Обзор развертывания сертификата сервера

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Эта тема описана в следующих разделах.

Компоненты развертывания сертификатов сервера

Это руководство можно использовать для установки служб сертификатов Active Directory (AD CS) в качестве корневого центра сертификации предприятия (ЦС) и регистрации сертификатов сервера на серверах, на которых запущен сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или NPS и RRAS.

При развертывании SDN с проверкой подлинности на основе сертификатов серверы должны использовать сертификат сервера для подтверждения удостоверений на других серверах, чтобы обеспечить безопасное взаимодействие.

На следующем рисунке показаны компоненты, необходимые для развертывания сертификатов сервера на серверах в инфраструктуре SDN.

Server Certificate Deployment required infrastructure

Примечание.

На приведенном выше рисунке показаны несколько серверов: DC1, CA1, WEB1 и многие серверы SDN. В этом руководстве приведены инструкции по развертыванию и настройке CA1 и WEB1, а также настройке DC1, которая предполагает, что вы уже установили в сети. Если вы еще не установили домен Active Directory, это можно сделать с помощью основного сетевого руководства для Windows Server 2016.

Дополнительные сведения о каждом элементе, изображенном на приведенном выше рисунке, см. в следующих статьях:

ЦС1 с ролью сервера AD CS

В этом сценарии центр сертификации Enterprise Root (ЦС) также является выдаваемым ЦС. ЦС выдает сертификаты на серверные компьютеры с правильными разрешениями безопасности для регистрации сертификата. Службы сертификатов Active Directory (AD CS) устанавливаются в ЦС1.

Для больших сетей или проблем безопасности можно разделить роли корневого ЦС и выдачи ЦС, а также развернуть подчиненные ЦС, которые выдают ЦС.

В наиболее безопасных развертываниях корневой ЦС предприятия выполняется автономно и физически защищенно.

CAPolicy.inf

Перед установкой AD CS необходимо настроить файл CAPolicy.inf с определенными параметрами для развертывания.

Копия шаблона сертификата серверов RAS и IAS

При развертывании сертификатов сервера необходимо создать одну копию шаблона сертификата серверов RAS и IAS , а затем настроить шаблон в соответствии с вашими требованиями и инструкциями в этом руководстве.

Вы используете копию шаблона, а не исходный шаблон, чтобы конфигурация исходного шаблона сохранялась для возможного будущего использования. Вы настраиваете копию шаблона серверов RAS и IAS, чтобы ЦС могли создавать сертификаты сервера, которые он выдает группам в Пользователи и компьютеры Active Directory указанных вами.

Дополнительная конфигурация CA1

ЦС публикует список отзыва сертификатов (CRL), который компьютеры должны проверка, чтобы убедиться, что сертификаты, представленные им в качестве подтверждения удостоверения, являются допустимыми и не были отменены. Необходимо настроить ЦС с правильным расположением списка отзыва сертификатов, чтобы компьютеры знали, где искать список отзыва сертификатов во время проверки подлинности.

WEB1 с ролью сервера веб-служб (IIS)

На компьютере с ролью сервера веб-сервера (IIS) WEB1 необходимо создать папку в Windows Обозреватель для использования в качестве расположения для CRL и AIA.

Виртуальный каталог для CRL и AIA

После создания папки в Windows Обозреватель необходимо настроить папку в качестве виртуального каталога в диспетчере службы IIS (IIS), а также настроить список управления доступом для виртуального каталога, чтобы разрешить компьютерам доступ к AIA и CRL после их публикации.

DC1 с ролями AD DS и DNS-сервера

DC1 — это контроллер домена и DNS-сервер в сети.

Политика домена по умолчанию групповой политики

После настройки шаблона сертификата в ЦС можно настроить политику домена по умолчанию в групповой политике, чтобы сертификаты автоматически регистрировались на серверах NPS и RAS. Групповая политика настраивается в AD DS на сервере DC1.

Запись ресурса псевдонима DNS (CNAME)

Необходимо создать запись ресурса псевдонима (CNAME) для веб-сервера, чтобы убедиться, что другие компьютеры могут найти сервер, а также AIA и список отзыва сертификатов, хранящиеся на сервере. Кроме того, использование записи ресурсов CNAME псевдонима обеспечивает гибкость, чтобы использовать веб-сервер для других целей, таких как размещение веб-сайтов и САЙТОВ FTP.

NPS1 под управлением службы роли сервера политики сети и роли сервера службы Access

NPS устанавливается при выполнении задач в руководстве по сети Windows Server 2016 Core, поэтому перед выполнением задач в этом руководстве необходимо установить один или несколько NPS в сети.

Примененная групповая политика и сертификат, зарегистрированные на серверах

После настройки шаблона сертификата и автоматической регистрации можно обновить групповую политику на всех целевых серверах. В настоящее время серверы регистрируют сертификат сервера из ЦС1.

Обзор процесса развертывания сертификатов сервера

Примечание.

Сведения о том, как выполнить эти действия, приведены в разделе "Развертывание сертификата сервера".

Процесс настройки регистрации сертификатов сервера выполняется на следующих этапах:

  1. В WEB1 установите роль веб-сервера (IIS).

  2. В DC1 создайте запись псевдонима (CNAME) для веб-сервера WEB1.

  3. Настройте веб-сервер для размещения списка отзыва сертификатов из ЦС, а затем опубликуйте список отзыва сертификатов и скопируйте сертификат корневого ЦС предприятия в новый виртуальный каталог.

  4. На компьютере, на котором планируется установить AD CS, назначьте компьютер статический IP-адрес, переименуйте компьютер, присоедините компьютер к домену, а затем войдите на компьютер с учетной записью пользователя, являющейся членом групп доменных Администратор и корпоративных Администратор.

  5. На компьютере, на котором планируется установить AD CS, настройте CAPolicy.inf-файл с параметрами, характерными для развертывания.

  6. Установите роль сервера AD CS и выполните дополнительную настройку ЦС.

  7. Скопируйте сертификат CRL и ЦС из ЦС1 в общую папку на веб-сервере WEB1.

  8. В ЦС настройте копию шаблона сертификата ras и IAS Servers. ЦС выдает сертификаты на основе шаблона сертификата, поэтому необходимо настроить шаблон для сертификата сервера, прежде чем ЦС может выдать сертификат.

  9. Настройка автоматической регистрации сертификата сервера в групповой политике. При настройке автоматической регистрации все серверы, указанные с членством в группах Active Directory, автоматически получают сертификат сервера при обновлении групповой политики на каждом сервере. При добавлении дополнительных серверов они автоматически получат сертификат сервера.

  10. Обновите групповую политику на серверах. При обновлении групповой политики серверы получают сертификат сервера, основанный на шаблоне, настроенном на предыдущем шаге. Этот сертификат используется сервером для подтверждения удостоверения клиентским компьютерам и другим серверам во время проверки подлинности.

    Примечание.

    Все компьютеры-члены домена автоматически получают сертификат корневого ЦС предприятия без настройки автоматической регистрации. Этот сертификат отличается от сертификата сервера, который настраивается и распространяется с помощью автоматической регистрации. Сертификат ЦС автоматически устанавливается в хранилище сертификатов доверенных корневых центров сертификации для всех компьютеров-членов домена, чтобы они доверяли сертификатам, выданным этим ЦС.

  11. Убедитесь, что все серверы зарегистрировали действительный сертификат сервера.