Планирование развертывания сертификата сервера
Перед развертыванием сертификатов сервера необходимо запланировать следующие элементы:
Планирование базовой конфигурации сервера
После установки Windows Server 2016 на компьютерах, которые планируется использовать в качестве центра сертификации и веб-сервера, необходимо переименовать компьютер и назначить статический IP-адрес для локального компьютера.
Дополнительные сведения см. в руководстве по сети Windows Server 2016 Core.
Планирование доступа к домену
Для входа в домен компьютер должен быть компьютер-член домена, а учетная запись пользователя должна быть создана в AD DS перед попыткой входа. Кроме того, большинство процедур в этом руководстве требуют, чтобы учетная запись пользователя была членом групп администраторов предприятия или администраторов домена в Пользователи и компьютеры Active Directory, поэтому необходимо войти в ЦС с учетной записью, которая имеет соответствующее членство в группах.
Дополнительные сведения см. в руководстве по сети Windows Server 2016 Core.
Планирование расположения и имени виртуального каталога на веб-сервере
Чтобы предоставить доступ к сертификату CRL и сертификату ЦС на других компьютерах, необходимо сохранить эти элементы в виртуальном каталоге на веб-сервере. В этом руководстве виртуальный каталог находится на веб-сервере WEB1. Эта папка находится на диске "C:" и называется "pki". Вы можете найти виртуальный каталог на веб-сервере в любом расположении папок, подходящем для развертывания.
Планирование записи DNS -псевдонима (CNAME) для веб-сервера
Записи ресурсов псевдонима (CNAME) иногда называются каноническими записями ресурсов имен. С помощью этих записей можно использовать несколько имен для указания на один узел, что упрощает выполнение таких действий, как размещение сервера протокола передачи файлов (FTP) и веб-сервера на одном компьютере. Например, известные имена серверов (ftp, www) регистрируются с помощью записей ресурсов псевдонима (CNAME), которые сопоставляются с именем узла системы доменных имен (DNS), например WEB1, для сервера, на котором размещаются эти службы.
В этом руководстве приведены инструкции по настройке веб-сервера для размещения списка отзыва сертификатов (CRL) для центра сертификации (ЦС). Так как вы также можете использовать веб-сервер для других целей, например для размещения FTP или веб-сайта, рекомендуется создать запись ресурса псевдонима в DNS для веб-сервера. В этом руководстве запись CNAME называется "pki", но вы можете выбрать имя, подходящее для развертывания.
Планирование конфигурации CAPolicy.inf
Перед установкой AD CS необходимо настроить CAPolicy.inf в ЦС с информацией, правильной для развертывания. Файл CAPolicy.inf содержит следующие сведения:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
Для этого файла необходимо запланировать следующие элементы:
URL-адрес. В примере ФАЙЛА CAPolicy.inf имеется ЗНАЧЕНИЕ https://pki.corp.contoso.com/pki/cps.txtURL-адреса. Это связано с тем, что веб-сервер в этом руководстве называется WEB1 и содержит запись ресурсов DNS CNAME pki. Веб-сервер также присоединяется к домену corp.contoso.com. Кроме того, на веб-сервере есть виртуальный каталог с именем pki, где хранится список отзыва сертификатов. Убедитесь, что значение, указанное для URL-адреса в файле CAPolicy.inf, указывает на виртуальный каталог на веб-сервере в домене.
ОбновлениеKeyLength. Длина ключа продления по умолчанию для AD CS в Windows Server 2012 — 2048. Выбранная длина ключа должна быть максимально долгой при обеспечении совместимости с приложениями, которые вы планируете использовать.
ОбновлениеValidityPeriodUnits. В примере ФАЙЛА CAPolicy.inf имеется значение RenewalValidityPeriodUnits 5 лет. Это связано с тем, что ожидаемый срок жизни ЦС составляет около десяти лет. Значение RenewalValidityPeriodUnits должно отражать общий срок действия ЦС или наибольшее количество лет, для которых требуется предоставить регистрацию.
CRLPeriodUnits. В примере CAPolicy.inf-файл имеет значение CRLPeriodUnits со значением 1. Это связано с тем, что пример интервала обновления для списка отзыва сертификатов в этом руководстве составляет 1 неделю. При значении интервала, заданном с помощью этого параметра, необходимо опубликовать список отзыва сертификатов в виртуальном каталоге веб-сервера, где хранится список отзыва сертификатов и предоставить доступ к нему для компьютеров, которые находятся в процессе проверки подлинности.
AlternateSignatureAlgorithm. Этот CAPolicy.inf реализует улучшенный механизм безопасности, реализуя альтернативные форматы подписей. Этот параметр не следует реализовать, если у вас по-прежнему есть клиенты Windows XP, требующие сертификатов из этого ЦС.
Если вы не планируете добавлять подчиненные ЦС в инфраструктуру открытых ключей позже, а если вы хотите предотвратить добавление подчиненных ЦС, можно добавить ключ PathLength в файл CAPolicy.inf со значением 0. Чтобы добавить этот ключ, скопируйте и вставьте следующий код в файл:
[BasicConstraintsExtension]
PathLength=0
Critical=Yes
Внимание
Не рекомендуется изменять другие параметры в файле CAPolicy.inf, если вы не имеете определенной причины для этого.
Планирование конфигурации расширений CDP и AIA в CA1
При настройке параметров точки распространения (CDP) списка отзыва сертификатов (CRL) и параметров доступа к данным центра (AIA) в CA1 вам потребуется имя веб-сервера и доменного имени. Вам также потребуется имя виртуального каталога, создаваемого на веб-сервере, где хранится список отзыва сертификатов (CRL) и сертификат центра сертификации.
Расположение CDP, которое необходимо ввести во время этого шага развертывания, имеет формат:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.
Например, если веб-сервер называется WEB1, а запись CNAME DNS-псевдонима для веб-сервера — pki, домен corp.contoso.com, а виртуальный каталог называется pki, расположение CDP — это:
http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Расположение AIA, которое необходимо ввести, имеет формат:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.
Например, если веб-сервер называется WEB1, а запись CNAME DNS для веб-сервера — pki, домен corp.contoso.com, а виртуальный каталог называется pki, расположение AIA:
http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt
Планирование операции копирования между ЦС и веб-сервером
Чтобы опубликовать сертификат CRL и ЦС из ЦС в виртуальный каталог веб-сервера, можно выполнить команду certutil -crl после настройки расположений CDP и AIA в ЦС. Убедитесь, что вы настроите правильные пути на вкладке "Расширения свойств ЦС" перед выполнением этой команды с помощью инструкций в этом руководстве. Кроме того, чтобы скопировать сертификат ЦС Enterprise на веб-сервер, необходимо уже создать виртуальный каталог на веб-сервере и настроить папку в качестве общей папки.
Планирование конфигурации шаблона сертификата сервера в ЦС
Чтобы развернуть сертификаты сервера автоматической регистрации, необходимо скопировать шаблон сертификата с именем RAS и IAS Server. По умолчанию эта копия называется копией RAS и сервера IAS. Если вы хотите переименовать эту копию шаблона, запланируйте имя, которое вы хотите использовать во время этого шага развертывания.
Примечание.
Последние три раздела развертывания в этом руководстве, которые позволяют настроить автоматическую регистрацию сертификата сервера, обновить групповую политику на серверах и убедиться, что серверы получили действительный сертификат сервера из ЦС, не требуют дополнительных шагов планирования.