Настройка центра сертификации Windows 2016

Обновлено: 03.07.2024

В первой части этой серии я расскажу вам, как настроить простой центр сертификации в Windows 2016 Server для экспериментальной среды. Если вы хотите избавиться от этих надоедливых предупреждений каждый раз, когда вы открываете веб-сеанс для vCenter, ESXi или почти любого продукта VMware, вам необходимо иметь подписанный и доверенный сертификат на веб-сервере. Без этого вы должны признать риск подключения к сайту, а затем щелкнуть, чтобы продолжить на этом сайте. Это особенно болезненно, когда вы пытаетесь продемонстрировать такой продукт, как приложение vROps Tenant для vCD, у которого есть iFrame, который подключается к приложению. Если вы не пойдете и не сделаете приемки перед запуском демонстрации, вы застрянете, избавляясь от этих предупреждений, которые прерывают процесс. В своей лабораторной среде я настроил центр сертификации Microsoft для подписи сертификатов для различных инструментов, которые я использую, что позволило мне избавиться от этого предупреждения и иметь все зеленые URL-адреса в моем браузере.

Во-первых, вам нужна виртуальная машина под управлением Windows Server 2016. Я не буду здесь вдаваться в подробности настройки Windows Server.

Шаг 1. Нам нужно добавить роль центра сертификации на сервер. Откройте Диспетчер серверов и выберите Добавить роли и компоненты.

Интересно.jpg

Шаг 2. Нажмите "Далее" на информационной странице.

I Wonder_001.jpg

Шаг 3. Оставьте выбор установки на основе ролей или компонентов и нажмите кнопку Далее.

I Wonder_002.jpg

Шаг 4. Должен быть только один конечный сервер, и это должен быть тот, над которым вы работаете. Нажмите «Далее».

I Wonder_003.jpg

Шаг 5. Затем в разделе «Роли сервера» отметьте службы сертификатов Active Directory и дождитесь появления всплывающего окна с дополнительными функциями, необходимыми для ADCS.

I Wonder_004.jpg

Когда это появится, нажмите Добавить компоненты.

I Wonder_005.jpg

Шаг 6. Теперь у вас должна быть галочка напротив служб сертификации Active Directory. Нажмите «Далее».

I Wonder_006.jpg

Шаг 7. На странице выбора функций оставьте все как есть и нажмите "Далее".

I Wonder_007.jpg

Шаг 8. Нажмите «Далее» на информационной странице ADCS.

I Wonder_008.jpg

Шаг 9. Выберите Certification Services в Role Services и нажмите Next.

I Wonder_009.jpg

Шаг 10. Выберите Автоматический перезапуск целевого сервера, если требуется, и нажмите Да во всплывающем окне. Наконец, нажмите «Установить».

I Wonder_010.jpg

Шаг 11. Начнется установка ADCS.

I Wonder_011.jpg

Шаг 12. Если все пойдет хорошо, установка должна завершиться, и вы можете закрыть ее. (При новой установке 2016 года перезагрузка обычно не требуется.)

I Wonder_012.jpg

Шаг 13. Вернитесь на панель мониторинга диспетчера серверов, и вы увидите желтый восклицательный знак. Это означает, что вам необходимо завершить настройку ADCS.

Интересно_013.jpg

Шаг 14. Щелкните флажок, а затем щелкните Настроить службы сертификатов Active Directory на…. в элементе Конфигурация после развертывания.

I Wonder_014.jpg

Шаг 15. Оставьте учетные данные по умолчанию и нажмите "Далее".

I Wonder_020.jpg

Шаг 16. Установите флажок "Центр сертификации" и нажмите "Далее".

I Wonder_016.jpg

Шаг 17. Оставьте выбранным Автономный ЦС и нажмите Далее. Для Enterprise CA вам необходимо подключиться к домену, а для наших целей это не требуется.

I Wonder_017.jpg

Шаг 18. Вы хотите развернуть корневой ЦС, если у вас нет корневого ЦС, подчиненным которому может быть этот ЦС. Нажмите «Далее».

I Wonder_018.jpg

Шаг 19. Не снимайте флажок "Создать новый закрытый ключ" и нажмите "Далее".

I Wonder_019.jpg

Шаг 20. Длина ключа и алгоритм по умолчанию должны быть достаточными для нужд лаборатории. Нажмите "Далее".

I Wonder_020.jpg

Шаг 21. Дайте ЦС имя и нажмите "Далее".

I Wonder_023.jpg

Шаг 22. Срок действия по умолчанию составляет 5 лет. Обычно я делаю его равным 10. После того, как вы установите его, нажмите «Далее».

I Wonder_024.jpg

Шаг 23. Оставьте расположение баз данных по умолчанию, если вы не хотите изменить их специально, и нажмите "Далее".

I Wonder_025.jpg

Шаг 24. Нажмите «Настроить» на сводной странице.

I Wonder_026.jpg

Шаг 25. Теперь у вас должен быть настроен центр сертификации.

I Wonder_027.jpg

Шаг 26. На панели мониторинга диспетчера серверов щелкните меню "Сервис", а затем "Центр сертификации".

I Wonder_028.jpg

Шаг 27. Здесь вы должны увидеть только что созданный ЦС.

I Wonder_029.jpg

I Wonder_030.jpg

Шаг 29. Вы увидите сводную страницу сертификата, на которой указан срок действия. (в данном случае 10 лет)

I Wonder_031.jpg

Шаг 30. Чтобы устройства, которые вы используете, доверяли сертификатам, подписанным этим центром сертификации, вам необходимо установить общедоступный сертификат ЦС в список доверенных ЦС на каждом устройстве.
Перейдите на вкладку "Подробности".

I Wonder_032.jpg

I Wonder_033.jpg

Шаг 31. Теперь нажмите «Копировать в файл» и нажмите «Далее».

Шаг 32. Вам необходимо экспортировать сертификат в формате Base-64 Encoded, поскольку вы будете использовать его содержимое для различных решений VMware. Выберите Base-64 и нажмите "Далее".

I Wonder_034.jpg

Шаг 33. Выберите расположение и имя файла и нажмите "Далее".

I Wonder_035.jpg

Шаг 34. Нажмите "Готово" на странице сводки.

I Wonder_036.jpg

Шаг 35. Если вы сейчас откроете только что сохраненный файл в Блокноте, он будет выглядеть примерно так.

I Wonder_037.jpg

И все. Теперь вы готовы создавать сертификаты для своих лабораторных серверов. Не забудьте сохранить общедоступный сертификат в доверенные корневые сертификаты ваших устройств, которые вы используете для управления тестовой средой.

В части 2 мы рассмотрим подписание CSR (запроса на подпись сертификата) с нашим новым ЦС.


Сертификационные службы AD — это роль сервера, которая позволяет нам создавать инфраструктуру открытых ключей (PKI) и предоставлять цифровой сертификат и цифровую подпись для нашей организации.

Я буду использовать существующий контроллер домена в своей сети (который я развернул в предыдущей части) и установлю на нем роли ЦС. Это имеет смысл, потому что сервисы Enterprise CA настолько тесно интегрированы с AD. Часто «в реальном мире» роль центра сертификации устанавливается на контроллере домена.

Приступим.

Откройте Диспетчер серверов и нажмите Управление –> Добавить роли и функции.

screenshot-36

Выполните шаги, выбрав настройки по умолчанию.

screenshot-39

screenshot-38

Когда вы перейдете к экрану «Роли сервера», выберите «Сертификационные службы Active Directory». После выбора роли вам будет предложено подтвердить установку дополнительных функций. Нажмите «Добавить функции» и нажмите «Далее».

screenshot-21

Нажмите «Далее» 2 раза, и вы перейдете к экрану «Службы ролей». Мы можем увидеть несколько различных вариантов, которые можно использовать, и я установлю центр сертификации (по умолчанию) и веб-регистрацию центра сертификации (который предоставляет веб-интерфейс, который позволяет пользователям запрашивать и обновлять сертификаты и т. д.). Обязательно разрешите установку дополнительных функций.

screenshot-22

Нажимайте кнопку "Далее" на оставшихся экранах, пока не дойдете до последней страницы, на которой вы нажимаете кнопку "Установить".

screenshot-23

Когда установка будет завершена, мы увидим ссылку «Настроить службы сертификатов Active Directory на целевом сервере». Нажмите на нее.

capture1

screenshot-24

Выберите Центр сертификации и Регистрация в центре сертификации через Интернет и нажмите "Далее".

screenshot-25

screenshot-40

Выберите корневой ЦС. Потому что это наш первый сервер ЦС.

screenshot-41

Выберите Создать новый закрытый ключ

screenshot-42

На экране "Криптография" оставьте длину ключа по умолчанию (2048) и убедитесь, что для алгоритма хэширования установлено значение SHA256. Нажмите "Далее"

SHA1 устарел.

screenshot-29

ОБС!! Мы можем изменить общее имя, если захотим. Общее имя не обязательно должно совпадать с именем сервера. Это имя будет отображаться в Active Directory, а также в сертификатах, которые вы выдаете из этого ЦС.

screenshot-30

По умолчанию сертификат действителен в течение 5 лет. Нажмите "Далее"

screenshot-31

Продолжите работу с оставшимися экранами, оставив установленными параметры по умолчанию, и на странице подтверждения нажмите «Настроить».

screenshot-32

screenshot-33

Установка и настройка завершены.

В диспетчере серверов нажмите "Инструменты", а затем нажмите "Центр сертификации".

screenshot-34

screenshot-35

В первой части этой серии мы установили и настроили центр сертификации. Во второй части мы рассмотрим шаблоны сертификатов.

сервер ЦС Windows

Сервер Windows Active Directory Certification Authority (AD CA), также известный как центр сертификации, является важной службой для Active Directory каждой организации, поскольку он может управлять, выдавать, отзывать и обновлять цифровые сертификаты, используемые для проверки личности пользователей. , компьютеры и другие сетевые службы.

В этом руководстве показано, как быстро установить и настроить сервер центра сертификации на сервере Windows 2016. Руководство включает в себя установку веб-службы подачи заявок в центр сертификации, которая позволит вашей организации запрашивать, обновлять и загружать сертификаты через простой веб-интерфейс.

Время выполнения: 10–15 минут

Шаг 1. Установка служб сертификации Windows Active Directory

Запустите Диспетчер серверов и выберите Управление > Добавить роли и компоненты:

диспетчер сервера установки Windows CA Server

На следующем экране выберите, просто нажмите кнопку Далее:

установка Windows CA Server добавить функции ролей

Убедитесь, что выбрана установка на основе ролей или функций, и нажмите "Далее":

установка Windows CA Server выберите целевой сервер

На следующем экране выберите целевой сервер из доступного пула серверов и нажмите кнопку "Далее":

установка Windows CA Server выберите сервер

Далее отметьте службы сертификации Active Directory из доступных ролей:

установка Windows CA Server выберите роль сервера

Мастер добавления ролей и компонентов немедленно откроет новое окно, требующее подтверждения установки дополнительных инструментов, необходимых для управления функцией ЦС. Для подтверждения нажмите кнопку «Добавить функции»:

установка сервера Windows CA добавить дополнительные функции

Теперь вы вернетесь в предыдущее окно.Просто нажмите кнопку «Далее», чтобы продолжить.

В окне "Выбрать функции" просто нажмите кнопку "Далее":

установка Windows CA Server выберите функции

Следующий раздел посвящен службам сертификации, которые мы хотим установить. Начальное окно предупреждает, что после установки центра сертификации (ЦС) нельзя изменить имя компьютера/сервера. Найдите минутку, чтобы прочитать информацию, и нажмите «Далее», когда будете готовы:

установка сервера CA Windows ad cs

В следующем окне можно выбрать нужные службы центра сертификации для установки. Первый из них, Центр сертификации, выбран по умолчанию, однако рекомендуется также выбрать функцию веб-регистрации в Центре сертификации, так как она предоставляет простой веб-интерфейс, откуда вы можете отправлять запросы на подпись сертификата, загружать сертификаты и многое другое.

установка сервера Windows CA и службы cs

Как только будет выбрана функция веб-регистрации центра сертификации, появится всплывающее окно с запросом на подтверждение установки необходимых дополнительных функций. Нажмите «Добавить функции»:

установка Windows CA Server и дополнительные функции cs

Теперь вы вернетесь к предыдущему окну, нажмите "Далее", чтобы продолжить.

Следующий экран необходим для установки веб-служб IIS. Если у вас уже установлен IIS, вам не нужно выполнять эти шаги. Нажмите «Далее», чтобы продолжить:

Windows CA Server установка роли веб-сервера iis

На следующем экране, параметры веб-сервера IIS, мы можем легко принять выбранные по умолчанию службы. Не стесняйтесь прокрутить вниз и проверить доступные параметры, в противном случае просто нажмите «Далее», чтобы продолжить:

установка Windows CA Server iis web server functions

Последнее окно представляет собой простое подтверждение всех выбранных служб и функций. Обратите внимание на параметр автоматического перезапуска в верхней части экрана — рекомендуется не использовать его, поскольку сервер Windows может перезапуститься после завершения установки.

Когда все будет готово, нажмите кнопку "Установить", чтобы начать установку:

установка Windows CA Server подтвердить параметры установки

Установка может занять от 5 до 10 минут в зависимости от загруженности сервера. После завершения необходимо настроить службы сертификации Active Directory на целевом сервере, щелкнув ссылку в конце мастера установки:

Ход установки Windows CA Server

Шаг 2. Настройка служб сертификатов Active Directory (AD CS)

Настройка служб сертификатов Active Directory — это простой и быстрый процесс. Вы можете инициировать этот процесс с предыдущего шага или с панели управления диспетчера серверов, щелкнув восклицательный знак и выбрав Настроить службы сертификатов Active Directory на целевом сервере:

установка сервера ЦС Windows, настройка ЦС

После запуска процесса настройки системе потребуется подтверждение учетных данных для установки необходимых служб ролей. Введите имя пользователя, принадлежащее группе локальных и корпоративных администраторов.По умолчанию отображается имя пользователя администратора. Когда будете готовы, нажмите Далее:

учетные данные конфигурации сервера ЦС Windows

Далее выберите службы ролей, которые необходимо настроить. Нам доступны две услуги: центр сертификации и веб-регистрация центра сертификации. Выберите их оба и нажмите «Далее»:

службы роли конфигурации сервера Windows CA

На следующем экране выберите Enterprise CA (по умолчанию) в качестве типа установки CA и нажмите Далее:

тип настройки конфигурации сервера ЦС Windows

Далее, если это первый и, возможно, единственный ЦС в вашей организации, выберите корневой ЦС (по умолчанию) в качестве типа ЦС и нажмите Далее:

тип ca конфигурации сервера Windows CA

Далее мы создадим новый закрытый ключ (параметр по умолчанию) и нажмем «Далее», чтобы настроить его параметры:

закрытый ключ конфигурации сервера ЦС Windows

На следующем экране мы можем оставить для всех параметров значения по умолчанию и продолжить. В качестве альтернативы можно выбрать другой алгоритм хеширования, например, SHA384 или SHA512 с большей длиной ключа. Когда будете готовы, нажмите Далее:

Windows CA server configuration ca cryptography

Здесь мы можем изменить или оставить предлагаемое общее имя (CN) для нашего центра сертификации (CA). Когда будете готовы, нажмите Далее:

имя конфигурации сервера CA Windows

Период действия определяет, как долго сертификат, созданный для нашего ЦС, будет действителен. По умолчанию это 5 лет, однако его можно изменить в любом случае. Введите желаемое количество лет и нажмите Далее:

Срок действия сертификата конфигурации сервера ЦС Windows

Последний вариант — это конфигурация местоположений базы данных. Примите расположение по умолчанию и нажмите «Далее»:

расположение базы данных конфигурации сервера ЦС Windows

подтверждение настроек конфигурации сервера ЦС Windows

Через несколько секунд появится окно "Результаты", подтверждающее, что все роли, службы и функции успешно настроены. Нажмите «Закрыть», чтобы выйти из мастера настройки:

Конфигурация сервера Windows CA завершена

Теперь мы найдем MMC центра сертификации, доступную в инструментах администрирования:

windows ca server mmc console

доступ к веб-серверу Windows CA Server

Обзор

В этой статье объяснялась роль и важность сервера центра сертификации Windows, а также пошаговое руководство по установке и настройке сервера центра сертификации Windows 2016, включая компонент веб-регистрации центра сертификации.


Предпочтительно на выделенном сервере или на контроллере домена.

Открыть Диспетчер серверов — Управление — Добавить роли и функции

image

Шаг 2:

Выберите : Службы сертификатов Active Directory

И выберите: Регистрация в центре сертификации через Интернет

image

  • Центр сертификации
  • Веб-регистрация центра сертификации

image

Выберите «Установить и закрыть»

image

Шаг 3:

Чтобы настроить службы сертификации Active Directory, выберите восклицательный знак на флаге

Настройка служб сертификации Active Directory на целевом сервере

image

image

  • Центр сертификации
  • Веб-регистрация центра сертификации

image


Выберите ЦС предприятия

  • Центры сертификации предприятия должны быть членами домена и, как правило, находиться в сети для выдачи сертификатов или политик сертификатов.

image

Шаг 4.
Выберите корневой ЦС

Корневые ЦС являются первыми и могут быть единственными ЦС, настроенными в иерархии PKI.

image

Шаг 5.
Создайте новый закрытый ключ

image

Шаг 6:

image

Шаг 7:

image

Шаг 8:
По умолчанию сертификат действителен в течение 5 лет. Не вносите в него никаких изменений. Нажмите «Далее».

image

Шаг 9:

Указать расположение базы данных центра сертификации по умолчанию

image

image

image

Мы успешно установили и настроили центр сертификации в Windows Server 2016

Давайте посмотрим, как запросить создание простого сертификата у внутреннего центра сертификации

Шаг 10:

Вы увидите подобную страницу ниже. Выберите «Запросить сертификат»

image

Шаг 11.
Нажмите «Расширенный запрос сертификата»

image

image

Шаг 12.
Выберите второй вариант
Отправьте запрос на сертификат с помощью CMC с кодировкой base-64

Шаг 13:

Теперь скопируйте данные запроса сертификата блокнота — вам нужно создать запрос сертификата из приложения. Например, как у нас дела на сервере обмена

Пример — данные должны быть такими, как показано ниже —

<Р> - НАЧАТЬ НОВЫЙ СЕРТИФИКАТ REQUEST--
MIIEXDCCA0QCAQAwgYAxHTAbBgNVBAMMFGV4Y2gyMDE2LmNsb3VkaWQuYml6MRYw

FAYDVQQLDA1FeGNoYW5nZSBUZWFtMRUwEwYDVQQKDAxDYXJlRXhjaGFuZ2UxETAP BgNVBAcMCE5ldyBZb3JrMRAwDgYDVQQIDAdOZXcgWW9yMQswCQYDVQQGEwJVUzCC

ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKXVbwTkx4zhUobUvODoSwf1 8b0ti + DQ / WAoJPHlcSTW4weE5vVwQZbjtTqRhHOAOFEDYDnwZhuU1fOjjro + B2B3
zMTlvq0x7JJPsA9Zc611p + slYeTs / pI8hT9Ud2FgbwE3veF5u2uVw6 / lbZdA20yU
ZizIsCJkq9Qo2hLpMji3MB4eFRtyvd1eQpCJPnqseUdRVzfdSwN2zf0U7UQCzzG +
q7bL1Pb2jfjFlhr5xb9 / RfpaR / U3TmVHjf3 / u49mK1JOBuJwJQVCK / HBYHfMPOp6
VEjt8IVApclOE7tZcR3DjjyF73tHYfxUJp2HuVWml / UVemKIcSfVYOcGofNrF88C

AwEAAaCCAZQwGgYKKwYBBAGCNw0CAzEMFgo2LjIuOTIwMC4yMF8GCSsGAQQBgjcV FDFSMFACAQUMFEVYQ0gyMDE2LkNsb3VkaWQuYml6DBFDTE9VRElEXEVYQ0gyMDE2

JAwiTWljcm9zb2Z0LkV4Y2hhbmdlLlNlcnZpY2VIb3N0LmV4ZTByBgorBgEEAYI3 DQICMWQwYgIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh <бр />AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAH IAYQBwAGgAaQBjACAAUAByAG8AdgBp
AGQAZQByAwEAMIGgBgkqhkiG9w0BCQ4xgZIwgY8wDgYDVR0PAQH / BAQDAgWgMFAG
A1UdEQRJMEeCFGV4Y2gyMDE2LmNsb3VkaWQuYml6ghhBdXRvRGlzY292ZXIuQ2xv

dWRpZC5iaXqCCEVYQ0gyMDE2ggtDbG91ZGlkLmJpejAMBgNVHRMBAf8EAjAAMB0G A1UdDgQWBBQWEHXi + M7zoQZ3FlnOeRqsRscG0jANBgkqhkiG9w0BAQUFAAOCAQEA
FlYjkXO1rxadJmNB9g9KEqWU7NlxC3UdX2zyqWwK06cDB3 / K + ThKBiYE7uoiaais
YqlE6yoT3T09Nf + rihH8DfS + of14oMYQTKo9By9VdisD6R / iztY05StbVoSambRk
jnOohs1z4v3itufuEzQaqf8Q0Qu8w2xsVVRZx2t0SKfktPASqOzJZEIRS6egqELH
h9dkQBjsdOaTSsqapJXiHpMN53wxXNoztO6mWSVtPzgbfML0 + NLT41ZBiIAMjyIj
ztp61S / 7O5dfoR9St0cwzaxWSZ5XPriJzKfYQ3dRvl + J / e1gi / rJmw9IUyWGQ2qz
27HqRbsEa / LqFharKDjeBw ==
--end НОВЫЙ СЕРТИФИКАТ ЗАЯВКА -

SavedReqest — (данные ЗАПРОСА НОВОГО СЕРТИФИКАТА, как указано выше)
Выберите шаблон: веб-сервер

image

Шаг 14.
Выберите «Кодировка Base 64»

image

Шаг 15.
Сохраните сертификат — он должен иметь расширение .cer

image

Давайте, как мы подаем заявку на Exchange 2016 для примера

image

Скопировал мой файл запроса .CER, сгенерированный CA, на Exchange и использовал его.

image

Показывает недействительный сертификат.

image

1 — Пуск — MMC — ФАЙЛ — Добавить/удалить оснастку

2 — выбрать сертификаты — добавить

3 — Учетная запись компьютера

4 — Локальный компьютер

5 – Разверните личные – Сертификаты / Разверните сертификаты доверенных корневых центров

image

Теперь войдите на сервер корневого ЦС и экспортируйте корневой ЦС.

image

Теперь войдите в Exchange Server. Импортируйте экспортный сертификат.

image

Теперь сертификаты выглядят нормально

Убедитесь, что вы назначаете сертификат для IIS в панели управления Exchange.

image

Теперь вы можете видеть, что локально на сервере Exchange 2016 все в порядке —

image

– Давайте посмотрим, как мы можем использовать на рабочем столе

Сначала войдите в MMC Exchange Server и экспортируйте сертификат со всеми путями сертификата в файл PFX.

Примечание. Рабочему столу не нужны закрытые ключи от любого сертификата в цепочке.

Наличие закрытого ключа дает возможность расшифровать весь трафик между клиентом и сервером, даже если этот трафик исходит от кого-то еще. Это также делает возможной атаку «злоумышленник посередине» на это SSL-соединение.

Вкл. 2: для рабочих столов конечного пользователя выберите не экспортировать закрытый ключ и используйте этот сертификат для импорта.

Читайте также: