Настройка центра сертификации Windows 2016
Обновлено: 21.11.2024
В первой части этой серии я расскажу вам, как настроить простой центр сертификации в Windows 2016 Server для экспериментальной среды. Если вы хотите избавиться от этих надоедливых предупреждений каждый раз, когда вы открываете веб-сеанс для vCenter, ESXi или почти любого продукта VMware, вам необходимо иметь подписанный и доверенный сертификат на веб-сервере. Без этого вы должны признать риск подключения к сайту, а затем щелкнуть, чтобы продолжить на этом сайте. Это особенно болезненно, когда вы пытаетесь продемонстрировать такой продукт, как приложение vROps Tenant для vCD, у которого есть iFrame, который подключается к приложению. Если вы не пойдете и не сделаете приемки перед запуском демонстрации, вы застрянете, избавляясь от этих предупреждений, которые прерывают процесс. В своей лабораторной среде я настроил центр сертификации Microsoft для подписи сертификатов для различных инструментов, которые я использую, что позволило мне избавиться от этого предупреждения и иметь все зеленые URL-адреса в моем браузере.
Во-первых, вам нужна виртуальная машина под управлением Windows Server 2016. Я не буду здесь вдаваться в подробности настройки Windows Server.
Шаг 1. Нам нужно добавить роль центра сертификации на сервер. Откройте Диспетчер серверов и выберите Добавить роли и компоненты.
Шаг 2. Нажмите "Далее" на информационной странице.
Шаг 3. Оставьте выбор установки на основе ролей или компонентов и нажмите кнопку Далее.
Шаг 4. Должен быть только один конечный сервер, и это должен быть тот, над которым вы работаете. Нажмите «Далее».
Шаг 5. Затем в разделе «Роли сервера» отметьте службы сертификатов Active Directory и дождитесь появления всплывающего окна с дополнительными функциями, необходимыми для ADCS.
Когда это появится, нажмите Добавить компоненты.
Шаг 6. Теперь у вас должна быть галочка напротив служб сертификации Active Directory. Нажмите «Далее».
Шаг 7. На странице выбора функций оставьте все как есть и нажмите "Далее".
Шаг 8. Нажмите «Далее» на информационной странице ADCS.
Шаг 9. Выберите Certification Services в Role Services и нажмите Next.
Шаг 10. Выберите Автоматический перезапуск целевого сервера, если требуется, и нажмите Да во всплывающем окне. Наконец, нажмите «Установить».
Шаг 11. Начнется установка ADCS.
Шаг 12. Если все пойдет хорошо, установка должна завершиться, и вы можете закрыть ее. (При новой установке 2016 года перезагрузка обычно не требуется.)
Шаг 13. Вернитесь на панель мониторинга диспетчера серверов, и вы увидите желтый восклицательный знак. Это означает, что вам необходимо завершить настройку ADCS.
Шаг 14. Щелкните флажок, а затем щелкните Настроить службы сертификатов Active Directory на…. в элементе Конфигурация после развертывания.
Шаг 15. Оставьте учетные данные по умолчанию и нажмите "Далее".
Шаг 16. Установите флажок "Центр сертификации" и нажмите "Далее".
Шаг 17. Оставьте выбранным Автономный ЦС и нажмите Далее. Для Enterprise CA вам необходимо подключиться к домену, а для наших целей это не требуется.
Шаг 18. Вы хотите развернуть корневой ЦС, если у вас нет корневого ЦС, подчиненным которому может быть этот ЦС. Нажмите «Далее».
Шаг 19. Не снимайте флажок "Создать новый закрытый ключ" и нажмите "Далее".
Шаг 20. Длина ключа и алгоритм по умолчанию должны быть достаточными для нужд лаборатории. Нажмите "Далее".
Шаг 21. Дайте ЦС имя и нажмите "Далее".
Шаг 22. Срок действия по умолчанию составляет 5 лет. Обычно я делаю его равным 10. После того, как вы установите его, нажмите «Далее».
Шаг 23. Оставьте расположение баз данных по умолчанию, если вы не хотите изменить их специально, и нажмите "Далее".
Шаг 24. Нажмите «Настроить» на сводной странице.
Шаг 25. Теперь у вас должен быть настроен центр сертификации.
Шаг 26. На панели мониторинга диспетчера серверов щелкните меню "Сервис", а затем "Центр сертификации".
Шаг 27. Здесь вы должны увидеть только что созданный ЦС.
Шаг 29. Вы увидите сводную страницу сертификата, на которой указан срок действия. (в данном случае 10 лет)
Шаг 30. Чтобы устройства, которые вы используете, доверяли сертификатам, подписанным этим центром сертификации, вам необходимо установить общедоступный сертификат ЦС в список доверенных ЦС на каждом устройстве.
Перейдите на вкладку "Подробности".
Шаг 31. Теперь нажмите «Копировать в файл» и нажмите «Далее».
Шаг 32. Вам необходимо экспортировать сертификат в формате Base-64 Encoded, поскольку вы будете использовать его содержимое для различных решений VMware. Выберите Base-64 и нажмите "Далее".
Шаг 33. Выберите расположение и имя файла и нажмите "Далее".
Шаг 34. Нажмите "Готово" на странице сводки.
Шаг 35. Если вы сейчас откроете только что сохраненный файл в Блокноте, он будет выглядеть примерно так.
И все. Теперь вы готовы создавать сертификаты для своих лабораторных серверов. Не забудьте сохранить общедоступный сертификат в доверенные корневые сертификаты ваших устройств, которые вы используете для управления тестовой средой.
В части 2 мы рассмотрим подписание CSR (запроса на подпись сертификата) с нашим новым ЦС.
Сертификационные службы AD — это роль сервера, которая позволяет нам создавать инфраструктуру открытых ключей (PKI) и предоставлять цифровой сертификат и цифровую подпись для нашей организации.
Я буду использовать существующий контроллер домена в своей сети (который я развернул в предыдущей части) и установлю на нем роли ЦС. Это имеет смысл, потому что сервисы Enterprise CA настолько тесно интегрированы с AD. Часто «в реальном мире» роль центра сертификации устанавливается на контроллере домена.
Приступим.
Откройте Диспетчер серверов и нажмите Управление –> Добавить роли и функции.
Выполните шаги, выбрав настройки по умолчанию.
Когда вы перейдете к экрану «Роли сервера», выберите «Сертификационные службы Active Directory». После выбора роли вам будет предложено подтвердить установку дополнительных функций. Нажмите «Добавить функции» и нажмите «Далее».
Нажмите «Далее» 2 раза, и вы перейдете к экрану «Службы ролей». Мы можем увидеть несколько различных вариантов, которые можно использовать, и я установлю центр сертификации (по умолчанию) и веб-регистрацию центра сертификации (который предоставляет веб-интерфейс, который позволяет пользователям запрашивать и обновлять сертификаты и т. д.). Обязательно разрешите установку дополнительных функций.
Нажимайте кнопку "Далее" на оставшихся экранах, пока не дойдете до последней страницы, на которой вы нажимаете кнопку "Установить".
Когда установка будет завершена, мы увидим ссылку «Настроить службы сертификатов Active Directory на целевом сервере». Нажмите на нее.
Выберите Центр сертификации и Регистрация в центре сертификации через Интернет и нажмите "Далее".
Выберите корневой ЦС. Потому что это наш первый сервер ЦС.
Выберите Создать новый закрытый ключ
На экране "Криптография" оставьте длину ключа по умолчанию (2048) и убедитесь, что для алгоритма хэширования установлено значение SHA256. Нажмите "Далее"
SHA1 устарел.
ОБС!! Мы можем изменить общее имя, если захотим. Общее имя не обязательно должно совпадать с именем сервера. Это имя будет отображаться в Active Directory, а также в сертификатах, которые вы выдаете из этого ЦС.
По умолчанию сертификат действителен в течение 5 лет. Нажмите "Далее"
Продолжите работу с оставшимися экранами, оставив установленными параметры по умолчанию, и на странице подтверждения нажмите «Настроить».
Установка и настройка завершены.
В диспетчере серверов нажмите "Инструменты", а затем нажмите "Центр сертификации".
В первой части этой серии мы установили и настроили центр сертификации. Во второй части мы рассмотрим шаблоны сертификатов.
Сервер Windows Active Directory Certification Authority (AD CA), также известный как центр сертификации, является важной службой для Active Directory каждой организации, поскольку он может управлять, выдавать, отзывать и обновлять цифровые сертификаты, используемые для проверки личности пользователей. , компьютеры и другие сетевые службы.
В этом руководстве показано, как быстро установить и настроить сервер центра сертификации на сервере Windows 2016. Руководство включает в себя установку веб-службы подачи заявок в центр сертификации, которая позволит вашей организации запрашивать, обновлять и загружать сертификаты через простой веб-интерфейс.
Время выполнения: 10–15 минут
Шаг 1. Установка служб сертификации Windows Active Directory
Запустите Диспетчер серверов и выберите Управление > Добавить роли и компоненты:
На следующем экране выберите, просто нажмите кнопку Далее:
Убедитесь, что выбрана установка на основе ролей или функций, и нажмите "Далее":
На следующем экране выберите целевой сервер из доступного пула серверов и нажмите кнопку "Далее":
Далее отметьте службы сертификации Active Directory из доступных ролей:
Мастер добавления ролей и компонентов немедленно откроет новое окно, требующее подтверждения установки дополнительных инструментов, необходимых для управления функцией ЦС. Для подтверждения нажмите кнопку «Добавить функции»:
Теперь вы вернетесь в предыдущее окно.Просто нажмите кнопку «Далее», чтобы продолжить.
В окне "Выбрать функции" просто нажмите кнопку "Далее":
Следующий раздел посвящен службам сертификации, которые мы хотим установить. Начальное окно предупреждает, что после установки центра сертификации (ЦС) нельзя изменить имя компьютера/сервера. Найдите минутку, чтобы прочитать информацию, и нажмите «Далее», когда будете готовы:
В следующем окне можно выбрать нужные службы центра сертификации для установки. Первый из них, Центр сертификации, выбран по умолчанию, однако рекомендуется также выбрать функцию веб-регистрации в Центре сертификации, так как она предоставляет простой веб-интерфейс, откуда вы можете отправлять запросы на подпись сертификата, загружать сертификаты и многое другое.
Как только будет выбрана функция веб-регистрации центра сертификации, появится всплывающее окно с запросом на подтверждение установки необходимых дополнительных функций. Нажмите «Добавить функции»:
Теперь вы вернетесь к предыдущему окну, нажмите "Далее", чтобы продолжить.
Следующий экран необходим для установки веб-служб IIS. Если у вас уже установлен IIS, вам не нужно выполнять эти шаги. Нажмите «Далее», чтобы продолжить:
На следующем экране, параметры веб-сервера IIS, мы можем легко принять выбранные по умолчанию службы. Не стесняйтесь прокрутить вниз и проверить доступные параметры, в противном случае просто нажмите «Далее», чтобы продолжить:
Последнее окно представляет собой простое подтверждение всех выбранных служб и функций. Обратите внимание на параметр автоматического перезапуска в верхней части экрана — рекомендуется не использовать его, поскольку сервер Windows может перезапуститься после завершения установки.
Когда все будет готово, нажмите кнопку "Установить", чтобы начать установку:
Установка может занять от 5 до 10 минут в зависимости от загруженности сервера. После завершения необходимо настроить службы сертификации Active Directory на целевом сервере, щелкнув ссылку в конце мастера установки:
Шаг 2. Настройка служб сертификатов Active Directory (AD CS)
Настройка служб сертификатов Active Directory — это простой и быстрый процесс. Вы можете инициировать этот процесс с предыдущего шага или с панели управления диспетчера серверов, щелкнув восклицательный знак и выбрав Настроить службы сертификатов Active Directory на целевом сервере:
После запуска процесса настройки системе потребуется подтверждение учетных данных для установки необходимых служб ролей. Введите имя пользователя, принадлежащее группе локальных и корпоративных администраторов.По умолчанию отображается имя пользователя администратора. Когда будете готовы, нажмите Далее:
Далее выберите службы ролей, которые необходимо настроить. Нам доступны две услуги: центр сертификации и веб-регистрация центра сертификации. Выберите их оба и нажмите «Далее»:
На следующем экране выберите Enterprise CA (по умолчанию) в качестве типа установки CA и нажмите Далее:
Далее, если это первый и, возможно, единственный ЦС в вашей организации, выберите корневой ЦС (по умолчанию) в качестве типа ЦС и нажмите Далее:
Далее мы создадим новый закрытый ключ (параметр по умолчанию) и нажмем «Далее», чтобы настроить его параметры:
На следующем экране мы можем оставить для всех параметров значения по умолчанию и продолжить. В качестве альтернативы можно выбрать другой алгоритм хеширования, например, SHA384 или SHA512 с большей длиной ключа. Когда будете готовы, нажмите Далее:
Здесь мы можем изменить или оставить предлагаемое общее имя (CN) для нашего центра сертификации (CA). Когда будете готовы, нажмите Далее:
Период действия определяет, как долго сертификат, созданный для нашего ЦС, будет действителен. По умолчанию это 5 лет, однако его можно изменить в любом случае. Введите желаемое количество лет и нажмите Далее:
Последний вариант — это конфигурация местоположений базы данных. Примите расположение по умолчанию и нажмите «Далее»:
Через несколько секунд появится окно "Результаты", подтверждающее, что все роли, службы и функции успешно настроены. Нажмите «Закрыть», чтобы выйти из мастера настройки:
Теперь мы найдем MMC центра сертификации, доступную в инструментах администрирования:
Обзор
В этой статье объяснялась роль и важность сервера центра сертификации Windows, а также пошаговое руководство по установке и настройке сервера центра сертификации Windows 2016, включая компонент веб-регистрации центра сертификации.
Предпочтительно на выделенном сервере или на контроллере домена.
Открыть Диспетчер серверов — Управление — Добавить роли и функции
Шаг 2:
Выберите : Службы сертификатов Active Directory
И выберите: Регистрация в центре сертификации через Интернет
- Центр сертификации
- Веб-регистрация центра сертификации
Выберите «Установить и закрыть»
Шаг 3:
Чтобы настроить службы сертификации Active Directory, выберите восклицательный знак на флаге
Настройка служб сертификации Active Directory на целевом сервере
- Центр сертификации
- Веб-регистрация центра сертификации
Выберите ЦС предприятия
- Центры сертификации предприятия должны быть членами домена и, как правило, находиться в сети для выдачи сертификатов или политик сертификатов.
Шаг 4.
Выберите корневой ЦС
Корневые ЦС являются первыми и могут быть единственными ЦС, настроенными в иерархии PKI.
Шаг 5.
Создайте новый закрытый ключ
Шаг 6:
Шаг 7:
Шаг 8:
По умолчанию сертификат действителен в течение 5 лет. Не вносите в него никаких изменений. Нажмите «Далее».
Шаг 9:
Указать расположение базы данных центра сертификации по умолчанию
Мы успешно установили и настроили центр сертификации в Windows Server 2016
Давайте посмотрим, как запросить создание простого сертификата у внутреннего центра сертификации
Шаг 10:
Вы увидите подобную страницу ниже. Выберите «Запросить сертификат»
Шаг 11.
Нажмите «Расширенный запрос сертификата»
Шаг 12.
Выберите второй вариант
Отправьте запрос на сертификат с помощью CMC с кодировкой base-64
Шаг 13:
Теперь скопируйте данные запроса сертификата блокнота — вам нужно создать запрос сертификата из приложения. Например, как у нас дела на сервере обмена
Пример — данные должны быть такими, как показано ниже —
<Р> - НАЧАТЬ НОВЫЙ СЕРТИФИКАТ REQUEST--MIIEXDCCA0QCAQAwgYAxHTAbBgNVBAMMFGV4Y2gyMDE2LmNsb3VkaWQuYml6MRYw
FAYDVQQLDA1FeGNoYW5nZSBUZWFtMRUwEwYDVQQKDAxDYXJlRXhjaGFuZ2UxETAP BgNVBAcMCE5ldyBZb3JrMRAwDgYDVQQIDAdOZXcgWW9yMQswCQYDVQQGEwJVUzCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKXVbwTkx4zhUobUvODoSwf1 8b0ti + DQ / WAoJPHlcSTW4weE5vVwQZbjtTqRhHOAOFEDYDnwZhuU1fOjjro + B2B3
zMTlvq0x7JJPsA9Zc611p + slYeTs / pI8hT9Ud2FgbwE3veF5u2uVw6 / lbZdA20yU
ZizIsCJkq9Qo2hLpMji3MB4eFRtyvd1eQpCJPnqseUdRVzfdSwN2zf0U7UQCzzG +
q7bL1Pb2jfjFlhr5xb9 / RfpaR / U3TmVHjf3 / u49mK1JOBuJwJQVCK / HBYHfMPOp6
VEjt8IVApclOE7tZcR3DjjyF73tHYfxUJp2HuVWml / UVemKIcSfVYOcGofNrF88C
AwEAAaCCAZQwGgYKKwYBBAGCNw0CAzEMFgo2LjIuOTIwMC4yMF8GCSsGAQQBgjcV FDFSMFACAQUMFEVYQ0gyMDE2LkNsb3VkaWQuYml6DBFDTE9VRElEXEVYQ0gyMDE2
JAwiTWljcm9zb2Z0LkV4Y2hhbmdlLlNlcnZpY2VIb3N0LmV4ZTByBgorBgEEAYI3 DQICMWQwYgIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh <бр />AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAH IAYQBwAGgAaQBjACAAUAByAG8AdgBp
AGQAZQByAwEAMIGgBgkqhkiG9w0BCQ4xgZIwgY8wDgYDVR0PAQH / BAQDAgWgMFAG
A1UdEQRJMEeCFGV4Y2gyMDE2LmNsb3VkaWQuYml6ghhBdXRvRGlzY292ZXIuQ2xv
dWRpZC5iaXqCCEVYQ0gyMDE2ggtDbG91ZGlkLmJpejAMBgNVHRMBAf8EAjAAMB0G A1UdDgQWBBQWEHXi + M7zoQZ3FlnOeRqsRscG0jANBgkqhkiG9w0BAQUFAAOCAQEA
FlYjkXO1rxadJmNB9g9KEqWU7NlxC3UdX2zyqWwK06cDB3 / K + ThKBiYE7uoiaais
YqlE6yoT3T09Nf + rihH8DfS + of14oMYQTKo9By9VdisD6R / iztY05StbVoSambRk
jnOohs1z4v3itufuEzQaqf8Q0Qu8w2xsVVRZx2t0SKfktPASqOzJZEIRS6egqELH
h9dkQBjsdOaTSsqapJXiHpMN53wxXNoztO6mWSVtPzgbfML0 + NLT41ZBiIAMjyIj
ztp61S / 7O5dfoR9St0cwzaxWSZ5XPriJzKfYQ3dRvl + J / e1gi / rJmw9IUyWGQ2qz
27HqRbsEa / LqFharKDjeBw ==
--end НОВЫЙ СЕРТИФИКАТ ЗАЯВКА -
SavedReqest — (данные ЗАПРОСА НОВОГО СЕРТИФИКАТА, как указано выше)
Выберите шаблон: веб-сервер
Шаг 14.
Выберите «Кодировка Base 64»
Шаг 15.
Сохраните сертификат — он должен иметь расширение .cer
Давайте, как мы подаем заявку на Exchange 2016 для примера
Скопировал мой файл запроса .CER, сгенерированный CA, на Exchange и использовал его.
Показывает недействительный сертификат.
1 — Пуск — MMC — ФАЙЛ — Добавить/удалить оснастку
2 — выбрать сертификаты — добавить
3 — Учетная запись компьютера
4 — Локальный компьютер
5 – Разверните личные – Сертификаты / Разверните сертификаты доверенных корневых центров
Теперь войдите на сервер корневого ЦС и экспортируйте корневой ЦС.
Теперь войдите в Exchange Server. Импортируйте экспортный сертификат.
Теперь сертификаты выглядят нормально
Убедитесь, что вы назначаете сертификат для IIS в панели управления Exchange.
Теперь вы можете видеть, что локально на сервере Exchange 2016 все в порядке —
– Давайте посмотрим, как мы можем использовать на рабочем столе
Сначала войдите в MMC Exchange Server и экспортируйте сертификат со всеми путями сертификата в файл PFX.
Примечание. Рабочему столу не нужны закрытые ключи от любого сертификата в цепочке.
Наличие закрытого ключа дает возможность расшифровать весь трафик между клиентом и сервером, даже если этот трафик исходит от кого-то еще. Это также делает возможной атаку «злоумышленник посередине» на это SSL-соединение.
Вкл. 2: для рабочих столов конечного пользователя выберите не экспортировать закрытый ключ и используйте этот сертификат для импорта.
Читайте также: