Руководство по развертыванию гибридного доверия к ключу

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В этой статье описаны Windows Hello для бизнеса функциональные возможности или сценарии, которые применяются к:

• Тип развертывания:
• Тип доверия..
• Тип соединения. Microsoft Entra присоединение , Microsoft Entra гибридное присоединение

---

Важно.

Windows Hello для бизнеса облачное доверие Kerberos является рекомендуемой моделью развертывания по сравнению с ключевой моделью доверия. Дополнительные сведения см. в статье Развертывание доверия в облаке Kerberos.

Требования

Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование Windows Hello для бизнеса развертывания.

Перед началом работы убедитесь, что выполнены следующие требования:

• Инфраструктура открытых ключей
• Authentication
• Конфигурация устройств
• Подготовка пользователей к использованию Windows Hello

Шаги развертывания

После выполнения предварительных требований развертывание Windows Hello для бизнеса состоит из следующих шагов:

• Настройка и проверка инфраструктуры открытых ключей
• Настройка и регистрация в Windows Hello для бизнеса
• (необязательно) Настройка единого входа для устройств, присоединенных к Microsoft Entra

Настройка и проверка инфраструктуры открытых ключей

при использовании модели доверия к ключам Windows Hello для бизнеса должна быть инфраструктура открытых ключей (PKI). Контроллеры домена должны иметь сертификат, который служит корнем доверия для клиентов. Сертификат гарантирует, что клиенты не будут взаимодействовать с контроллерами домена изгоев.

Развертываниям с доверием к ключу не требуются сертификаты, выданные клиентом, для локальной проверки подлинности. Microsoft Entra Connect Sync настраивает учетные записи пользователей Active Directory для сопоставления открытых ключей путем синхронизации открытого ключа учетных данных Windows Hello для бизнеса с атрибутом объекта Active Directory пользователя (msDS-KeyCredentialLinkатрибута).

Можно использовать PKI на основе Windows Server или центр сертификации, отличный от Microsoft Enterprise. Дополнительные сведения см. в разделе Требования к сертификатам контроллера домена из ЦС, отличного от Майкрософт.

Развертывание центра сертификации предприятия

В этом руководстве предполагается, что у большинства предприятий существует инфраструктура открытых ключей. Windows Hello для бизнеса зависит от корпоративной PKI с ролью служб сертификатов Windows Server Active Directory.
Если у вас нет PKI, ознакомьтесь с руководством по центру сертификации , чтобы правильно спроектировать инфраструктуру. Затем ознакомьтесь с руководством по лаборатории тестирования: развертывание AD CS Two-Tier иерархии PKI , чтобы узнать, как настроить PKI с помощью сведений из сеанса проектирования.

PKI на основе лабораторий

Следующие инструкции можно использовать для развертывания простой инфраструктуры открытых ключей, подходящей для лабораторной среды.

Войдите с использованием учетных данных, эквивалентных администратору предприятия , на сервере Windows Server, где требуется установить центр сертификации (ЦС).

Примечание.

Никогда не устанавливайте центр сертификации на контроллере домена в рабочей среде.

1. Открытие запроса на Windows PowerShell с повышенными привилегиями
2. Используйте следующую команду, чтобы установить роль служб сертификатов Active Directory.

   Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
   

3. Используйте следующую команду, чтобы настроить ЦС с помощью базовой конфигурации центра сертификации.

   Install-AdcsCertificationAuthority
   

Настройка корпоративной PKI

Настройка сертификатов контроллера домена

Клиенты должны доверять контроллерам домена, и лучший способ включить доверие — убедиться, что у каждого контроллера домена есть сертификат проверки подлинности Kerberos . Установка сертификата на контроллерах домена позволяет центру распространения ключей (KDC) подтвердить свое удостоверение другим членам домена. Сертификаты предоставляют клиентам корень доверия за пределами домена, а именно корпоративный центр сертификации.

Контроллеры домена автоматически запрашивают сертификат контроллера домена (если он опубликован) при обнаружении добавления корпоративного ЦС в Active Directory. Сертификаты, основанные на шаблонах сертификатов проверки подлинности контроллера домена и контроллера домена, не включают идентификатор объекта проверки подлинности KDC (OID), который позже был добавлен в kerberos RFC. Поэтому контроллеры домена должны запрашивать сертификат на основе шаблона сертификата проверки подлинности Kerberos .

По умолчанию ЦС Active Directory предоставляет и публикует шаблон сертификата проверки подлинности Kerberos . Конфигурация шифрования, включенная в шаблон, основана на более старых и менее производительных API-интерфейсах шифрования. Чтобы убедиться, что контроллеры домена запрашивают соответствующий сертификат с наилучшим доступным шифрованием, используйте шаблон сертификата проверки подлинности Kerberos в качестве базового плана для создания обновленного шаблона сертификата контроллера домена.

Важно.

Сертификаты, выданные контроллерам домена, должны соответствовать следующим требованиям:

• Расширение точки распространения списка отзыва сертификатов (CRL) должно указывать на допустимый список отзыва сертификатов или расширение доступа к информации центра (AIA), которое указывает на ответчик протокола OCSP.
• При необходимости раздел certificate Subject может содержать путь к каталогу серверного объекта (различающееся имя).
• Раздел "Использование ключа сертификата" должен содержать цифровую подпись и шифрование ключа.
• При необходимости раздел "Основные ограничения сертификата" должен содержать: [Subject Type=End Entity, Path Length Constraint=None]
• Раздел расширенного использования ключа сертификата должен содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2), проверку подлинности сервера (1.3.6.1.5.5.7.3.1) и проверку подлинности KDC (1.3.6.1.5.2.3.5).
• Раздел "Альтернативное имя субъекта сертификата" должен содержать dns-имя.
• Шаблон сертификата должен иметь расширение со значением DomainController, закодированным как BMPstring. Если вы используете Центр сертификации Windows Server Enterprise, это расширение уже включено в шаблон сертификата контроллера домена.
• Сертификат контроллера домена должен быть установлен в хранилище сертификатов локального компьютера.

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору домена .

1. Откройте центр сертификации консоль управления

2. Щелкните правой кнопкой мыши управление шаблонами сертификатов >

3. В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон Проверки подлинности Kerberos в области сведений и выберите дублировать шаблон.

4. Используйте следующую таблицу, чтобы настроить шаблон:

   Имя вкладки	Конфигурации
   Совместимость	Снимите флажок Показать результирующие изменения проверка Выберите Windows Server 2016 в списке Центров сертификации Выберите Windows 10 / Windows Server 2016 в списке получателей сертификации.
   Общее	Укажите отображаемое имя шаблона, например проверку подлинности контроллера домена (Kerberos) Задайте для срока действия требуемое значение. Запишите имя шаблона для последующего использования, которое должно совпадать с отображаемым именем шаблона минус пробелы.
   Имя субъекта	Выберите Сборка из этих сведений Active Directory. Выберите Нет в списке Формат имени субъекта . Выберите DNS-имя из списка Включить эту информацию в альтернативный субъект . Очистка всех остальных элементов
   Cryptography	Задайте для категории поставщиковзначение Поставщик хранилища ключей. Задайте для значения имя алгоритмаRSA. Задайте для минимального размера ключазначение 2048. Задайте для хэша запроса значение SHA256.

5. Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон.

6. Закрытие консоли

Примечание.

Включение идентификатора проверки подлинности KDC в сертификат контроллера домена не требуется для Microsoft Entra гибридных присоединенных устройств. OID необходим для включения проверки подлинности с помощью Windows Hello для бизнеса локальных ресурсов Microsoft Entra присоединенных устройств.

Важно.

Чтобы устройства, присоединенные к Microsoft Entra, прошли проверку подлинности в локальных ресурсах, убедитесь, что:

• Установите сертификат корневого ЦС в доверенном корневом хранилище сертификатов устройства. Узнайте, как развернуть профиль доверенного сертификата с помощью Intune
• Опубликуйте список отзыва сертификатов в расположении, доступном для Microsoft Entra присоединенных устройств, например в веб-url-адресе.

Замена существующих сертификатов контроллера домена

Контроллеры домена могут иметь существующий сертификат контроллера домена. Службы сертификатов Active Directory предоставляют шаблон сертификата по умолчанию для контроллеров домена, называемых сертификатом контроллера домена. Более поздние выпуски Windows Server предоставляли новый шаблон сертификата под названием сертификат проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которую указывалось, что центры распространения ключей (KDCs), выполняющие проверку подлинности сертификата, должны включать расширение проверки подлинности KDC .

Шаблон сертификата проверки подлинности Kerberos — это самый актуальный шаблон сертификата, предназначенный для контроллеров домена, который должен быть развернут на всех контроллерах домена.
Функция автоматической регистрации позволяет заменить сертификаты контроллера домена. Используйте следующую конфигурацию, чтобы заменить старые сертификаты контроллера домена новыми, используя шаблон сертификата проверки подлинности Kerberos .

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .

1. Откройте центр сертификации консоль управления
2. Щелкните правой кнопкой мыши управление шаблонами сертификатов >
3. В консоли шаблонов сертификатов щелкните правой кнопкой мыши шаблон Проверка подлинности контроллера домена (Kerberos) (или имя шаблона сертификата, созданного в предыдущем разделе) в области сведений и выберите Свойства.
4. Перейдите на вкладку Заменяемые шаблоны . Выберите Добавить.
5. В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата контроллера домена и нажмите кнопку ОК > Добавить.
6. В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата проверки подлинности контроллера домена и нажмите кнопку ОК.
7. В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата проверки подлинности Kerberos и нажмите кнопку ОК.
8. Добавьте все другие корпоративные шаблоны сертификатов, которые ранее были настроены для контроллеров домена, на вкладку Замененные шаблоны
9. Нажмите кнопку ОК и закройте консоль шаблоны сертификатов .

Шаблон сертификата настроен для замены всех шаблонов сертификатов, указанных в списке замененных шаблонов .
Однако шаблон сертификата и замена шаблонов сертификатов не будут активны, пока шаблон не будет опубликован в одном или нескольких центрах сертификации.

Примечание.

Сертификат контроллера домена должен быть привязан к корню в хранилище NTAuth. По умолчанию корневой сертификат центра сертификации Active Directory добавляется в хранилище NTAuth. Если вы используете ЦС, отличный от Майкрософт, это может быть не сделано по умолчанию. Если сертификат контроллера домена не привязан к корню в хранилище NTAuth, проверка подлинности пользователя завершится ошибкой. Чтобы просмотреть все сертификаты в хранилище NTAuth, используйте следующую команду:

Certutil -viewstore -enterprise NTAuth

Отмена публикации устаревших шаблонов сертификатов

Центр сертификации выдает только сертификаты на основе опубликованных шаблонов сертификатов. Для обеспечения безопасности рекомендуется отменить публикацию шаблонов сертификатов, для выдачи которых ЦС не настроен, включая предварительно опубликованные шаблоны из установки роли и любые заменяемые шаблоны.

Созданный шаблон сертификата проверки подлинности контроллера домена заменяет предыдущие шаблоны сертификатов контроллера домена. Следовательно, необходимо отменить публикацию этих шаблонов сертификатов во всех выдающих центрах сертификации.

Войдите в ЦС или рабочую станцию управления с учетными данными, эквивалентными администратору предприятия .

1. Откройте центр сертификации консоль управления
2. Разверните родительский узел из области > навигации Шаблоны сертификатов
3. Щелкните правой кнопкой мыши шаблон сертификата контроллера домена и выберите Удалить. Выберите Да в окне Отключить шаблоны сертификатов .
4. Повторите шаг 3 для шаблонов сертификатов проверки подлинности контроллера домена и проверки подлинности Kerberos.

Публикация шаблона сертификата в ЦС

Центр сертификации может выдавать сертификаты только для шаблонов сертификатов, опубликованных в нем. Если у вас несколько ЦС и вы хотите, чтобы несколько центров сертификации выдали сертификаты на основе шаблона сертификата, необходимо опубликовать шаблон сертификата для них.

Войдите в ЦС или рабочие станции управления с помощью корпоративных Администратор эквивалентных учетных данных.

1. Откройте центр сертификации консоль управления
2. Развертывание родительского узла из области навигации
3. Выберите Шаблоны сертификатов в области навигации
4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите Новый > шаблон сертификата для выдачи
5. В окне Включить шаблоны сертификатов выберите шаблон Проверки подлинности контроллера домена (Kerberos), созданный на предыдущих шагах>, нажмите кнопку ОК.
6. Закрытие консоли

Важно.

Если вы планируете развернуть Microsoft Entra присоединенных устройств и требовать единый вход (SSO) для локальных ресурсов при входе с помощью Windows Hello для бизнеса, выполните действия по обновлению ЦС, чтобы включить точку распространения CRL на основе HTTP.

Настройка и развертывание сертификатов в контроллерах домена

Настройка автоматической регистрации сертификатов для контроллеров домена

Контроллеры домена автоматически запрашивают сертификат из шаблона сертификата контроллера домена . Однако контроллеры домена не знают о новых шаблонах сертификатов или замененных конфигурациях в шаблонах сертификатов. Чтобы контроллеры домена автоматически регистрировать и продлевать сертификаты, настройте объект групповой политики для автоматической регистрации сертификатов и свяжите его с подразделением контроллеров домена .

1. Откройте консоль управления групповая политика (gpmc.msc)
2. Разверните домен и выберите узел объект групповая политика в области навигации.
3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
4. Введите автоматическую регистрацию сертификата контроллера домена в поле имя и нажмите кнопку ОК.
5. Щелкните правой кнопкой мыши объект "Автоматическая регистрация сертификата контроллера домена" групповая политика и выберите изменить.
6. В области навигации разверните узел Политики в разделе Конфигурация компьютера.
7. Разверните раздел Параметры > Windows Параметры безопасности Политики открытых > ключей
8. В области сведений щелкните правой кнопкой мыши Клиент служб сертификатов — автоматическая регистрация и выберите Свойства.
9. Выберите Включено в списке Модель конфигурации .
10. Установите флажок Обновить сертификаты с истекшим сроком действия, обновить ожидающие сертификаты и удалить отозванные сертификаты проверка
11. Установите флажок Обновление сертификатов, использующих шаблоны сертификатов проверка
12. Нажмите кнопку ОК.
13. Закрытие Редактор управления групповая политика

Развертывание объекта групповой политики автоматической регистрации сертификатов контроллера домена

Войдите в контроллер домена или рабочие станции управления с учетными данными, эквивалентными администратору домена .

1. Запустите Консоль управления групповыми политиками (gpmc.msc).
2. В области навигации разверните домен и узел с доменным именем Active Directory. Щелкните правой кнопкой мыши подразделение контроллеров домена и выберите Связать существующий объект групповой политики...
3. В диалоговом окне Выбор объекта групповой политики выберите Автоматическая регистрация сертификата контроллера домена или имя созданного ранее объекта сертификата контроллера домена групповая политика.
4. Нажмите кнопку ОК.

Проверка конфигурации

Windows Hello для бизнеса — это распределенная система, которая на первый взгляд кажется сложной и затруднительной в настройке. Ключом к успешному развертыванию является проверка этапов работы перед переходом к следующему этапу.

Убедитесь, что контроллеры домена регистрируют правильные сертификаты, а не заменяемые шаблоны сертификатов. Убедитесь, что каждый контроллер домена завершил автоматическую регистрацию сертификата.

Использование журналов событий

Войдите в контроллер домена или рабочие станции управления с учетными данными, эквивалентными администратору домена .

1. Используя Просмотр событий, перейдите к журналу событий Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System.
2. Найдите событие, указывающее на регистрацию нового сертификата (автоматическая регистрация):
   • Сведения о событии включают шаблон сертификата, на котором был выдан сертификат.
   • Имя шаблона сертификата, используемого для выдачи сертификата, должно соответствовать имени шаблона сертификата, включенного в событие.
   • Отпечаток сертификата и EKU для сертификата также включаются в событие.
   • EKU, необходимый для правильной проверки подлинности Windows Hello для бизнеса, — это проверка подлинности Kerberos в дополнение к другим EKU, предоставляемым шаблоном сертификата.

Сертификаты, заменяемые новым сертификатом контроллера домена, создают архивное событие в журнале событий. Событие архивации содержит имя шаблона сертификата и отпечаток сертификата, который был заменен новым сертификатом.

Диспетчер сертификатов

Можно использовать консоль диспетчера сертификатов для проверки, что у контроллера домена есть правильно зарегистрированный сертификат на основе правильного шаблона сертификата с соответствующими EKU. Используйте certlm.msc, чтобы посмотреть сертификат в хранилище сертификатов на локальном компьютере. Разверните хранилище Личные для просмотра сертификатов, зарегистрированных на компьютере. Архивные сертификаты не отображаются в диспетчере сертификатов.

Certutil.exe

Вы можете использовать certutil.exe команду для просмотра зарегистрированных сертификатов на локальном компьютере. Certutil показывает зарегистрированные и архивные сертификаты для локального компьютера. В командной строке с повышенными привилегиями выполните следующую команду:

certutil.exe -q -store my

Чтобы просмотреть подробные сведения о каждом сертификате в хранилище и проверить автоматическую регистрацию сертификатов, зарегистрировав соответствующие сертификаты, используйте следующую команду:

certutil.exe -q -v -store my

Диагностика

Windows включает автоматическую регистрацию сертификатов для компьютера во время загрузки и при обновлениях групповой политики. Можно обновить групповую политику из командной строки с повышенными привилегиями с помощью команды gpupdate.exe /force.

Кроме того, вы можете принудительно запустить автоматическую регистрацию сертификатов с помощью команды certreq.exe -autoenroll -qиз командной строки с повышенными привилегиями.

Используйте журналы событий для мониторинга регистрации и архивации сертификатов. Проверьте конфигурацию, например публикацию шаблонов сертификатов в центре сертификации и разрешение на автоматическую регистрацию.

Проверка раздела и дальнейшие действия

Прежде чем перейти к следующему разделу, убедитесь, что выполнены следующие действия.

• Настройка шаблона сертификата контроллера домена
• Замена существующих сертификатов контроллера домена
• Отмена публикации устаревших шаблонов сертификатов
• Публикация шаблона сертификата в ЦС
• Развертывание сертификатов на контроллерах домена
• Проверка конфигурации контроллеров домена

Далее: настройка и регистрация в Windows Hello для бизнеса >