Развертывание сертификатов сервера для проводных и беспроводных развертываний 802.1 X

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Это руководство можно использовать для развертывания сертификатов сервера на серверах инфраструктуры удаленного доступа и сервера политики сети (NPS).

Данное руководство содержит следующие разделы.

• Предварительные требования для использования этого руководства

• Что такое руководство не предоставляет

• Общие сведения о технологиях

• Общие сведения о развертывании сертификатов сервера

• Планирование развертывания сертификатов сервера

• Развертывание сертификата сервера

Сертификаты цифрового сервера

В этом руководстве приведены инструкции по использованию служб сертификатов Active Directory (AD CS) для автоматической регистрации сертификатов на серверах инфраструктуры удаленного доступа и NPS. AD CS позволяет создавать инфраструктуру открытых ключей (PKI) и предоставлять криптографию открытых ключей, цифровые сертификаты и возможности цифровой подписи для вашей организации.

При использовании цифровых сертификатов сервера для проверки подлинности между компьютерами в сети предоставляются следующие сертификаты:

1. Конфиденциальность с помощью шифрования.
2. Целостность с помощью цифровых подписей.
3. Проверка подлинности путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в сети компьютеров.

Типы серверов

С помощью этого руководства можно развернуть сертификаты сервера на следующих типах серверов.

• Серверы, работающие под управлением службы удаленного доступа, являются серверами DirectAccess или стандартными виртуальными частными сетями (VPN) и членами группы серверов RAS и IAS Server .
• Серверы, работающие под управлением службы сервера политики сети (NPS), которые являются членами группы серверов RAS и IAS .

Преимущества автоматической регистрации сертификатов

Автоматическая регистрация сертификатов сервера, также называемая автоматической регистрацией, предоставляет следующие преимущества.

• Центр сертификации AD CS автоматически регистрирует сертификат сервера для всех серверов NPS и удаленного доступа.
• Все компьютеры в домене автоматически получают сертификат ЦС, который устанавливается в хранилище доверенных корневых центров сертификации на каждом компьютере-члене домена. Из-за этого все компьютеры в домене доверяют сертификатам, выданным вашим ЦС. Это доверие позволяет серверам проверки подлинности подтвердить свои удостоверения друг другу и участвовать в безопасном взаимодействии.
• Кроме обновления групповой политики, не требуется перенастройка каждого сервера вручную.
• Каждый сертификат сервера включает как назначение проверки подлинности сервера, так и назначение проверки подлинности клиента в расширениях расширенного использования ключей (EKU).
• Масштабируемость. После развертывания корпоративного корневого ЦС с помощью этого руководства вы можете развернуть инфраструктуру открытых ключей (PKI), добавив корпоративные подчиненные ЦС.
• Управляемость. Вы можете управлять CS AD с помощью консоли AD CS или с помощью команд и сценариев Windows PowerShell.
• Простота. Укажите серверы, которые регистрируют сертификаты сервера с помощью учетных записей групп Active Directory и членства в группах.
• При развертывании сертификатов сервера сертификаты основаны на шаблоне, который вы настраиваете с инструкциями в этом руководстве. Это означает, что можно настроить разные шаблоны сертификатов для определенных типов серверов или использовать один и тот же шаблон для всех сертификатов сервера, которые требуется выдать.

Предварительные требования для использования этого руководства

В этом руководстве содержатся инструкции по развертыванию сертификатов сервера с помощью AD CS и роли сервера веб-сервера (IIS) в Windows Server 2016. Ниже приведены предварительные требования для выполнения процедур в этом руководстве.

• Необходимо развернуть основную сеть с помощью руководства по сети Windows Server 2016 Core, или у вас уже должны быть технологии, установленные и функционирующие в сети. К этим технологиям относятся TCP/IP версии 4, DHCP, домен Active Directory службы (AD DS), DNS и NPS.

  Примечание.

  Руководство по сети Windows Server 2016 Core доступно в технической библиотеке Windows Server 2016. Дополнительные сведения см . в руководстве по основной сети.

• Перед выполнением развертывания необходимо ознакомиться с разделом планирования этого руководства.

• Действия, описанные в этом руководстве, необходимо выполнить в том порядке, в котором они представлены. Не двигайтесь вперед и не развертывайте ЦС, не выполняя действия, которые приводят к развертыванию сервера, или развертывание завершится ошибкой.

• Необходимо подготовиться к развертыванию двух новых серверов в сети — на одном сервере, на котором вы установите AD CS в качестве корпоративного корневого ЦС, и один сервер, на котором будет установлен веб-сервер (IIS), чтобы ЦС могли опубликовать список отзыва сертификатов (CRL) на веб-сервере.

Примечание.

Вы готовы назначить статический IP-адрес веб-серверам и серверам AD CS, которые вы развертываете с помощью этого руководства, а также назначить компьютеры в соответствии с соглашениями об именовании организации. Кроме того, необходимо присоединить компьютеры к домену.

Чего в этом руководстве нет

В этом руководстве не содержатся исчерпывающие инструкции по проектированию и развертыванию инфраструктуры открытых ключей (PKI) с помощью AD CS. Перед развертыванием технологий в этом руководстве рекомендуется ознакомиться с документацией по AD CS и документацией по проектированию PKI.

Обзор технологий

Ниже приведены общие сведения о технологиях AD CS и веб-сервера (IIS).

Службы сертификатов Active Directory

AD CS в Windows Server 2016 предоставляет настраиваемые службы для создания сертификатов X.509 и управления ими, используемых в системах безопасности программного обеспечения, использующих технологии открытого ключа. Организации могут использовать AD CS для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему открытому ключу. AD CS также включает функции, позволяющие управлять регистрацией сертификатов и отзывом в различных масштабируемых средах.

Дополнительные сведения см. в обзоре служб сертификатов Active Directory и руководстве по проектированию инфраструктуры открытых ключей.

Веб-сервер (IIS)

Роль веб-сервера (IIS) в Windows Server 2016 обеспечивает безопасную, простую, модульную и расширяемую платформу для надежного размещения веб-сайтов, служб и приложений. С помощью IIS вы можете предоставлять доступ к данным пользователям в Интернете, интрасети или экстрасети. IIS — это единая веб-платформа, которая интегрирует службы IIS, ASP.NET, службы FTP, PHP и Windows Communication Foundation (WCF).

Дополнительные сведения см. в обзоре веб-сервера (IIS).