Поделиться через


Планирование развертывания сертификата сервера

Перед развертыванием сертификатов сервера необходимо запланировать следующие элементы:

Планирование базовой конфигурации сервера

После установки Windows Server 2016 на компьютерах, которые планируется использовать в качестве центра сертификации и веб-сервера, необходимо переименовать компьютер и назначить статический IP-адрес для локального компьютера.

Дополнительные сведения см. в руководстве по сети Windows Server 2016 Core.

Планирование доступа к домену

Для входа в домен компьютер должен быть компьютер-член домена, а учетная запись пользователя должна быть создана в AD DS перед попыткой входа. Кроме того, большинство процедур в этом руководстве требуют, чтобы учетная запись пользователя была членом групп администраторов предприятия или администраторов домена в Пользователи и компьютеры Active Directory, поэтому необходимо войти в ЦС с учетной записью, которая имеет соответствующее членство в группах.

Дополнительные сведения см. в руководстве по сети Windows Server 2016 Core.

Планирование расположения и имени виртуального каталога на веб-сервере

Чтобы предоставить доступ к сертификату CRL и сертификату ЦС на других компьютерах, необходимо сохранить эти элементы в виртуальном каталоге на веб-сервере. В этом руководстве виртуальный каталог находится на веб-сервере WEB1. Эта папка находится на диске "C:" и называется "pki". Вы можете найти виртуальный каталог на веб-сервере в любом расположении папок, подходящем для развертывания.

Планирование записи DNS -псевдонима (CNAME) для веб-сервера

Записи ресурсов псевдонима (CNAME) иногда называются каноническими записями ресурсов имен. С помощью этих записей можно использовать несколько имен для указания на один узел, что упрощает выполнение таких действий, как размещение сервера протокола передачи файлов (FTP) и веб-сервера на одном компьютере. Например, известные имена серверов (ftp, www) регистрируются с помощью записей ресурсов псевдонима (CNAME), которые сопоставляются с именем узла системы доменных имен (DNS), например WEB1, для сервера, на котором размещаются эти службы.

В этом руководстве приведены инструкции по настройке веб-сервера для размещения списка отзыва сертификатов (CRL) для центра сертификации (ЦС). Так как вы также можете использовать веб-сервер для других целей, например для размещения FTP или веб-сайта, рекомендуется создать запись ресурса псевдонима в DNS для веб-сервера. В этом руководстве запись CNAME называется "pki", но вы можете выбрать имя, подходящее для развертывания.

Планирование конфигурации CAPolicy.inf

Перед установкой AD CS необходимо настроить CAPolicy.inf в ЦС с информацией, правильной для развертывания. Файл CAPolicy.inf содержит следующие сведения:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Для этого файла необходимо запланировать следующие элементы:

  • URL-адрес. В примере ФАЙЛА CAPolicy.inf имеется ЗНАЧЕНИЕ https://pki.corp.contoso.com/pki/cps.txtURL-адреса. Это связано с тем, что веб-сервер в этом руководстве называется WEB1 и содержит запись ресурсов DNS CNAME pki. Веб-сервер также присоединяется к домену corp.contoso.com. Кроме того, на веб-сервере есть виртуальный каталог с именем pki, где хранится список отзыва сертификатов. Убедитесь, что значение, указанное для URL-адреса в файле CAPolicy.inf, указывает на виртуальный каталог на веб-сервере в домене.

  • ОбновлениеKeyLength. Длина ключа продления по умолчанию для AD CS в Windows Server 2012 — 2048. Выбранная длина ключа должна быть максимально долгой при обеспечении совместимости с приложениями, которые вы планируете использовать.

  • ОбновлениеValidityPeriodUnits. В примере ФАЙЛА CAPolicy.inf имеется значение RenewalValidityPeriodUnits 5 лет. Это связано с тем, что ожидаемый срок жизни ЦС составляет около десяти лет. Значение RenewalValidityPeriodUnits должно отражать общий срок действия ЦС или наибольшее количество лет, для которых требуется предоставить регистрацию.

  • CRLPeriodUnits. В примере CAPolicy.inf-файл имеет значение CRLPeriodUnits со значением 1. Это связано с тем, что пример интервала обновления для списка отзыва сертификатов в этом руководстве составляет 1 неделю. При значении интервала, заданном с помощью этого параметра, необходимо опубликовать список отзыва сертификатов в виртуальном каталоге веб-сервера, где хранится список отзыва сертификатов и предоставить доступ к нему для компьютеров, которые находятся в процессе проверки подлинности.

  • AlternateSignatureAlgorithm. Этот CAPolicy.inf реализует улучшенный механизм безопасности, реализуя альтернативные форматы подписей. Этот параметр не следует реализовать, если у вас по-прежнему есть клиенты Windows XP, требующие сертификатов из этого ЦС.

Если вы не планируете добавлять подчиненные ЦС в инфраструктуру открытых ключей позже, а если вы хотите предотвратить добавление подчиненных ЦС, можно добавить ключ PathLength в файл CAPolicy.inf со значением 0. Чтобы добавить этот ключ, скопируйте и вставьте следующий код в файл:

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

Внимание

Не рекомендуется изменять другие параметры в файле CAPolicy.inf, если вы не имеете определенной причины для этого.

Планирование конфигурации расширений CDP и AIA в CA1

При настройке параметров точки распространения (CDP) списка отзыва сертификатов (CRL) и параметров доступа к данным центра (AIA) в CA1 вам потребуется имя веб-сервера и доменного имени. Вам также потребуется имя виртуального каталога, создаваемого на веб-сервере, где хранится список отзыва сертификатов (CRL) и сертификат центра сертификации.

Расположение CDP, которое необходимо ввести во время этого шага развертывания, имеет формат:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.

Например, если веб-сервер называется WEB1, а запись CNAME DNS-псевдонима для веб-сервера — pki, домен corp.contoso.com, а виртуальный каталог называется pki, расположение CDP — это:

http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Расположение AIA, которое необходимо ввести, имеет формат:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.

Например, если веб-сервер называется WEB1, а запись CNAME DNS для веб-сервера — pki, домен corp.contoso.com, а виртуальный каталог называется pki, расположение AIA:

http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt

Планирование операции копирования между ЦС и веб-сервером

Чтобы опубликовать сертификат CRL и ЦС из ЦС в виртуальный каталог веб-сервера, можно выполнить команду certutil -crl после настройки расположений CDP и AIA в ЦС. Убедитесь, что вы настроите правильные пути на вкладке "Расширения свойств ЦС" перед выполнением этой команды с помощью инструкций в этом руководстве. Кроме того, чтобы скопировать сертификат ЦС Enterprise на веб-сервер, необходимо уже создать виртуальный каталог на веб-сервере и настроить папку в качестве общей папки.

Планирование конфигурации шаблона сертификата сервера в ЦС

Чтобы развернуть сертификаты сервера автоматической регистрации, необходимо скопировать шаблон сертификата с именем RAS и IAS Server. По умолчанию эта копия называется копией RAS и сервера IAS. Если вы хотите переименовать эту копию шаблона, запланируйте имя, которое вы хотите использовать во время этого шага развертывания.

Примечание.

Последние три раздела развертывания в этом руководстве, которые позволяют настроить автоматическую регистрацию сертификата сервера, обновить групповую политику на серверах и убедиться, что серверы получили действительный сертификат сервера из ЦС, не требуют дополнительных шагов планирования.