Projektowanie i implementowanie usług AD CS

Ukończone

Kluczowe znaczenie ma zapewnienie optymalnego projektowania wewnętrznego urzędu certyfikacji. Projekt będzie miał znaczący wpływ na aspekty zabezpieczeń i działania środowiska infrastruktury kluczy publicznych.

Projektowanie hierarchii opartej na usługach AD CS

Przed zaimplementowaniem usług AD CS należy najpierw zaprojektować hierarchię urzędu certyfikacji. W ramach projektu należy zdecydować, ile potrzebnych warstw urzędu certyfikacji i jaki będzie cel urzędu certyfikacji w każdej warstwie. Nie zalecamy tworzenia hierarchii urzędu certyfikacji głębiej niż trzy poziomy, chyba że znajduje się w złożonym, wysoce bezpiecznym lub rozproszonym środowisku. Najczęściej hierarchie urzędu certyfikacji mają dwa poziomy, z głównym urzędem certyfikacji na najwyższym poziomie i podrzędnym, wystawiając urząd certyfikacji na drugim poziomie. Zazwyczaj główny urząd certyfikacji służy do kompilowania hierarchii urzędu certyfikacji. W takim przypadku główny urząd certyfikacji pozostaje w trybie offline podczas korzystania z podrzędnego urzędu certyfikacji do wystawiania certyfikatów i zarządzania nimi.

Uwaga

Hierarchia wieloszczepowego urzędu certyfikacji nie jest obowiązkowa. W przypadku mniejszych, mniej złożonych środowisk można zaimplementować tylko główny urząd certyfikacji. W takim przypadku główny urząd certyfikacji zapewnia również funkcje wystawiania certyfikatów i zarządzania nimi.

Oto kilka bardziej złożonych projektów urzędu certyfikacji:

• Hierarchie urzędu certyfikacji z urzędem certyfikacji zasad. Urzędy certyfikacji zasad są podrzędnymi urzędami certyfikacji, które znajdują się bezpośrednio pod głównym urzędem certyfikacji i powyżej innych podrzędnych urzędów certyfikacji w hierarchii urzędu certyfikacji. Urzędy certyfikacji zasad służą do wystawiania certyfikatów urzędu certyfikacji do podrzędnych urzędów certyfikacji. Certyfikaty urzędu certyfikacji odzwierciedlają zasady i procedury implementowane przez organizację w celu zabezpieczenia infrastruktury kluczy publicznych, procesów walidujących tożsamość posiadaczy certyfikatów oraz procesów wymuszających procedury zarządzania certyfikatami. Urząd certyfikacji zasad wystawia certyfikat tylko innym urzędom certyfikacji. Urzędy certyfikacji, które otrzymują te certyfikaty, muszą przestrzegać i wymuszać zasady zdefiniowane przez urząd certyfikacji zasad. Korzystanie z urzędów certyfikacji zasad nie jest obowiązkowe, chyba że różne działy, sektory lub lokalizacje organizacji wymagają różnych zasad i procedur wystawiania. Na przykład organizacja może zaimplementować jeden urząd certyfikacji zasad dla wszystkich certyfikatów wystawianych wewnętrznie pracownikom i innym urzędem certyfikacji zasad dla wszystkich certyfikatów wystawianych wykonawcom.
• Hierarchie urzędu certyfikacji z zaufaniem między certyfikatami. W tym scenariuszu dwie niezależne hierarchie urzędu certyfikacji współdziałają, gdy urząd certyfikacji w jednej hierarchii wystawia certyfikat międzycertyfikowanego urzędu certyfikacji do urzędu certyfikacji w innej hierarchii. W takim przypadku należy ustanowić wzajemne zaufanie między różnymi hierarchiami urzędu certyfikacji.

Autonomiczne a urzędy certyfikacji dla przedsiębiorstw

W przypadku korzystania z usług AD CS można wdrożyć dwa typy urzędów certyfikacji: autonomiczne i przedsiębiorstwa. Te typy urzędów certyfikacji nie dotyczą hierarchii, ale zamiast tego dotyczące funkcjonalności i integracji z usługami AD DS. Autonomiczny urząd certyfikacji nie zależy od usług AD DS. Urząd certyfikacji przedsiębiorstwa wymaga usług AD DS, aby zapewnić dodatkowe funkcje, takie jak automatyczna rejestracja. Automatyczne rejestrowanie umożliwia użytkownikom domeny i urządzeniom przyłączonym do domeny automatyczne rejestrowanie certyfikatów po włączeniu automatycznej rejestracji certyfikatów za pomocą zasad grupy.

W poniższej tabeli przedstawiono najważniejsze różnice między autonomicznymi i korporacyjnymi urzędami certyfikacji.

Charakterystyczny

Autonomiczny urząd certyfikacji

Urząd certyfikacji przedsiębiorstwa

Typowe użycie

Zazwyczaj używasz autonomicznego urzędu certyfikacji dla urzędów certyfikacji w trybie offline.

Zazwyczaj urząd certyfikacji przedsiębiorstwa służy do wystawiania certyfikatów użytkownikom, komputerom i usługom. Nie można go używać jako urzędu certyfikacji w trybie offline.

Zależności usług AD DS

Autonomiczny urząd certyfikacji nie zależy od usług AD DS.

Urząd certyfikacji przedsiębiorstwa korzysta z usług AD DS jako bazy danych konfiguracji i rejestracji. Urząd certyfikacji przedsiębiorstwa używa również usług AD DS do publikowania certyfikatów i ich metadanych.

Metody żądania certyfikatu

Użytkownicy mogą żądać certyfikatów z autonomicznego urzędu certyfikacji tylko przy użyciu procedury ręcznej lub rejestracji internetowej.

Użytkownicy mogą żądać certyfikatów z urzędu certyfikacji przedsiębiorstwa przy użyciu ręcznej rejestracji, rejestracji internetowej, autorejestrowania, rejestracji w imieniu i usług sieci Web

Metody wystawiania certyfikatów

Administrator urzędu certyfikacji musi ręcznie zatwierdzić wszystkie żądania.

Urząd certyfikacji może wystawiać certyfikaty lub blokować wystawianie certyfikatów automatycznie na podstawie konfiguracji niestandardowej zdefiniowanej przez administratora urzędu certyfikacji.

Główny urząd certyfikacji przedsiębiorstwa jest najczęstszym wyborem podczas wdrażania pojedynczego urzędu certyfikacji w środowisku usług AD DS. W przypadku wdrożenia hierarchii dwuwarstwowej z podrzędnym urzędem certyfikacji w środowisku usług AD DS należy rozważyć użycie autonomicznego głównego urzędu certyfikacji jako głównego urzędu certyfikacji. Umożliwia to przełączenie go do trybu offline bez wpływu na proces zarządzania certyfikatami dla użytkowników domeny i urządzeń przyłączonych do domeny.

Innym zagadnieniem jest typ instalacji systemu operacyjnego. Zarówno środowisko pulpitu, jak i scenariusze instalacji Server Core obsługują usługi AD CS. Server Core minimalizuje potencjalne złośliwe powierzchnie hakerów i obciążenie związane z konserwacją systemu operacyjnego, co sprawia, że jest to optymalny wybór dla usług AD CS w środowisku przedsiębiorstwa.

Ponadto należy pamiętać, że nie można zmienić nazw komputerów, nazwy domeny ani członkostwa w domenie komputera po wdrożeniu urzędu certyfikacji dowolnego typu na tym komputerze. Dlatego przed wdrożeniem należy skonfigurować te ustawienia.

Istnieją również pewne zagadnienia dotyczące wdrażania autonomicznego głównego urzędu certyfikacji w trybie offline:

• Przed wystawieniem certyfikatu podrzędnego z głównego urzędu certyfikacji upewnij się, że należy podać co najmniej jeden punkt dystrybucji listy odwołania certyfikatów (CDP) i lokalizację AIA, która będzie dostępna dla wszystkich klientów. Jest to spowodowane tym, że domyślnie autonomiczny główny urząd certyfikacji ma samą lokalizację CDP i AIA. W związku z tym po usunięciu głównego urzędu certyfikacji z sieci sprawdzanie odwołania zakończy się niepowodzeniem, ponieważ lokalizacje CDP i AIA będą niedostępne. Podczas definiowania tych lokalizacji należy ręcznie skopiować listę CRL i informacje AIA do tej lokalizacji.
• Ustaw okres ważności dla list CRL publikowanych przez główny urząd certyfikacji na długi okres czasu, na przykład jeden rok. Oznacza to, że musisz włączyć główny urząd certyfikacji raz w roku, aby opublikować nową listę CRL, a następnie trzeba będzie skopiować go do lokalizacji dostępnej dla klientów. Jeśli tego nie zrobisz, po wygaśnięciu listy CRL w głównym urzędzie certyfikacji sprawdzanie odwołania dla wszystkich certyfikatów również zakończy się niepowodzeniem.
• Użyj zasad grupy, aby opublikować certyfikat głównego urzędu certyfikacji do zaufanego głównego magazynu urzędu certyfikacji na wszystkich serwerach i komputerach klienckich. Należy to zrobić ręcznie, ponieważ autonomiczny urząd certyfikacji nie może wykonać tego automatycznie, w przeciwieństwie do urzędu certyfikacji przedsiębiorstwa. Certyfikat głównego urzędu certyfikacji można również opublikować w usługach AD DS przy użyciu narzędzia wiersza polecenia certutil.

Pokaz

W poniższym filmie wideo pokazano, jak:

• Konfigurowanie wymagań wstępnych dla głównego urzędu certyfikacji przedsiębiorstwa.
• Wdrażanie głównego urzędu certyfikacji przedsiębiorstwa.

Główne kroki procesu to:

1. Tworzenie środowiska usług AD DS. Utwórz las usług AD DS z jedną domeną.
2. Konfigurowanie wymagań wstępnych dla głównego urzędu certyfikacji przedsiębiorstwa. Zainstaluj wymaganą rolę serwera i usługi roli serwera.
3. Wdrażanie głównego urzędu certyfikacji przedsiębiorstwa. Skonfiguruj ustawienia głównego urzędu certyfikacji przedsiębiorstwa.

---

Sprawdź swoją wiedzę

1.

Które z poniższych stwierdzeń dotyczących instalacji głównego urzędu certyfikacji usług AD CS Enterprise jest poprawne?

Można zmodyfikować algorytm skrótu kryptografii urzędu certyfikacji.

Przed uruchomieniem instalacji należy utworzyć klucz prywatny.

Podczas instalowania urzędu certyfikacji przedsiębiorstwa należy uwzględnić usługę sieci Web rejestracji certyfikatów w instalacji.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.