также экономически привлекательной альтернативой старым низкоскоростным сетям Ethernet и Token Ring.
Уязвимости беспроводных сетей
Чтобы понять, какой уровень безопасности обеспечивают разные решения, важно разобраться с наиболее распространенными угрозами, с которыми сталкиваются пользователи беспроводных сетей. Уязвимости традиционных сетей и типы атак, которым они могут подвергнуться, широко известны, но в случае беспроводных сетей привычными факторами риска дело не ограничивается.
Таблица 1. Типичные угрозы, которым подвергаются беспроводные сети
| Угроза | Описание |
|---|---|
| Раскрытие информации вследствие прослушивания каналов связи | Атаки, основанные на прослушивании незащищенных каналов беспроводной связи, иногда позволяют злоумышленникам получить конфиденциальные сведения, узнать учетные данные пользователей и даже присвоить их. Высококвалифицированные хакеры могут использовать полученные таким образом сведения для проведения атак на системы, проникнуть в которые при иных условиях было бы очень сложно. |
| Перехват и изменение передаваемых данных | Хакер, получивший доступ к сетевым ресурсам, может также подключить к сети свои компьютеры для перехвата и изменения данных, которыми обмениваются два законных пользователя. |
| Подделка пакетов | Доступ к внутренней сети позволяет хакеру подделывать данные и выдавать их за нормальный трафик. Примером такой атаки может служить подделка корпоративных электронных писем, которым пользователи доверяют больше, чем информации, полученной из внешних источников. Это облегчает проведение атак, основанных на использовании социотехники и троянских программ. |
| Отказ в обслуживании | Какое бы решение не использовалось для обеспечения безопасности беспроводных сетей, они очень уязвимы перед умышленными или случайными атаками типа «отказ в обслуживании» (Denial of Service, DoS). Причиной нарушения работы беспроводных сетей могут стать всего лишь помехи со стороны микроволновой печи или устройства, переполняющего сеть беспорядочным трафиком. |
| Паразитирование (кража ресурсов) |
Некоторые хакеры вторгаются в беспроводные сети просто ради бесплатного доступа в Интернет. Сами по себе такие действия не представляют угрозы, однако они отнимают сетевые ресурсы у законных пользователей и делают сеть менее защищенной от вредоносного ПО. |
| Случайные угрозы и неуправляемые соединения | В незащищенных беспроводных сетях любой посетитель может получить доступ к внутренней сети, просто включив устройство, позволяющее подключаться к беспроводным сетям. Эти неуправляемые устройства могут быть уже взломаны или хакер может использовать их как точку проникновения при атаке на сеть. |
| Нелегальные точки беспроводного доступа | Даже если в компании нет беспроводной сети, она может быть уязвима перед угрозами, которые связаны с неуправляемыми беспроводными сетями. Оборудование для беспроводных сетей стоит сравнительно недорого, поэтому любой сотрудник компании может развернуть в корпоративной среде неуправляемую и незащищенную сеть. |
| Характеристики | WPA и WPA2 | Статический алгоритм WEP | VPN | IPsec |
|---|---|---|---|---|
| Строгая проверка подлинности (см. примечание) | Да | Нет | Да, только если не используется проверка подлинности с помощью общих ключей |
Да, если используется проверка подлинности с помощью сертификатов или по протоколу Kerberos |
| Надежное шифрование данных | Да | Нет | Да | Да |
| Прозрачное подключение и восстановление подключения | Да | Да | Нет | Да |
| Проверка подлинности пользователей (см. примечание) | Да | Нет | Да | Нет |
| Проверка подлинности компьютеров (см. примечание) | Да | Да | Нет | Да |
| Защита трафика при широковещательной и многоадресной передаче | Да | Да | Да | Нет |
| Потребность в дополнительных сетевых устройствах | Да, требуются серверы RADIUS | Нет | Да, требуются системы VPN и серверы RADIUS | Нет |
| Защита доступа к беспроводной сети помимо доступа к пакетам | Да | Да | Нет | Нет |
| Компонент | Требование |
|---|---|
| Процессор | Один процессор с тактовой частотой не менее 733 МГц |
| Память | 256 МБ оперативной памяти |
| Сетевой адаптер | Отсутствует (или отключен) |
| Подсистема хранения данных на жестких дисках | RAID-контроллер IDE или SCSI 2 жестких диска объемом по 18 ГБ, сконфигурированные как один том RAID-массива уровня 1 (диск C) Съемный носитель для переноса данных (корневого сертификата). |
Как ясно из таблицы, требования к серверу корневого центра сертификации, основанные на требованиях, предъявляемых ОС Windows Server 2003 Standard Edition, совсем невелики, и при необходимости его можно создать даже на базе старой платформы, которую планируется списать, или виртуальной машины. Во многих компаниях для этого используют ноутбук, потому что вопрос с его физической защитой можно решить, просто заперев его в сейфе. Какой бы подход к созданию корневого центра сертификации не был выбран, важно гарантировать, что в случае надобности можно будет загрузить соответствующий компьютер или восстановить хранящиеся на нем данные.
Требования к аппаратным средствам выдающего центра сертификации похожи, только этот сервер должен включать дисковую подсистему большего объема и должен быть подключен к сети. Этот сервер должен хранить все выданные сертификаты, поэтому желательно, чтобы объем его дисковой подсистемы составлял как минимум 2 ГБ на каждую тысячу пользователей.
Требования к RADIUS-серверам выше, потому что эти серверы критически важны для поддержания функциональности беспроводной сети и должны быть способны обрабатывать большое число попыток проверки подлинности за короткие периоды времени. Таким образом, для систем, содержащих тысячи беспроводных клиентов, может потребоваться более производительная аппаратная платформа. Требованиям центров сертификации полностью соответствует ОС Windows Server 2003 Standard Edition, в то время как на серверах службы проверки подлинности в Интернете иногда необходимо использовать выпуск Enterprise Edition, потому что Standard Edition поддерживает только 50 клиентов RADIUS.
В силу этих причин рекомендуется устанавливать службу проверки подлинности в Интернете на контроллеры доменов, потому что это уменьшает потребность в дополнительных серверах, позволяя использовать имеющиеся надежные серверные платформы контроллеров доменов. Кроме того, развертывание службы IAS на контроллерах доменов на самом деле повышает эффективность ее работы, сокращая объем трафика, передаваемого при проверке подлинности пользователей между контроллерами доменов и службой проверки подлинности в Интернете.
При определении требований к RADIUS-серверам следует также принять во внимание перемещение при сбоях, избыточность и наличие в компании удаленных филиалов. Рекомендуется использовать как минимум два сервера службы проверки подлинности в Интернете, но если удаленных филиалов много, возможно, в некоторых из них нужно будет установить дополнительные серверы службы проверки подлинности в Интернете. Кроме того, некоторые компании могут предъявлять более высокие требования к избыточности серверов или балансировке нагрузки.
Ничто не мешает использовать в качестве RADIUS-серверов многофункциональные серверы, но при этом важно учесть дополнительную нагрузку на такой сервер и ее характер. RADIUS-сервер должен быть способен обработать запросы всех беспроводных клиентов, если они попытаются подключиться к нему за короткий период времени.
Сертификаты
Какой бы основанный на WPA подход ни использовался для защиты беспроводной сети, в решении обязательно будут использоваться сертификаты в той или иной форме. При использовании протокола PEAP сертификаты нужны только на сервере проверки подлинности, поэтому в данном случае для выдачи необходимых сертификатов можно использовать службу сторонней компании, а это означает, что развертывать инфраструктуру открытого ключа не требуется. Это главная причина того, что в небольших организациях, не всегда располагающих специалистами или ресурсами, нужными для реализации и поддержки инфраструктуры сертификатов, рекомендуется использовать подход, основанный на протоколе PEAP.
Поддерживаемая в ОС Windows реализация протокола EAP-TLS с использованием служб сертификации позволяет выдавать сертификаты и без инфраструктуры открытого ключа, но поскольку для проверки подлинности с помощью RADIUS-сервера каждый клиент должен иметь сертификат, применение сертификатов сторонних фирм может оказаться приемлемым по цене только для самых небольших компаний. Это справедливо и для подхода, основанного на использовании протокола PEAP со службами сертификации.
Если в организации уже развернута инфраструктура открытого ключа, принять решение проще, потому что для защиты беспроводной сети можно будет воспользоваться имеющимися компонентами. Но даже если инфраструктура открытого ключа в компании среднего размера отсутствует, не стоит сразу отказываться от вложения средств в инфраструктуру сертификатов, потому что ее можно использовать для решения многих других задач, ряд из которых перечислен ниже.
Подписание кода
Защищенная доставка электронной почты
Защищенная доставка веб-содержимого
Обеспечение безопасности VPN
Шифрование файлов
В целом оказывается, что подход, основанный на использовании служб сертификации с протоколом EAP-TLS или PEAP, лучше всего соответствует требованиям компаний среднего размера, и именно ему уделяется основное внимание в этом документе.
Создание заявления об использовании сертификатов
При первоначальном планировании развертывания инфраструктуры открытого ключа (PKI) следует подготовить документацию с описанием того, как сертификаты будут использоваться в бизнес-среде. Хотя эти решения можно корректировать по мере изменения требований, важно сформулировать их предварительный вариант в формальном заявлении о политике сертификатов.
Выражаясь строгим языком, политика сертификатов — это совокупность правил, определяющих работу инфраструктуры открытого ключа. Она содержит информацию о применимости сертификатов к имеющимся в организации конкретным группам или приложениям с общими требованиями к безопасности. В заявлении об использовании сертификатов в общих чертах излагаются методики, которые применяются в компании для управления выдаваемыми ею сертификатами. В нем описывается, как политика сертификатов интерпретируется в контексте политик инфраструктуры бизнес-систем и операционных процедур. Несмотря на то, что политика сертификатов действует во всей организации, заявление об использовании сертификатов специфично для центра сертификации, хотя, если центры сертификации выполняют одни и те же функции, они могут иметь общее заявление об использовании сертификатов.
В некоторых компаниях эти заявления представляют собой юридические документы, составлять которые необходимо из-за действующих в конкретной отрасли законодательных норм. При создании таких документов может потребоваться помощь юристов. Вообще говоря, составлять эти документы рекомендуется, даже если работа компании не регламентируется такими законодательными нормами.
Иерархия центров сертификации
В подходе, который описывается в данном руководстве, используется иерархическая модель доверия с единственным внутренним корневым центром сертификации. Такой подход имеет и достоинства, и недостатки, поэтому для определения того, насколько он выгоден в конкретной ситуации, иногда требуется провести более тщательный анализ. Чтобы получить дополнительные сведения об этом, обратитесь к главе Designing a Public Key Infrastructure («Проектирование инфраструктуры открытых ключей») руководства Windows Server 2003 Deployment Kit по адресу http://technet2.microsoft.com/WindowsServer/en/library/b1ee9920-d7ef-4ce5-b63c-3661c72e0f0b1033.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).
.gif)
Рис. 2. Иерархия центров сертификации
Защита корневого центра сертификации
Реализация протокола EAP-TLS от корпорации Майкрософт не будет работать, если корневой центр сертификации подключен к сети. В силу ряда веских причин, связанных с безопасностью, использовать автономный корневой центр сертификации предпочтительнее, чем корневой центр сертификации предприятия. Именно этот подход рекомендуется выбирать при реализации любой инфраструктуры открытого ключа.
Данный подход может показаться пустой тратой ресурсов, но есть методы, позволяющие при этом повторно использовать по крайней мере часть аппаратных средств корневого центра сертификации, который никогда не будет подключен к сети. Некоторые рекомендации приведены ниже.
После создания и доставки корневого сертификата в выдающий центр сертификации жесткие диски можно извлечь из корневого центра сертификации и сохранить в надежном месте, пока они не потребуются снова. Недостаток этого подхода заключается в том, что, если потребуется воспользоваться корневым центром сертификации, придется снова задействовать оборудование, к которому подключаются эти жесткие диски, прервав выполнение на нем других задач.
После создания и доставки корневого сертификата в выдающий центр сертификации можно создать резервную копию образа сервера и сохранить ее на магнитных лентах или других внешних носителях. Это позволяет снова использовать аппаратные ресурсы сервера. Однако проблема, присущая предыдущему методу, сохраняется и в этом случае.
Используйте для создания корневого центра сертификации виртуальный сервер, виртуальный ПК или другую программную виртуальную машину. После создания и доставки корневого сертификата образ виртуальной машины можно заархивировать и сохранить на внешнем носителе. Если при этом подходе использовать стандартную универсальную систему (например стандартный настольный ПК, соответствующий требованиям к оборудованию), будет легче найти необходимые аппаратные средства, когда корневой центр сертификации понадобится снова.
Создайте автономный корневой центр сертификации на старом ноутбуке и заприте его в сейфе. Это позволяет воспользоваться аппаратными ресурсами, которые в противном случае остались бы невостребованными.
Проверка подлинности в Интернете
Служба проверки подлинности в Интернете (Internet Authentication Service, IAS) — это предлагаемая корпорацией Майкрософт реализация службы RADIUS и прокси-сервера. Она позволяет централизованно выполнять проверку подлинности, авторизацию и учет использования ресурсов для различных сетевых подключений. Службу проверки подлинности в Интернете можно использовать с другими RADIUS-серверами для делегирования проверки подлинности, авторизации и учета использования ресурсов, с другими VPN-серверами (такими как серверы маршрутизации и удаленного доступа), а также с другими компонентами сетевой инфраструктуры, такими как точки беспроводного доступа.
При составлении плана развертывания инфраструктуры службы проверки подлинности в Интернете важно воспользоваться преимуществами основанной на ней инфраструктуры RADIUS, потому что она не рассчитана на предоставление доступа к единственной изолированной сети. Таким образом, при планировании и развертывании инфраструктуры службы проверки подлинности в Интернете следует принять решение о том, будет ли использоваться для управления сетевым доступом централизованный сервис, в том числе централизованная база учетных записей, такая как Active Directory, а также обеспечить удовлетворение текущих и будущих потребностей организации. Иначе говоря, развертывание инфраструктуры службы проверки подлинности в Интернете должно быть стратегическим, а не только тактическим проектом.
В данном руководстве планирование и развертывание службы проверки подлинности в Интернете рассматриваются только в контексте защиты беспроводной инфраструктуры. Описание других возможностей и проблем при планировании и развертывании инфраструктуры службы проверки подлинности в Интернете см. в разделе «Deployment Resources» на странице службы проверки подлинности в Интернете по адресу www.microsoft.com/technet/itsolutions/network/ias/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Имеющиеся RADIUS-серверы
Несмотря на то, что решение, о котором идет речь, может быть интегрировано с имеющимися RADIUS-серверами, в данном руководстве этот процесс не описывается. В большинстве случаев для реализации функций, описываемых в этом руководстве, выгоднее использовать службу проверки подлинности в Интернете. Для этого можно или обновить старые платформы до Windows 2003 Server и использовать их в качестве основных RADIUS-серверов, или настроить имеющиеся RADIUS-серверы так, чтобы они передавали трафик RADIUS новым RADIUS-серверам, основанным на ОС Windows Server 2003.
Для получения подробных инструкций по планированию переноса существующей инфраструктуры RADIUS на RADIUS-серверы, организованные на базе ОС Windows Server 2003, обратитесь к техническому руководству по службе проверки подлинности в Интернете, которое находится по адресу http://technet2.microsoft.com/WindowsServer/en/Library/8f5c89d5-fdaf-430c-9ef4-318f8c15baf11033.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке), или свяжитесь с представителем корпорации Майкрософт по работе с заказчиками или со специалистом из консалтинговой службы корпорации Майкрософт.
Перемещение при сбое RADIUS-сервера и балансировка нагрузки
RADIUS-серверы — критически важные компоненты любого решения для защиты беспроводных сетей, основанного на стандарте 802.1X, и от их доступности зависит доступность беспроводной сети. Решение RADIUS, поддерживающее беспроводные сети, должно быстро реагировать на запросы и обладать надежностью и избыточностью, чтобы обеспечивать доступность и производительность, сравнимую с проводными сетями. Именно поэтому службу проверки подлинности в Интернете рекомендуется устанавливать на имеющиеся контроллеры доменов.
Перед выбором стратегии балансировки нагрузки важно понять, что в стандарте 802.1X протокол EAP в RADIUS (EAP-RADIUS) реализуется между точкой доступа и RADIUS-сервером. Хотя RADIUS-сервер использует протокол UDP, в нем осуществляется туннелирование протокола EAP, ориентированного на установление сеанса. Это означает, что пакеты EAP-RADIUS, составляющие одну операцию проверки подлинности, должны быть возвращены тому же RADIUS-серверу, в противном случае эта попытка проверки подлинности завершится неудачей.
В беспроводных сетях применяют два подхода к обеспечению перемещения при сбоях серверов службы проверки подлинности в Интернете и балансировке нагрузки на них. Первый состоит в использовании прокси-серверов службы проверки подлинности в Интернете с группами RADIUS-серверов, а второй — в конфигурировании основных и дополнительных RADIUS-серверов путем настройки параметров точек доступа. Преимущества и недостатки каждого подхода указаны в следующей таблице.
Таблица 4. Перемещение при сбоях RADIUS-сервера и балансировка нагрузки на него при использовании протокола EAP
| Метод | Преимущества | Недостатки |
|---|---|---|
| Прокси-серверы службы проверки подлинности в Интернете с группами RADIUS-серверов |
|
|
| Параметры основных и дополнительных RADIUS-серверов на точках доступа |
|
|
В более крупных компаниях следует рассмотреть целесообразность распределения нагрузки на серверы RADIUS с помощью прокси-серверов RADIUS, сконфигурированных в группах серверов RADIUS. Это обеспечивает дополнительную гибкость, позволяя распределять трафик на основе ряда настраиваемых параметров, в число которых помимо взвешенных коэффициентов и значений приоритета входят тип трафика RADIUS и атрибуты RADIUS. Кроме того, такая архитектура обеспечивает максимальную гибкость и масштабируемость обслуживания запросов проверки подлинности, и ее легче администрировать.
Упрощенные функции перемещения при сбоях RADIUS-серверов, встроенные в точки доступа, отвечают требованиям большинства организаций, но это менее гибкое решение, чем использование групп прокси-серверов. Однако перейти с этой архитектуры на решение для перемещения при сбоях и балансировки нагрузки, основанное на прокси-серверах RADIUS, сравнительно легко. Если компании нужна небольшая или ограниченная зона покрытия, первое решение окажется эффективным и простым в реализации, но по мере увеличения размера и сложности беспроводной сети его реализация и администрирование будут требовать все больше усилий, потому что для поддержания равномерного распределения нагрузки между серверами нужно тщательно планировать установку каждого устройства и следить за его работой.
.gif)
Рис. 3. Методы перемещения при сбоях RADIUS-серверов и балансировки нагрузки на них в беспроводной сети
Для балансировки нагрузки с использованием встроенных функций точек доступа нужно в каждой зоне доступа разделить точки доступа примерно пополам и сконфигурировать их так, чтобы в каждой половине в качестве основного RADIUS-сервера использовался дополнительный RADIUS-сервер другой половины и наоборот (см. рис. 3). Высокие накладные расходы при этом подходе связаны с необходимостью тщательно контролировать нагрузку на точки доступа для достижения и поддержания оптимального уровня ее распределения.
Требования к ведению журналов RADIUS
Серверы службы проверки подлинности в Интернете могут регистрировать два типа необязательных событий.
Успешные и неудачные попытки проверки подлинности.
Данные RADIUS, связанные с проверкой подлинности и учетом.
События проверки подлинности генерируются устройствами и пользователями при попытке доступа к беспроводной сети и регистрируются службой проверки подлинности в Интернете в журнале системных событий Windows Server 2003. Эта информация может пригодиться при устранении неполадок, обнаружении вторжений и аудите безопасности. Первоначально следует активировать регистрацию событий, извещающих и об успешных, и о неудачных попытках проверки подлинности, но рано или поздно нужно начать фильтровать эту информацию, чтобы избежать переполнения журнала системных событий. Использование регистрации запросов проверки подлинности RADIUS может сделать ненужным использование этих событий для обеспечения безопасности.
Централизованные или распределенные серверы службы проверки подлинности в Интернете
В большинстве компаний средних размеров за отправную точку проекта следует взять централизованную архитектуру серверов службы проверки подлинности в Интернете (IAS). Здесь делается предположение, что в распоряжении большинства таких компаний имеются надежные высокоскоростные соединения с удаленными филиалами через глобальную сеть и что на передачу трафика RADIUS не расходуется значительной доли пропускной способности, потому что эта архитектура рассчитана на использование соединений через глобальные сети и коммутируемых соединений. Кроме того, при наличии готовой избыточной и высокоскоростной глобальной сетевой инфраструктуры централизованная архитектура более эффективна с экономической точки зрения.
Но даже при выполнении этих условий перед выбором централизованной архитектуры нужно проанализировать текущие характеристики имеющихся каналов связи через глобальную сеть, потому что при перегрузке этих каналов время ожидания для некоторых видов трафика, например трафика DHCP, может истечь при ожидании завершения попыток проверки подлинности по стандарту 802.1X. Помимо связи с клиентами есть и другие факторы, на которые следует обратить внимание при рассмотрении централизованной архитектуры службы проверки подлинности в Интернете, потому что для взаимодействия серверов службы проверки подлинности в Интернете с контроллерами домена нужны надежные сетевые соединения. Это требуется для того, чтобы предотвратить истечение временных интервалов, отпущенных на выполнение операций, при определении прав доступа к сети и членства в группах.
Некоторые компании централизованная архитектура не устраивает из-за расходов, связанных с приобретением и обслуживанием избыточных высокоскоростных соединений через глобальную сеть и сложного сетевого оборудования. Такие компании могут использовать распределенную архитектуру службы проверки подлинности в Интернете, особенно, если у них уже развернута децентрализованная серверная инфраструктура.
Возможен также подход, объединяющий эти два варианта. Он включает стратегическое размещение серверов службы проверки подлинности в Интернете на объектах, позволяющих обеспечить поддержку инфраструктуры, и использование этих серверов для предоставления услуг проверки подлинности филиалам компании, в которых базовая серверная инфраструктура может отсутствовать (см. рис. 4).
.gif)
Рис. 4. Смешанный подход к созданию серверной инфраструктуры службы проверки подлинности в Интернете в беспроводной сети
В данном руководстве, которое объединяет все три модели, описывается конфигурирование крупных центральных офисов с двумя RADIUS-серверами, способными обслуживать и локальные, и удаленные запросы, и крупных домашних офисов с необязательными филиалами с одним сервером.
Примечание. В этом случае наличие доступа к беспроводной сети из удаленных офисов, в которых нет серверной инфраструктуры, также будет зависеть от доступности глобальной сети.
Размещение серверов службы проверки подлинности в Интернете и соображения по поводу совмещения функций
Для поддержания доступности служб глобальной сети требуются как минимум два RADIUS-сервера на каждый независимый лес Active Directory. Кроме этого базового требования есть ряд других факторов, от которых зависит число необходимых серверов и возможность их использования для выполнения других серверных функций.
Как правило, размещать серверы службы проверки подлинности в Интернете следует в соответствии с размещением контроллеров домена, то есть, если в офисе уже используется соединение через глобальную сеть с другим офисом для доступа к службам домена, скорее всего, следует использовать и удаленный RADIUS-сервер. В крупных офисах со своими контроллерами домена, скорее всего, нужно будет установить хотя бы по одному RADIUS-серверу. При наличии возможности его следует дополнить резервной системой, расположенной в другом месте, с которым имеется канал связи через глобальную сеть. При планировании размещения RADIUSсерверов для обеспечения надежной проверки подлинности локальных пользователей, а также размещения контроллеров домена, используемых для проверки подлинности, следует оценить пропускную способность канала связи через глобальную сеть, потому что реализация решения приведет к увеличению объема трафика. Кроме того, для повышения производительности RADIUS-серверы следует устанавливать в корневом домене леса; чтобы оптимизировать операции Kerberos.
Возможно также, что в итоге решающим фактором при выборе того или иного варианта окажется невозможность установить дополнительные серверы в малых удаленных офисах из-за отсутствия места или инфраструктуры для поддержки дополнительных серверов. В таких случаях сервер службы проверки подлинности в Интернете можно совместить с контролером домена Active Directory. Некоторые преимущества и недостатки этого подхода указаны в следующей таблице.
Таблица 5. Соображения по совмещению сервера службы проверки подлинности в Интернете и контроллера домена
| Расположение службы проверки подлинности в Интернете | Преимущества | Недостатки |
|---|---|---|
| Совместное расположение на контроллере домена |
|
|
| Независимые серверы службы проверки подлинности в Интернете |
|
|
Как указано в этой таблице, есть причина тому, что многие организации принимают политики, ограничивающие функциональность контроллеров домена своими собственными серверами — контроллеры домена являются критически важным элементом сети. Кроме того, при создании сервера службы проверки подлинности в Интернете на контроллере домена могут возникнуть проблемы с безопасностью, если имеет место разделение обязанностей двух административных групп, потому что изначального разделения групп администраторов службы проверки подлинности в Интернете и локальных администраторов Windows в этом случае нет. Перед принятием решения о совмещении сервера службы проверки подлинности в Интернете с контроллером домена нужно проанализировать подобные факторы. С другой стороны, совмещение этих компонентов среды обеспечивает повышение производительности, не говоря уж об очевидной экономии, особенно в удаленных филиалах.
Чтобы исключить расходы на приобретение дополнительных серверов для удаленных офисов, в качестве серверов службы проверки подлинности в Интернете можно использовать контроллеры домена, которые, возможно, уже есть в удаленных офисах. Это можно сделать или непосредственно, или установив на имеющийся контроллер домена виртуальную машину.
Оценка нагрузки на серверы и требований к аппаратным средствам
При оценке и планировании возможной нагрузки на серверы следует ориентироваться на самый неблагоприятный сценарий: что, если за короткий период все пользователи беспроводной сети попытаются выполнить проверку подлинности во время перемещения при сбое? Конечно, оптимален тот вариант решения, который включает минимальное число серверов, нужных для адаптации к всплескам нагрузки, и в то же время обеспечивает возможность расширения по мере увеличения требований.
При планировании нагрузки на серверы службы проверки подлинности в Интернете и составлении требований к ним следует принять во внимание следующее:
Число пользователей и устройств, нуждающихся в услугах проверки подлинности и учета.
Параметры проверки подлинности, такие как тип EAP и частота повторения проверки подлинности.
Параметры RADIUS, такие как характеристики ведения журналов и программной трассировки службы проверки подлинности в Интернете.
Описывая данное решение, основанное на использовании стандарта WPA или WPA2 с протоколом EAP-TLS и службами сертификации, важно отметить, что, в отличие от WEP, стандарты WPA и WPA2 устраняют необходимость принудительного выполнения повторной проверки подлинности для обновления ключей сеанса, что сокращает накладные расходы. Кроме того, надо сказать, что при первоначальной проверке подлинности по протоколу EAP-TLS выполняются требовательные к вычислительным ресурсам операции над открытым ключом, после чего для ускорения переподключения при последующих попытках входа в систему используются кэшированные учетные данные вплоть до окончания срока их действия, который по умолчанию составляет 8 часов. Заслуживает внимания и то, что повторная проверка подлинности при переключении клиента с точки доступа, подтверждающей свою подлинность одному RADIUS-серверу, на точку доступа, которая подтверждает подлинность другому серверу, выполняется только один раз на каждый сервер проверки подлинности и прозрачна для пользователя.
При оценке требований к серверу службы проверки подлинности в Интернете в качестве единицы измерения потенциальной нагрузки можно использовать число проверок подлинности в секунду. Примерная производительность сервера службы проверки подлинности в Интернете со службой Active Directory, созданного на основе платформы с процессором Intel Pentium 4 с тактовой частотой 2 ГГц, указана в следующей таблице.
Таблица 6. Число проверок подлинности в секунду
| Тип проверки подлинности | Число проверок подлинности в секунду |
|---|---|
| Новые проверки подлинности по протоколу EAP-TLS | 36 |
| Новые проверки подлинности по протоколу EAP-TLS с поддержкой разгрузочных карт | 50 |
| Проверки подлинности с быстрым переподключением | 166 |
| Параметр | Ссылка | Значение |
|---|---|---|
| DNS-имя леса Active Directory | ||
| Различающееся имя корня леса | Pkiparams.vbs | |
| NetBIOS-имя домена | ||
| NetBIOS-имя рабочей группы корневого центра сертификации | ||
| Имя сервера корневого центра сертификации | ||
| Имя сервера выдающего центра сертификации | ||
| Общее имя X.500 корневого центра сертификации | ||
| Общее имя X.500 выдающего центра сертификации | ||
| Полное имя веб-сервера, используемого для публикации сертификатов центров сертификации | Pkiparams.vbs |
| Параметр | Ссылка | Значение |
|---|---|---|
| Группы безопасности административных ролей | ||
| Администраторы контейнера конфигурации службы открытых ключей. | ca_setup.wsf | Enterprise PKI Admins |
| Группа администраторов с правом публикации списков отзыва сертификатов и сертификатов центров сертификации в корпоративном контейнере конфигурации. | ca_setup.wsf | Enterprise PKI Publishers |
| Группа администраторов, которые конфигурируют и обслуживают центры сертификации, а также контролируют возможность назначения всех остальных ролей центра сертификации и обновления сертификата центра сертификации. | ca_setup.wsf | CA Admins |
| Группа администраторов, утверждающих заявки на сертификаты и запросы отзыва сертификатов (роль должностного лица центра сертификации). | ca_setup.wsf | Certificate Managers |
| Группа администраторов, управляющих журналами аудита и безопасности центров сертификации. | ca_setup.wsf | CA Auditors |
| Группа администраторов, управляющих резервным копированием данных центров сертификации. | ca_setup.wsf | CA Backup Operators |
| Конфигурация служб IIS | ||
| Имя виртуального каталога IIS, используемого для публикации сертификата центра сертификации и списка отзыва сертификатов. | Pkiparams.vbs | pki |
| Физический путь в выдающем центре сертификации, сопоставленный с виртуальным каталогом IIS. | C:\CAWWWPub | Pkiparams.vbs |
| Общие параметры центра сертификации | ||
| Имя диска, на котором хранятся файлы запросов служб сертификации, и путь к этим файлам. | C:\CAConfig | Pkiparams.vbs |
| Имя диска, на котором хранятся журналы баз данных служб сертификации, и путь к этим журналам. | %windir%\System32\CertLog | |
| Конфигурация корневого центра сертификации | ||
| Длина ключа корневого центра сертификации (см. примечание) | 4096 | |
| Срок действия сертификата корневого центра сертификации (в годах) | Pkiparams.vbs | 16 |
| Максимальный срок действия сертификатов, выданных корневым центром сертификации (в годах) | Pkiparams.vbs | 8 |
| Интервал публикации списка отзыва сертификатов корневым центром сертификации (в месяцах) | Pkiparams.vbs | 6 |
| Период перекрытия списков отзыва сертификатов (в днях) | Pkiparams.vbs | 10 |
| Период публикации разностных списков отзыва сертификатов корневым центром сертификации (в часах, 0=отключить) | Pkiparams.vbs | 0 |
| Конфигурация выдающего центра сертификации | ||
| Имя диска, на котором хранится база данных служб сертификации, и путь к ней | D:\CertLog | |
| Длина ключа выдающего центра сертификации | 2048 | |
| Срок действия сертификата выдающего центра сертификации (в годах) | Pkiparams.vbs | 8 |
| Максимальный срок действия сертификатов выдающего центра сертификации (в годах) | Pkiparams.vbs | 4 |
| Интервал публикации списка отзыва сертификатов выдающим центром сертификации (в днях) | Pkiparams.vbs | 7 |
| Период перекрытия списков отзыва сертификатов (в днях) | Pkiparams.vbs | 4 |
| Период публикации разностных списков отзыва сертификатов выдающим центром сертификации (в днях, 0=отключить) | Pkiparams.vbs | 1 |
| Период перекрытия разностных списков отзыва сертификатов (в днях) | Pkiparams.vbs | 1 |
| Прочие параметры | ||
| Путь к сценариям установки | C:\MSSScripts |
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Пользователь / группа</th>
<th style="border:1px solid black;" >Разрешение</th>
<th style="border:1px solid black;" >Предоставить / отказать</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Администраторы</td>
<td style="border:1px solid black;">Полный доступ</td>
<td style="border:1px solid black;">Предоставить</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">System</td>
<td style="border:1px solid black;">Полный доступ</td>
<td style="border:1px solid black;">Предоставить</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Владельцы-создатели</td>
<td style="border:1px solid black;">Полный доступ (только к вложенным папкам и файлам)</td>
<td style="border:1px solid black;">Предоставить</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Пользователи</td>
<td style="border:1px solid black;">Чтение и просмотр содержимого папки</td>
<td style="border:1px solid black;">Предоставить</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">IIS_WPG</td>
<td style="border:1px solid black;">Чтение и просмотр содержимого папки</td>
<td style="border:1px solid black;">Предоставить</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Гостевая учетная запись Интернета</td>
<td style="border:1px solid black;">Запись</td>
<td style="border:1px solid black;">Отказать</td>
</tr>
</tbody>
</table>
Используя консоль управления IIS, создайте новый виртуальный каталог на веб-узле по умолчанию:
Назначьте виртуальному каталогу имя pki
Укажите в качестве пути C:\CAWWWPub
Снимите в окне разрешений на доступ к виртуальному каталогу флажок «Запуск сценариев».
Убедитесь в том, что для виртуального каталога включена анонимная проверка подлинности.
Выбор DNS-псевдонима для пункта публикации HTTP
Для разрешения сервера IIS, на котором размещены точки доступа к сведениям о центрах сертификации и распространения списков отзыва сертификатов, нужно создать общий DNS-псевдоним (CNAME). Этот псевдоним будет использован в следующих разделах при настройке путей к этим точкам для центров сертификации. Используя псевдонимы, можно легко перемещать пункты публикации центров сертификации на другие серверы или сетевые устройства без выдачи новых сертификатов центров сертификации.
Другие операции по конфигурированию решения и компонентов операционной системы
Кроме уже описанных действий по настройке, рекомендуется также выполнить перечисленные ниже.
Служба обновления корневых сертификатов. Службу обновления корневых сертификатов следует отключить, потому что автоматически обновлять корневое доверие центров сертификации невыгодно. Чтобы удалить эту службу, просто введите в командной строке следующую команду:
sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_RemoveRootUpdate.txt
Файл OC\_RemoveRootUpdate.txt содержит следующие строки:
```
\[Components\] rootautoupdate = off
Убедитесь в том, что корневой центр сертификации не подключен к сети и что выдающий центр сертификации не связан с Интернетом входящим или исходящим соединением.
Проверьте, нужно ли установить после установки IIS какие-либо дополнительные обновления.
Установите служебные программы Windows Server 2003. Делать это необязательно, но они пригодятся при выполнении некоторых операций с использованием центра сертификации, а также при поиске и устранении неполадок.
Установите библиотеку CAPICOM. Для выполнения некоторых сценариев установки и управления, распространяемых с этим руководством, в корневом и выдающем центрах сертификации должна быть установлена библиотека CAPICOM 2.1. Сведения о библиотеке CAPICOM и ссылку на ее загрузку можно найти по адресу www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
Фундаментальные требования к инфраструктуре домена Active Directory, описанные в этом разделе, основаны на архитектуре службы Microsoft Windows Server 2003 Active Directory. Если используется служба Active Directory, реализованная в Windows 2000, требования могут быть другими. Дополнительные требования к структуре доменов, основанных на ОС Windows 2000, см. в документе «Повышение функционального уровня домена и леса в ОС Windows Server 2003», который можно найти по адресу http://support.microsoft.com/kb/322692 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Кроме того, для использования рассматриваемого решения нужен функциональный уровень домена не ниже основного режима Windows 2000 — по крайней мере, в том домене, в котором будут установлены серверы центров сертификации. Это требование объясняется тем, что в решении используются универсальные группы Active Directory, которые доступны в основном режиме ОС Windows 2000 и более поздних версий.
Создание административных групп инфраструктуры открытого ключа и центров сертификации
В рассматриваемом решении определяются несколько групп безопасности, соответствующих отдельным административным ролям. Этот подход обеспечивает высокую степень контроля над делегированием, выполняемым при администрировании центров сертификации, в соответствии с принципом наименьших привилегий. Однако нет никакой другой причины использовать этот подход, если он не соответствует принятой в организации административной модели.
Чтобы создать административные группы центра сертификации в домене, выполните следующие действия.
Войдите на компьютер, являющийся членом домена, используя учетную запись, которая позволяет создавать объекты пользователей и групп в контейнере «Пользователи» (Users).
Выполните для создания групп управления центром сертификации домена следующую команду:
Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf
Этот сценарий создаст группы безопасности, указанные в следующей таблице. Они будут созданы как универсальные группы в контейнере «Пользователи» (Users) домена, и их можно будет переместить в другие подразделения, если того потребуют какие-либо принятые в организации политики.
**Таблица 10. Названия и описания групп**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Название группы</th>
<th style="border:1px solid black;" >Описание</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Enterprise PKI Admins</td>
<td style="border:1px solid black;">В эту группу входят администраторы контейнера конфигурации служб открытых ключей.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Enterprise PKI Publishers</td>
<td style="border:1px solid black;">Члены этой группы могут публиковать списки отзыва сертификатов и сертификаты центров сертификации для контейнера конфигурации «Предприятие» (Enterprise).</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA Admins</td>
<td style="border:1px solid black;">Члены этой группы имеют полный административный контроль над центром сертификации, в том числе возможность определять членство других ролей.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Certificate Managers</td>
<td style="border:1px solid black;">Члены этой группы управляют выдачей и отзывом сертификатов.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA Auditors</td>
<td style="border:1px solid black;">Члены этой группы управляют данными об аудите центра сертификации.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA Backup Operators</td>
<td style="border:1px solid black;">Члены этой группы имеют разрешения на резервное копирование и восстановление ключей и данных центров сертификации.</td>
</tr>
</tbody>
</table>
В процедурах установки, описываемых в оставшейся части документа, должны использоваться учетные записи из групп Enterprise PKI Admins, Enterprise PKI Publishers и CA Admins, поэтому перед продолжением их нужно заполнить этими учетными записями. Если все роли, имеющие отношение к центру сертификации, возложены на одного человека, всем группам можно назначить одну учетную запись, однако в большинстве компаний роли и обязанности сотрудников в той или иной степени разделены, хотя и не по такой сложной схеме, как в приведенной выше таблице. В компаниях с упрощенным разделением служебных обязанностей часто делят области ответственности следующим образом.
**Таблица 11. Упрощенная модель администрирования**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Административная роль</th>
<th style="border:1px solid black;" >Членство в группах</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">CA Administrator</td>
<td style="border:1px solid black;">Enterprise PKI Admins, CA Admins, Certificate Managers, Administrators</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA Auditor</td>
<td style="border:1px solid black;">CA Auditors, Administrators</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA Backup Operator</td>
<td style="border:1px solid black;">CA Backup Operators</td>
</tr>
</tbody>
</table>
###### Рекомендуемая структура подразделений домена
Управлять инфраструктурой открытых ключей и использовать ее будут несколько групп и пользовательских учетных записей. Возможно, их потребуется организовать в ту или иную структуру подразделений — это зависит от действующих политик. Так как эта структура может определяться уже используемыми корпоративными политиками, ниже предлагается один из вариантов, который можно изменять в соответствии с конкретными потребностями.
**Чтобы создать иерархию подразделений, работающих со службами сертификации, выполните следующие действия.**
1. Войдите в систему, используя учетную запись, позволяющую создавать подразделения и делегировать в них разрешения.
2. Создайте структуру подразделений в соответствии со следующей таблицей.
**Таблица 12. Пример структуры подразделения**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Подразделение</th>
<th style="border:1px solid black;" >Описание</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Certificate Services</td>
<td style="border:1px solid black;">Родительское подразделение</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">\-Certificate Services Administration</td>
<td style="border:1px solid black;">Содержит административные группы, управляющие центрами сертификации и конфигурацией корпоративной инфраструктуры открытых ключей.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">\-Certificate Template Management</td>
<td style="border:1px solid black;">Содержит группы, управляющие отдельными шаблонами сертификатов.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">\-Certificate Template Enrollment</td>
<td style="border:1px solid black;">Содержит группы, имеющие разрешения на подачу заявок или автоматическую подачу заявок в одноименных шаблонах. Контроль над этими группами можно делегировать соответствующим сотрудникам без изменения самих шаблонов.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">\-Certificate Services Test Users</td>
<td style="border:1px solid black;">Содержит временные тестовые учетные записи.</td>
</tr>
</tbody>
</table>
3. Предоставьте группе Enterprise PKI Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
###### Предоставление разрешений контейнеру служб открытых ключей
Параметры безопасности контейнера служб открытых ключей нужно изменить так, чтобы члены группы Enterprise PKI Admins могли устанавливать центры сертификации предприятия и конфигурировать шаблоны сертификатов, не являясь при этом членами группы Enterprise Admins. Кроме того, членам группы Enterprise PKI Publishers нужно разрешить публиковать списки отзыва сертификатов и сертификаты центров сертификации без прав Enterprise Admin.
Для внесения следующих изменений нужно использовать учетную запись, эквивалентную Active Directory Enterprise Admin.
**Чтобы предоставить разрешения членам группы Enterprise PKI Admins, выполните следующие действия.**
1. Войдите в систему как член группы безопасности Enterprise Admins.
2. В оснастке консоли управления «Active Directory — сайты и службы» откройте в меню **«Вид»** узел **«Службы»**, после чего найдите вложенный контейнер Public Key Services и откройте его свойства.
3. Добавьте на вкладке **«Безопасность»** группу безопасности Enterprise PKI Admins и предоставьте ей полный контроль.
4. В **режиме расширенного просмотра** измените разрешения этой группы так, чтобы разрешение на полный доступ относилось к данному объекту и всем дочерним объектам.
5. Выберите контейнер **«Службы»** и откройте его свойства.
6. Добавьте на вкладке **«Безопасность»** группу безопасности Enterprise PKI Admins и предоставьте ей полный доступ.
7. В **режиме расширенного просмотра** измените разрешения этой группы так, чтобы разрешение на полный доступ относилось только к данному объекту.
**Чтобы предоставить разрешения членам группы Enterprise PKI Publishers, выполните следующие действия.**
1. Войдите в систему как член группы безопасности Enterprise Admins.
2. В оснастке консоли управления «Active Directory — сайты и службы» отобразите узел **«Службы»** и откройте свойства контейнера Public Key Services\\AIA.
3. Добавьте на вкладке **«Безопасность»** группу безопасности Enterprise PKI Publishers и предоставьте ей разрешения на выполнение перечисленных ниже операций.
- Чтение
- Запись
- Создание всех дочерних объектов
- Удаление всех дочерних объектов
4. В **режиме расширенного просмотра** измените разрешения этой группы так, чтобы они относились к данному объекту и всем дочерним объектам.
5. Повторите этапы 2—4 для следующих контейнеров:
- Public Key Services\\CDP
- Public Key Services\\Certification Authorities
###### Предоставление разрешений членам группы Cert Publishers
Все учетные записи компьютеров центра сертификации предприятия в домене будут относиться к группе безопасности Cert Publishers. Эта группа будет использоваться для применения разрешений к объектам пользователей и компьютеров, а также к объектам в контейнере CDP, упомянутом в описании предыдущей процедуры. При каждой установке центра сертификации учетную запись его компьютера нужно будет добавлять в эту группу.
Чтобы члены группы Enterprise PKI Admins могли устанавливать центры сертификации предприятия, нужно изменить разрешения этой группы.
**Чтобы предоставить разрешения на изменение членства группе Cert Publishers, выполните следующие действия.**
1. Войдите в систему как член группы Domain Admins в домене, в котором будут установлены выдающие центры сертификации.
2. Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».
3. Откройте меню **«Вид»** и убедитесь в том, что элемент **«Дополнительные параметры»** выбран.
4. Найдите группу Cert Publishers (по умолчанию она находится в контейнере Users) и отобразите ее свойства.
5. На вкладке **«Безопасность»** добавьте группу Enterprise PKI Admins и нажмите кнопку **«Дополнительно»**.
6. Выберите из списка группу Enterprise PKI Admins и нажмите кнопку **«Изменить»**.
7. Откройте вкладку **«Свойства»** и убедитесь в том, что в поле **«Применять»** выбран вариант **«Только для этого объекта»**.
8. Прокрутите столбец **«Разрешить»** и щелкните в нем поле **«Запись членов» (Write Members)**.
9. Сохраните изменения и закройте по очереди все диалоговые окна, нажимая кнопку **ОК**.
10. Перезапустите сервер выдающего центра сертификации перед установкой компонента «Службы сертификации». После перезапуска сервер сможет выбрать членство в новой группе в своем маркере доступа.
###### Предоставление разрешений на восстановление группе Enterprise PKI Admins
Для установки служб сертификации необходимо право на восстановление файлов и каталогов в том домене, в котором будет размещен центр сертификации предприятия. Оно необходимо для объединения дескрипторов безопасности шаблонов и других объектов каталогов, что позволяет предоставить корректные разрешения объектам инфраструктуры открытых ключей домена. Имеющиеся в домене группы администраторов, операторов сервера и операторов архива имеют это право по умолчанию.
Так как для установки центра сертификации будет использована группа Enterprise PKI Admins, ей нужно предоставить право на восстановление файлов и каталогов.
**Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise PKI Admins, выполните следующие действия.**
1. Войдите в систему как член группы администраторов домена, в котором будет установлен выдающий центр сертификации.
2. Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».
3. Выберите подразделение контроллеров домена и откройте его свойства.
4. На вкладке **«Групповая политика»** выберите пункт **«GPO — политика контроллеров домена по умолчанию»** и нажмите на кнопку **«Изменить»**.
5. Откройте папку Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\User Rights Assignment и дважды щелкните **«Восстановление файлов и каталогов»**.
6. Добавьте в отображенный список группу Enterprise PKI Admins.
7. Закройте диалоговое окно и консоль управления объектами групповой политики.
**Примечание**. Если есть другие объекты групповой политики, задающие на контроллерах домена право пользователя на восстановление файлов и каталогов, эту процедуру нужно выполнять с использованием объекта с наивысшим приоритетом, а не с использованием политики контроллеров домена по умолчанию. Параметры прав пользователей не накапливаются, и будет действовать только последний примененный объект групповой политики, имеющий это право.
###### Конфигурирование сервера корневого центра сертификации
Как было сказано выше, в этом руководстве не приводятся пошаговые инструкции по установке ОС Windows Server 2003, потому что в большинстве компаний уже имеется документированный процесс установки серверов. Серверы корневых центров сертификации отличаются от других серверов в том смысле, что их никогда не подключают к сети; это нужно для того, чтобы они не были скомпрометированы.
Таким образом, при установке и настройке сервера корневого центра сертификации нужно гарантировать, что он не будет подключен к сети. На некотором этапе для предотвращения случайного подключения нужно отключить его сетевые адаптеры. Из-за того, что этот сервер не будет подключен к сети, он будет находиться в рабочей группе, имя которой следует выбрать и зафиксировать перед установкой сервера.
**Примечание**. Несмотря на то, что корневой центр сертификации создается и работает в автономном режиме, его имя должно быть уникальным в сетевой среде.
###### Файл CAPolicy.inf
Выбрав подходящий сервер для создания корневого центра сертификации и установив на него операционную систему, следует создать файл capolicy.inf. Этот файл необходим для создания корневого центра сертификации, потому что он определяет характеристики сертификата корневого центра сертификации с собственной подписью, такие как длина ключа и срок действия сертификата.
Информация о списках отзыва сертификатов и доступа к сведениям о центрах сертификации не нужна для сертификата корневого центра сертификации, поэтому в файле capolicy.inf параметры CRLDistributionPoint и AuthorityInformationAccess имеют значение Empty.
**Чтобы создать файл CAPolicy.inf, выполните следующие действия.**
1. Используя Блокнот или другой текстовый редактор, создайте обычный текстовый файл со следующим текстом:
```
\[version\] Signature=”$Windows NT$” \[Certsrv\_server\] RednewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=16 \[CRLDistributionPoint\] Empty=true \[AuthorityInformationAccess\] Empty=true
Если для центра сертификации определено заявление об использовании сертификатов, включите в файл capolicy.inf следующий текст, заменяя значения, набранные курсивом, значениями, специфичными для используемой реализации:
[CAPolicy] Policies=company CPS name [company CPS name] OID=the.company.OID URL=”http://www.companyurl.com/cpspagename.htm”
3. Сохраните этот текстовый файл как *%windir%*\\Capolicy.inf (замените *%windir%* абсолютным путем к папке установки Windows, например C:\\Windows). Для сохранения этого файла в папке Windows нужно использовать учетную запись администратора или учетную запись с эквивалентными разрешениями.
###### Установка программных компонентов служб сертификации
Воспользуйтесь для установки программных компонентов центра сертификации мастером компонентов Windows. Имейте в виду, что для их установки необходим доступ к носителю с установочными файлами ОС Windows Server 2003.
**Чтобы установить службы сертификации, выполните следующие действия.**
1. Войдите в систему как член группы локальных администраторов и запустите диспетчер дополнительных компонентов или откройте панель управления, дважды щелкните значок «Установка и удаление программ» и выберите установку компонентов Windows.
```
sysocmgr /i:sysoc.inf
Выберите службы сертификации (чтобы проигнорировать предупреждение об изменении имени, нажмите на кнопку «Да»).
Выберите в качестве типа центра сертификации «Изолированный корневой ЦС» и убедитесь в том, что флажок «Использовать пользовательские параметры» установлен.
Оставьте значения по умолчанию в диалоговом окне «Пара из открытого и закрытого ключей» неизменными за исключением поля «Длина ключа», в котором нужно задать значение 4096, и поля «Тип поставщика (CSP)», в котором нужно задать значение Microsoft Strong Cryptographic Provider.
Введите в следующие поля идентификационную информацию о центре сертификации, собранную на этапе подготовки.
Общее имя центра сертификации:
Суффикс различающегося имени:
Срок действия: 8 лет
После этого поставщик службы криптографии сгенерирует пару ключей, которая будет сохранена в локальном хранилище ключей.
Примечание. Если в системе ранее был установлен центр сертификации, появится диалоговое окно с предупреждением о перезаписи имеющегося закрытого ключа. Прежде чем продолжить, убедитесь в том, что этот ключ больше никогда не потребуется.
Местоположения базы данных сертификатов, журналов базы данных и конфигурационной папки оставьте без изменений. После этого диспетчер дополнительных компонентов установит компоненты служб сертификации, и для продолжения процесса потребуется носитель с установочными файлами ОС Windows Server 2003.
Нажмите кнопку ОК, чтобы проигнорировать предупреждения, связанные со службами IIS, и продолжите процесс установки до его завершения.
Настройка свойств корневого центра сертификации
При настройке корневого центра сертификации в соответствии с инструкциями, приведенными ниже, нужно будет задать ряд параметров, специфических для среды. Прежде чем продолжить, соберите необходимую для этого информацию, следуя указаниям, содержащимся в описании подготовительного этапа.
Чтобы настроить свойства корневого центра сертификации, выполните следующие действия.
Войдите на сервер центра сертификации как член группы локальных администраторов.
Измените сценарий C:\MSSScripts\pkiparams.vbs следующим образом:
Назначьте параметру AD_ROOT_DN различающееся имя домена корня леса Active Directory.
Измените параметр HTTP_PKI_VROOT в соответствии с HTTP-путем к виртуальному каталогу IIS, созданному ранее.
Выполните следующий сценарий:
Cscript //job:RootCAConfig C:\MSSScripts\ca_setup.wsf
###### Настройка административных ролей
Чтобы можно было использовать группы безопасности, созданные ранее, их нужно сопоставить с административными ролями, такими как аудитор и диспетчер сертификатов.
**Примечание**. Скорее всего, в большинстве компаний будет реализована упрощенная модель делегирования, упомянутая выше, но на тот случай, если потребуется дополнительное разделение, ниже описывается более гибкая модель.
**Чтобы настроить административные роли корневого центра сертификации, выполните следующие действия.**
1. Запустите консоль управления центром сертификации и щелкните пункт **«Свойства»**.
2. Откройте вкладку **«Безопасность»** и добавьте локальные группы безопасности, указанные в следующей таблице, с соответствующими разрешениями.
**Таблица 13. Разрешения на работу с центром сертификации**
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Группа</th>
<th style="border:1px solid black;" >Разрешение</th>
<th style="border:1px solid black;" >Предоставить / отказать</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">CA Admins</td>
<td style="border:1px solid black;">Управление центром сертификации</td>
<td style="border:1px solid black;">Предоставить</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Certificate Managers</td>
<td style="border:1px solid black;">Выдача сертификатов и управление ими</td>
<td style="border:1px solid black;">Предоставить</td>
</tr>
</tbody>
</table>
3. Другие роли безопасности центра сертификации уже были определены для этого сервера с помощью политики безопасности.
###### Запись сертификата и списка отзыва сертификатов корневого центра сертификации на диск
Сертификат и список отзыва сертификатов корневого центра сертификации нужно скопировать с центра сертификации, чтобы их можно было опубликовать в Active Directory и на сервере публикаций сертификатов IIS и списков отзыва сертификатов. В приведенном ниже примере используется диск, но вместо него можно использовать любой съемный носитель, в том числе накопители с интерфейсом USB.
**Запись сертификата и списка отзыва сертификатов корневого центра сертификации на диск**
1. Войдите на сервер корневого центра сертификации как член локальной группы CA Admins и вставьте в систему съемный носитель.
2. Выполните следующий сценарий, чтобы скопировать сертификат центра сертификации на диск:
```
Cscript //job:GetCACerts C:\\MSSScripts\\CA\_Operations.wsf
Выполните следующий сценарий, чтобы скопировать сертификат центра сертификации на диск:
Cscript //job:GetCRLs C:\MSSScripts\CA_Operations.wsf
4. Пометьте диск, укажите на нем дату и сохраните для использования в будущем.
###### Публикация сведений о корневом центре сертификации
Перед установкой выдающего центра сертификации нужно опубликовать сертификат корневого центра сертификации в хранилище доверенного корня службы Active Directory, а список отзыва сертификатов корневого центра сертификации — в контейнере CDP службы Active Directory. В ходе этого все члены домена импортируют сертификаты корневого центра сертификации в свои хранилища доверенного корня, что позволяет им проверять статус отзыва любых сертификатов, выданных корневым центром сертификации.
Для выполнения этой процедуры лучше всего использовать выдающий центр сертификации, потому что в нем установлены необходимые библиотеки Certutil.exe, certadm.dll и certcli.dll, но с этой же целью можно использовать любой сервер, являющийся членом домена и работающий под управлением ОС Windows Server 2003, если на нем есть файл certutil.exe и установлены поддерживающие DLL-библиотеки.
**Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.**
1. Войдите в систему, которая является членом домена и отвечает приведенным выше требованиям, как член группы Enterprise PKI Admins и вставьте диск, на котором были сохранены сертификат и список отзыва сертификатов корневого центра сертификации.
2. Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации в службе Active Directory:
```
Cscript //job:PublishCertstoAD C:\\MSSScripts\\CA\_Operations.wsf
Выполните следующий сценарий, чтобы опубликовать список отзыва сертификатов в службе Active Directory:
Cscript //job:PublishCRLstoAD C:\MSSScript\CA_Operations.wsf
###### Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
Выполнить эту задачу необходимо потому, что в расширениях сертификатов, выдаваемых этим центром сертификации, указываются HTTP-версии URL-адресов CDP и AIA. Если эти расширения указаны, они должны быть соблюдены за счет публикации сертификатов и списков отзыва сертификатов по указанным URL-адресам.
**Примечание**. Эта процедура не зависит от того, установлен ли веб-сервер публикации CDP и AIA на выдающем центре сертификации, но она предполагает, что виртуальный каталог соответствует каталогу, созданному ранее для конфигурирования IIS (C:\\CAWWWPub). Если был выбран другой путь, значение WWW\_LOCAL\_PUB\_PATH в сценарии PKIParams.vbs нужно будет изменить.
**Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.**
1. Войдите на веб-сервер, используя учетную запись локального администратора или эквивалентную ей.
2. Убедитесь в наличии в компьютере диска с сертификатом и списком отзыва сертификатов корневого центра сертификации.
3. Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации в папке веб-сервера:
```
Cscript //job:PublishRootCerttoIIS C:\\MSSScripts\\CA\_Operations.wsf
Выполните следующий сценарий, чтобы опубликовать список отзыва сертификатов центра сертификации в папке веб-сервера:
Cscript //job:PublishRootCRLstoIIS C:\MSSScripts\CA_Operations.wsf
###### Развертывание сервера выдающего центра сертификации
После установки корневого центра сертификации и публикации его сертификатов можно развернуть сервер выдающего центра сертификации. Установка служб сертификации включает сложную совокупность взаимодействий между выдающим и корневым центрами сертификации, службой Active Directory и веб-сервером. Эти взаимодействия поясняет следующая диаграмма.
[.gif)](https://technet.microsoft.com/ru-ru/cc875845.swcg5_big(ru-ru,technet.10).gif)
**Рис. 5.Процесс установки сертификата**
Цифры на диаграмме обозначают указанные ниже взаимодействия.
1. Публикация сертификата и списка отзыва сертификатов корневого центра сертификации в службе Active Directory с использованием съемного носителя.
2. Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере с использованием съемного носителя.
3. Установка служб сертификации, генерирующих запрос сертификата, который нужно будет доставить с использованием съемного носителя в корневой центр сертификации, где на основе этого запроса будет выдан сертификат.
4. Установка соответствующего сертификата выдающего центра сертификации с использованием съемного носителя.
5. Публикация сертификата и списка отзыва сертификатов выдающего центра сертификации на веб-сервере.
x. Этот этап выполняется автоматически в ходе установки центра сертификации предприятия.
###### Подготовка файла Capolicy.inf для выдающего центра сертификации
Вообще говоря, выдающему центру сертификации файл CAPolicy.inf не нужен. Он требуется, если нужно изменить размер ключа, используемого центром сертификации. Этот файл следует создать перед установкой выдающего центра сертификации, хотя в случае необходимости его можно будет добавить позднее, а затем обновить сертификат центра сертификации.
**Чтобы создать файл CAPolicy.inf, выполните следующие действия.**
1. Войдите на сервер выдающего центра сертификации, используя учетную запись локального администратора или эквивалентную ей.
2. Используя Блокнот или другой текстовый редактор, создайте обычный текстовый файл со следующим содержимым:
```
\[Version\] Signature= “$Windows NT$” \[Certsrv\_Server\] RenewalKeyLength=2048
Если для центра сертификации определено заявление об использовании сертификатов, включите в файл Capolicy.inf следующие строки:
[CAPolicy] Policies=policyname [policyname] OID=the.org.oid URL=”http://the.org.url/TheCPSPage.htm”
**Примечание**. Значения, набранные курсивом, нужно заменить информацией, специфичной для конкретной организации.
4. Сохраните этот файл как *%windir%*\\Capolicy.inf (замените *%windir%* абсолютным путем к папке установки Windows, например C:\\Windows).
###### Установка программных компонентов служб сертификации
Как и при установке служб сертификации на корневой центр сертификации, для выполнения этого этапа нужно будет использовать носитель с установочными файлами ОС Windows Server 2003, а также мастер компонентов Windows.
**Чтобы установить службы сертификации, выполните следующие действия.**
1. Войдите в систему выдающего центра сертификации, используя учетную запись члена группы локальных администраторов или эквивалентную ей, и запустите диспетчер дополнительных компонентов:
```
sysocmgr /i:sysoc.inf
Выберите службы сертификации и нажмите на кнопку ОК, чтобы проигнорировать предупреждение об изменении имени.
Выберите в качестве типа центра сертификации «Подчиненный ЦС предприятия» и убедитесь в том, что флажок «Использовать пользовательские параметры» установлен.
Большинство значений по умолчанию в диалоговом окне «Пара из открытого и закрытого ключей» следует оставить неизменными. Внесите только следующие изменения:
Установите длину ключа равной 2048 битам
Задайте в качестве типа поставщика (CSP) значение Microsoft Strong Cryptographic Provider
Введите указанные ниже сведения о центре сертификации.
Общее имя центра сертификации
Суффикс различающегося имени
Срок действия: (определенный родительским центром сертификации)
После этого поставщик службы криптографии сгенерирует пару ключей и запишет ее в хранилище ключей на локальном компьютере.
Введите предложенные ниже местоположения базы данных сертификатов, журналов базы данных и конфигурационной папки.
База данных сертификатов: D:\CertLog
Журнал базы данных сертификатов: %windir%\System32\CertLog
Общая папка: Disabled
Ради повышения производительности и надежности базу данных центра сертификации и журналы следует по мере возможности хранить на разных физических дисках. База данных сертификатов и журналы базы данных должны находиться на локальных дисках с файловой системой NTFS.
Теперь будет создан файл запроса сертификата, который следует скопировать на диск. После этого диспетчер дополнительных компонентов начнет установку компонентов служб сертификации, для чего потребуется носитель с установочными файлами ОС Windows Server 2003.
Нажмите на кнопку ОК, чтобы проигнорировать предупреждение о службах IIS, и продолжите процесс установки до его завершения. Мастер установки отобразит уведомление о том, что для продолжения необходим сертификат родительского центра сертификации.
Запрос сертификата у корневого центра сертификации
Теперь нужно доставить запрос сертификата выдающего центра сертификации корневому центру сертификации, чтобы этот запрос был подписан, а выдающему центру сертификации был выдан сертификат.
Чтобы отправить запрос сертификата корневому центру сертификации, выполните следующие действия.
Войдите в систему корневого центра сертификации, используя учетную запись члена группы Certificate Managers.
Убедитесь в том, что в компьютере находится диск, на котором был сохранен файл запроса сертификата.
Выберите в меню «Задачи ЦС» консоли управления центром сертификации пункт «Выдать новый запрос» и отправьте запрос, полученный от выдающего центра сертификации.
Найдите выданный сертификат в контейнере выданных сертификатов и откройте его.
Убедитесь в том, что сведения о сертификате верны, и экспортируйте сертификат в файл, нажав кнопку «Копировать в файл». Сохраните файл на диске в виде файла PKCS#7 и укажите, что в цепочку нужно включить все возможные сертификаты, задав соответствующий параметр.
Обновление информации о сертификатах в выдающем центре сертификации
Сертификат корневого центра сертификации уже опубликован в хранилище доверенного корня Active Directory, и теперь следует убедиться в том, что выдающий центр сертификации загрузил эту информацию и поместил сертификат в собственное хранилище корня.
Чтобы обновить и проверить информацию о доверии сертификатов в выдающем центре сертификации, выполните следующие действия.
Войдите в систему выдающего центра сертификации, используя учетную запись локального администратора или эквивалентную ей.
Введите в командной строке следующую команду:
certutil –pulse
Эта команда указывает центру сертификации загрузить новую информацию о доверенном корне из каталога и поместить сертификат корневого центра сертификации в собственное хранилище доверенного корня. Этот этап необязателен, но игнорировать его не следует, так как он позволяет убедиться в том, что предыдущие этапы публикации были выполнены успешно.
3. Запустите файл mmc.exe и добавьте оснастку «Сертификаты».
4. Выберите в качестве хранилища сертификатов, которым нужно управлять, вариант **«Учетная запись компьютера»**.
5. Убедитесь в том, что сертификат корневого центра сертификации находится в папке Trusted Root Certificate Authorities.
###### Установка сертификата в выдающем центре сертификации
Подписанный ответ корневого центра сертификации уже создан как пакет сертификатов PKCS\#7, и теперь его можно установить в выдающем центре сертификации. Для публикации сертификата центра сертификации в хранилище NTAuth службы Active Directory, которое идентифицирует центр сертификации как центр сертификации предприятия, этот сертификат нужно установить, используя учетную запись, входящую в выдающем центре сертификации в группу Enterprise PKI Admins и локальную группу Administrators. Первая группа имеет права на установку сертификата центра сертификации в каталог, а вторая — на установку сертификата на сервере центра сертификации. Если используется уже упоминавшаяся простая модель администрирования, роль CAAdmin уже является членом обеих этих групп.
**Чтобы установить сертификат выдающего центра сертификации, выполните следующие действия.**
1. Войдите в систему выдающего центра сертификации, используя учетную запись, входящую в группу Enterprise PKI Admins и локальную группу Administrators.
2. Вставьте диск с подписанным сертификатом, выданным корневым центром сертификации.
3. Выберите в меню **«Задачи ЦС»** консоли управления центром сертификации пункт **«Установить сертификат»**, чтобы установить сертификат выдающего центра сертификации с дискеты.
После этого центр сертификации должен начать работу.
###### Настройка свойств выдающего центра сертификации
При выполнении следующей процедуры будут сконфигурированы специфичные для среды параметры, информация о которых была собрана при подготовке к созданию выдающего центра сертификации. Перед выполнением этого этапа важно убедиться в том, что собранная информация об организации включена в файл C:\\MSSScripts\\pkiparams.vbs в корневом центре сертификации и что эти изменения были также распространены на выдающий центр сертификации.
**Чтобы настроить свойства корневого центра сертификации, выполните следующие действия.**
1. Войдите на сервер выдающего центра сертификации как член локальной группы администраторов.
2. Убедитесь в том, что изменения, внесенные в файл C:\\MSSScripts\\pkiparams.vbs, соответствуют специфическим параметрам среды, описанным выше в этом разделе.
3. Выполните следующий сценарий:
```
Cscript //job:IssCAConfig C:\\MSSScripts\\ca\_setup.wsf
Настройка административных ролей выдающего центра сертификации
Чтобы можно было использовать административные роли, описываемые в данном руководстве, они должны быть сопоставлены с группами безопасности. Как уже было сказано, несмотря на то, что большинство компаний среднего размера могут довольствоваться упрощенными ролями, данный процесс позволит реализовать детализированные роли, обеспечивающие максимальную гибкость и разделение областей ответственности.
Чтобы настроить роли в выдающем центре сертификации, выполните следующие действия.
Войдите на сервер выдающего центра сертификации как член локальной группы администраторов.
Откройте в консоли управления центром сертификации окно свойств, чтобы изменить свойства центра сертификации.
Откройте вкладку «Безопасность» и добавьте группы безопасности домена, указанные в следующей таблице, с соответствующими разрешениями.
Таблица 14. Разрешения на работу с выдающим центром сертификации
Группа Разрешение Предоставить / отказать CA Admins Управление центром сертификации Предоставить Certificate Managers Выдача сертификатов и управление ими Предоставить Группу CA Auditors следует добавить в локальную группу администраторов, несмотря на то, что она уже была частично определена с помощью политики безопасности, заданной ранее.
Публикация сведений о выдающем центре сертификации
Сертификаты и списки отзыва сертификатов выдающего центра сертификации автоматически публикуются в службе Active Directory, но не по HTTP-путям CDP и AIA. Для автоматизации публикации сертификата центра сертификации по HTTP-путям CDP и AIA необходимо запланировать выполнение соответствующего задания.
Сертификаты центра сертификации обновляются очень редко, поэтому их можно опубликовать для AIA вручную, выполнив следующий процесс.
Чтобы установить сертификат выдающего центра сертификации, выполните следующие действия.
Войдите в систему выдающего центра сертификации, используя учетную запись с разрешениями на запись данных в опубликованную папку веб-сервера.
Обновите параметр WWW_REMOTE_PUB_PATH в файле C:\MSSScripts\PKIParams.vbs, присвоив ему путь к папке веб-сервера.
Если веб-сервер установлен на удаленном сервере, убедитесь в том, что папка веб-сервера является общей, и запишите UNC-путь к этой папке.
Если веб-сервер установлен на том же сервере, что и центр сертификации, запишите локальный путь к этой папке (по умолчанию используется локальный путь C:\CAWWWPub).
Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации на веб-сервере:
Cscript //job:PublishIssCertsToIIS C:\MSSScripts\CA_Operations.wsf
**Примечание**. Эта процедура разработана для внутренних веб-серверов. Если сертификаты будут опубликованы на веб-сервере, подключенном к Интернету, нужно будет выполнить ряд дополнительных действий, потому что данное решение основано на совместном доступе к файлам через сеть Windows, который обычно блокируется брандмауэрами.
Списки отзыва сертификатов публикуются чаще, чем сертификаты центра сертификации, поэтому их публикацию на веб-сервере следует автоматизировать.
**Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.**
1. Войдите на сервер выдающего центра сертификации, используя учетную запись из группы локальных администраторов.
2. Убедитесь в том, что с этого сервера доступна папка веб-сервера.
3. Если веб-сервер является удаленным, выдающему центру сертификации потребуются права на запись данных в папку файловой системы (доступ с правом Modify) и в общее хранилище (доступ с правом Change). Если удаленный веб-сервер является членом леса, для предоставления доступа следует использовать группу Cert Publishers домена; это гарантирует, что любой центр сертификации предприятия сможет публиковать сертификаты и списки отзыва сертификатов.
4. Создайте для копирования списков отзыва сертификатов запланированное задание, выполнив следующую команду:
**Примечание**. Следующий фрагмент кода разбит на строки исключительно ради удобства чтения. Его нужно ввести как одну строку.
```
schtasks /creat /tn “Publish CRLs” /tr “cscript.exe //job:PublishIssCRLsToIIS C:\\ MSSScripts\\CA\_Operations.wsf” /sc Hourly /ru “System”
Удаление ненужных шаблонов выдающего центра сертификации
Как правило, следует удалять шаблоны, соответствующие всем типам сертификатов, которые не будут использоваться, чтобы их нельзя было выдать случайно. Эти шаблоны всегда имеются в каталоге, и в случае надобности их можно легко создать заново.
Чтобы удалить ненужные сертификаты в выдающем центре сертификации, выполните следующие действия.
Войдите в систему как член группы CA Admins домена.
Выберите в консоли управления центром сертификации контейнер шаблонов сертификатов.
Удалите шаблоны следующих типов:
Агент восстановления EFS
Базовое шифрование EFS
Веб-сервер
Компьютер
Пользователь
Подчиненный центр сертификации
Администратор
Проверка подлинности в Интернете
В этом разделе приводятся сведения о внедрении инфраструктуры RADIUS, обеспечивающей поддержку защищенного решения для беспроводных сетей, которое описывается в данном руководстве. Инфраструктура RADIUS, реализация которой описана в данном руководстве, основана на серверах проверки подлинности в Интернете ОС Windows Server 2003.
Проектирование инфраструктуры RADIUS
Приведенные ниже таблицы можно использовать для накопления необходимых данных, к которым мы будем обращаться в этом руководстве. Некоторые из этих данных задаются с использованием сценариев, прилагаемых к данному руководству, а другие устанавливаются вручную. Как это сделать, описано в соответствующих разделах.
Конфигурационные данные, задаваемые пользователем
В следующей таблице указаны необходимые параметры, специфические для каждой организации. Перед продолжением убедитесь в том, что эта информация собрана, проверена и задокументирована.
Таблица 15. Параметры конфигурации, задаваемые пользователем
| Параметр | Значение |
|---|---|
| DNS-имя корневого домена леса Active Directory | |
| NetBIOS-имя домена | |
| Имя основного сервера IAS | |
| Имя дополнительного сервера IAS |
| Параметр | Значение |
|---|---|
| Полное имя административной группы, которой принадлежит контроль над конфигурацией службы проверки подлинности в Интернете | IAS Admins |
| Полное имя группы, члены которой проверяют журналы запросов и учета службы проверки подлинности в Интернете | IAS Security Auditors |
| Путь к сценариям установки | C:\MSSScripts |
| Командный файл экспорта конфигурации службы проверки подлинности в Интернете | IASExport.bat |
| Командный файл импорта конфигурации службы проверки подлинности в Интернете | IASImport.bat |
| Командный файл экспорта конфигурации клиента службы проверки подлинности в Интернете RADIUS | IASClientExport.bat |
| Командный файл экспорта конфигурации клиента службы проверки подлинности в Интернете RADIUS | IASClientImport.bat |
| Путь к файлам резервной копии конфигурации | D:\IASConfig |
| Путь к журналам запросов проверки подлинности и аудита службы проверки подлинности в Интернете | D:\IASLogs |
| Общее имя журналов запросов RADIUS | IASLogs |
| Параметр | Значение |
|---|---|
| DNS-имя корневого домена леса Active Directory | |
| NetBIOS-имя домена | |
| Имя основного сервера IAS | |
| Имя дополнительного сервера IAS |
| Параметр | Значение |
|---|---|
| Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности пользователей стандарта 802.1X. | AutoEnroll Client Authentication — User Certificate |
| Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности компьютеров стандарта 802.1X. | AutoEnroll Client Authentication — Computer Certificate |
| Глобальная группа Active Directory, содержащая сервер службы проверки подлинности в Интернете, который нуждается в сертификатах проверки подлинности по стандарту 802.1X. | AutoEnroll RAS and IAS Server Authentication Certificate |
| Глобальная группа Active Directory, содержащая пользователей, которым разрешен доступ к беспроводной сети. | Remote Access Policy — Wireless Users |
| Глобальная группа Active Directory, содержащая компьютеры, которым разрешен доступ к беспроводной сети. | Remote Access Policy — Wireless Computers |
| Универсальная группа Active Directory, содержащая группы Wireless Users и Wireless Computers. | Remote Access Policy — Wireless Access |
| Глобальная группа Active Directory, содержащая компьютеры, нуждающиеся в конфигурировании свойств беспроводной сети. | Wireless Network Policy — Computer |
| Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности пользователей-клиентов. | Client Authentication — User |
| Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности компьютеров-клиентов. | Client Authentication — Computer |
| Шаблон сертификатов, используемый для создания серверных сертификатов проверки подлинности для службы проверки подлинности в Интернете. | RAS and IAS Server Authentication |
| Путь к сценариям установки | C:\MSSScripts |
| Путь к файлам резервной копии конфигурации | D:\IASConfig |
| Путь к журналам проверки подлинности и учета службы проверки подлинности в Интернете | D:\IASLogs |
| Название политики | Allow Wireless Access |
| Имя объекта групповой политики Active Directory | Wireless Network Policy |
| Политика беспроводной сети в указанном выше объекте групповой политики | Client Computer Wireless Configuration |