Развертывание сертификатов сервера для проводных и беспроводных развертываний 802.1 X
Это руководство можно использовать для развертывания сертификатов сервера на серверах инфраструктуры удаленного доступа и сервера политики сети (NPS).
Данное руководство содержит следующие разделы.
Сертификаты цифрового сервера
В этом руководстве приведены инструкции по использованию служб сертификатов Active Directory (AD CS) для автоматической регистрации сертификатов на серверах инфраструктуры удаленного доступа и NPS. AD CS позволяет создавать инфраструктуру открытых ключей (PKI) и предоставлять криптографию открытых ключей, цифровые сертификаты и возможности цифровой подписи для вашей организации.
При использовании цифровых сертификатов сервера для проверки подлинности между компьютерами в сети предоставляются следующие сертификаты:
- Конфиденциальность с помощью шифрования.
- Целостность с помощью цифровых подписей.
- Проверка подлинности путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в сети компьютеров.
Типы серверов
С помощью этого руководства можно развернуть сертификаты сервера на следующих типах серверов.
- Серверы, работающие под управлением службы удаленного доступа, являются серверами DirectAccess или стандартными виртуальными частными сетями (VPN) и членами группы серверов RAS и IAS Server .
- Серверы, работающие под управлением службы сервера политики сети (NPS), которые являются членами группы серверов RAS и IAS .
Преимущества автоматической регистрации сертификатов
Автоматическая регистрация сертификатов сервера, также называемая автоматической регистрацией, предоставляет следующие преимущества.
- Центр сертификации AD CS автоматически регистрирует сертификат сервера для всех серверов NPS и удаленного доступа.
- Все компьютеры в домене автоматически получают сертификат ЦС, который устанавливается в хранилище доверенных корневых центров сертификации на каждом компьютере-члене домена. Из-за этого все компьютеры в домене доверяют сертификатам, выданным вашим ЦС. Это доверие позволяет серверам проверки подлинности подтвердить свои удостоверения друг другу и участвовать в безопасном взаимодействии.
- Кроме обновления групповой политики, не требуется перенастройка каждого сервера вручную.
- Каждый сертификат сервера включает как назначение проверки подлинности сервера, так и назначение проверки подлинности клиента в расширениях расширенного использования ключей (EKU).
- Масштабируемость. После развертывания корпоративного корневого ЦС с помощью этого руководства вы можете развернуть инфраструктуру открытых ключей (PKI), добавив корпоративные подчиненные ЦС.
- Управляемость. Вы можете управлять CS AD с помощью консоли AD CS или с помощью команд и сценариев Windows PowerShell.
- Простота. Укажите серверы, которые регистрируют сертификаты сервера с помощью учетных записей групп Active Directory и членства в группах.
- При развертывании сертификатов сервера сертификаты основаны на шаблоне, который вы настраиваете с инструкциями в этом руководстве. Это означает, что можно настроить разные шаблоны сертификатов для определенных типов серверов или использовать один и тот же шаблон для всех сертификатов сервера, которые требуется выдать.
Предварительные требования для использования этого руководства
В этом руководстве содержатся инструкции по развертыванию сертификатов сервера с помощью AD CS и роли сервера веб-сервера (IIS) в Windows Server 2016. Ниже приведены предварительные требования для выполнения процедур в этом руководстве.
Необходимо развернуть основную сеть с помощью руководства по сети Windows Server 2016 Core, или у вас уже должны быть технологии, установленные и функционирующие в сети. К этим технологиям относятся TCP/IP версии 4, DHCP, домен Active Directory службы (AD DS), DNS и NPS.
Примечание.
Руководство по сети Windows Server 2016 Core доступно в технической библиотеке Windows Server 2016. Дополнительные сведения см . в руководстве по основной сети.
Перед выполнением развертывания необходимо ознакомиться с разделом планирования этого руководства.
Действия, описанные в этом руководстве, необходимо выполнить в том порядке, в котором они представлены. Не двигайтесь вперед и не развертывайте ЦС, не выполняя действия, которые приводят к развертыванию сервера, или развертывание завершится ошибкой.
Необходимо подготовиться к развертыванию двух новых серверов в сети — на одном сервере, на котором вы установите AD CS в качестве корпоративного корневого ЦС, и один сервер, на котором будет установлен веб-сервер (IIS), чтобы ЦС могли опубликовать список отзыва сертификатов (CRL) на веб-сервере.
Примечание.
Вы готовы назначить статический IP-адрес веб-серверам и серверам AD CS, которые вы развертываете с помощью этого руководства, а также назначить компьютеры в соответствии с соглашениями об именовании организации. Кроме того, необходимо присоединить компьютеры к домену.
Чего в этом руководстве нет
В этом руководстве не содержатся исчерпывающие инструкции по проектированию и развертыванию инфраструктуры открытых ключей (PKI) с помощью AD CS. Перед развертыванием технологий в этом руководстве рекомендуется ознакомиться с документацией по AD CS и документацией по проектированию PKI.
Обзор технологий
Ниже приведены общие сведения о технологиях AD CS и веб-сервера (IIS).
Службы сертификатов Active Directory
AD CS в Windows Server 2016 предоставляет настраиваемые службы для создания сертификатов X.509 и управления ими, используемых в системах безопасности программного обеспечения, использующих технологии открытого ключа. Организации могут использовать AD CS для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему открытому ключу. AD CS также включает функции, позволяющие управлять регистрацией сертификатов и отзывом в различных масштабируемых средах.
Дополнительные сведения см. в обзоре служб сертификатов Active Directory и руководстве по проектированию инфраструктуры открытых ключей.
Веб-сервер (IIS)
Роль веб-сервера (IIS) в Windows Server 2016 обеспечивает безопасную, простую, модульную и расширяемую платформу для надежного размещения веб-сайтов, служб и приложений. С помощью IIS вы можете предоставлять доступ к данным пользователям в Интернете, интрасети или экстрасети. IIS — это единая веб-платформа, которая интегрирует службы IIS, ASP.NET, службы FTP, PHP и Windows Communication Foundation (WCF).