Внедрение PKI на платформе Windows Server 2012: настройка Root CA

Приступим к настройка корневого центра сертификации rca:

Перейдем в папку C:Windows и создадим там файл CAPolicy.inf (кодировка ANSI) следующего содержания:

[Version]
Signature=”$Windows NT$”
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
Notice=”Internal Policy Statement”
URL=http://pki.lab.kagarlickij.com/cps.txt
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriod=weeks
CRLPeriodUnits=26
CRLOverlapUnits=1
CRLOverlapPeriod=weeks
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=0
AlternateSignatureAlgorithm=1

Сейчас я поясню, какие параметры мы указали этим шагом:

RenewalKeyLength – длинна ключа, которая будет использована при обновлении сертификата;

RenewalValidityPeriod – единицы измерения срока действия “обновленного” сертификата;

RenewalValidityPeriodUnits – срок действия “обновленного” сертификата;

CRLPeriod, CRLPeriodUnits – периодичность публикации CRL;

CRLOverlapUnits, CRLOverlapPeriod – подстрахуем администратора системы, дав дополнительное время на распространение обновленного CRL;

CRLDeltaPeriodUnits=0 – отключаем публикацию разностных CRL — для автономного корневого ЦС применяется именно такая установка.

AlternateSignatureAlgorithm – включение этого парамера означает включение стандарта PKCS# V2.1, что приведет к несовместимостям с Windows XP и Windows Server 2003.

Добавим роль AD CS:

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Затем пройдем по шагам и определим базовые настройки:

Длинна ключа 2048 бит, алгоритм SHA1 – это далеко не максимум на сегодняшний день, но важнее соблюсти совместимость.

Ознакомимся с дефолтными настройками путей к AIA и CDP для нашего корневого CA:

В “реестровом” представлении эти параметры выглядят так:

Дефолтные расположения нам не походят, поэтому укажем собственные, используя certutil -setreg :

certutil -setreg CACRLPublicationURLs “1:C:Windowssystem32CertSrvCertEnroll%3%8%9.crln2:http://pki.lab.kagarlickij.com/%3%8%9.crl”

certutil –setreg CACACertPublicationURLs “1:C:Windowssystem32CertSrvCertEnroll%1_%3%4.crtn2:http://pki.lab.kagarlickij.com/%1_%3%4.crt”

Сейчас я поясню сиснтаксис этих команд:

n – это новый путь, новая строка при обработке команды

Цифра после n – это сумма цифровых обозначений парамеров (чекбоксов на вкладке Extensions в свойтвах CA).

Вот “расшифровка” для CDP:

1– Publish CRLs to this location.
2 – Include in the CDP extension of issued certificates.
4 – Include in CRLs. Clients use this to find Delta CRL locations.
8 – Include in all CRLs. Specifies where to publish in AD DS when publishing manually.
64 – Publish Delta CRLs to this location.
128 – Include in the IDP extension of issued CRLs.

.. а вот для AIA:

2– Include in the AIA extension of issued certificates

32– Include in the online certificate status protocol (OCSP) extension

Обратите внимание, для публикации в C:Windows… и http://… используются разные параметры. Просто откройте GUI и внимательно просмотрите опции.

Соответствие переменных значениям для CDP:

%1 –
%2 –
%3 –
%6 –
%7 –
%8 –
%9 –
%10 –
%11 –

Соответствие переменных реальным значениям для AIA:

%1 –
%2 –
%3 –
%4 –
%6 –
%7 –
%11 –

Укажем параметры списка отзывов (аналогично тому, что было указано в CAPolicy.inf):

certutil -setreg CACRLDeltaPeriodUnits 0
certutil -setreg CACRLDeltaPeriod “Days”
certutil -setreg CACRLOverlapPeriodUnits 2
certutil -setreg CACRLOverlapPeriod “Weeks”
certutil -setreg CAValidityPeriodUnits 10
certutil -setreg CAValidityPeriod “Years”

certutil -setreg CAAuditFilter 127

Укажем раздел конфигурации в Active Directory:

certutil -setreg CADSConfigDN “CN=Configuration,DC=lab,DC=kagarlickij,DC=com”

Перезапустим службу и опубликуем новый список отзывов:

Перенесем (например через виртуальный флоппи-диск) содержимое папки C:Windowssystem32certsrvcertenroll) с сервера rca на сервер dc и опубликуем сертификат корневого ЦС в AD:

certutil –dspublish –f %CaCertFileName.CRT% RootCA

Проверим результат c помощью ADSI Edit:

Теперь опубликуем список отзывов корневого ЦС:

certutil –dspublish –f %CrlFileName.CRL% RootCA

Снова проверим результат с помощью ADSI:

На этом настройку корневого CA можно считать завершенной и переходить к следующим этапам.

Внедрение PKI на платформе Windows Server 2012: выдача сертификата пользователю

После развертывания Issuing CA можно проверить работу сервиса.

Самый простой способ это использование групповой политики:

Откроем Group Policy Management, создадим и распространим следующую конфигурацию: Computer Configuration – Policies – Windows Settings – Security Settings – Public Key Policies , откроем Certificate Services Client – Auto-Enrollment , там установим Enabled и включим оба чекбокса (Renew expired certificates, update pending certificates и Remove revoked certificates and Update certificates that use certificate templates).

Используем мастер Automatic Certificate Request:

Для проверки, развернем новый сервер srv , введем его в домен, перейдем в cert:LocalMachineMy и убедимся что сертификат от LAB-ICA автоматически получен и установлен:

А в ЦС он, соответственно, выдан:

Теперь можем запросить сертификат для пользователя, первый способ это использование mmc:

Для пользователя доступны:

А для администратора:

При подаче запроса можно гибко настраивать параметры, в том числе возможности применения:

Еще один способ, это использование Web Enrollment.

Как видите, процедура запроса-выдачи сертификатов достаточно проста и может быть выполнена пользователем самостоятельно.

MCSA: Windows Server 2012

Данная сертификация будет аннулирована 31 января 2021 года. Вы больше не сможете получить данный сертификат после этой даты. Любые сертификаты, полученные вами до даты отмены сертификации, будут по-прежнему отображаться в вашей выписке об успеваемости в панели Сертификации. Вы также можете просмотреть все отмененные сертификации.

Подтвердите свое совершенное владение Windows Server 2012, необходимое для снижения расходов на информационные технологии и увеличения прибыли.

Должностные обязанности: Администратор

Обязательные экзамены: 70-410 70-411 70-412

Сведения о сертификации

Сдать три экзамена

СЕРТИФИКАЦИЯ НА СТАТУС НАЧИНАЮЩЕГО СПЕЦИАЛИСТА

MCSA: Windows Server 2012

Оцениваемые навыки

Два способа подготовки

Схемы обучения для приобретения навыков, необходимых для получения сертификата

Для этой сертификации доступных схем обучения пока нет

Курсы под руководством инструктора для приобретения навыков, необходимых для получения сертификата

Installing and Configuring Windows Server® 2012

На этом пятидневном официальном курсе Microsoft вы получите практические инструкции и попробуете установить и настроить Windows Server 2012, включая Windows Server 2012 R2. Этот курс является первой частью серии из трех курсов, которые предоставляют навыки и знания, необходимые для реализации базовой инфраструктуры Windows Server 2012 в существующей корпоративной среде.

Эти три курса в совокупности охватывают внедрение, управление, обслуживание и предоставление услуг и инфраструктуры в среде Windows Server 2012. Несмотря на то, что некоторые навыки и задачи аналогичны во всех этих курсах, этот курс фокусируется на первоначальной реализации и настройке основных служб, таких как сеть, хранилище, доменные службы Active Directory (AD DS), групповая политика, файловые службы и службы печати, а также Hyper-V.

Этот курс напрямую связан с практической подготовкой к экзамену Microsoft Certified Solutions Associate (MCSA) 410: Установка и настройка Windows Server 2012 и является его предпочтительным вариантом , который является первым из трех экзаменов, необходимых для MCSA: Квалификация для Windows Server 2012.

Лабораторные работы в этом курсе основаны на Windows Server 2012 R2 и Windows 8.1.

Профиль аудитории

Этот курс предназначен для специалистов в области информационных технологий (ИТ), которые имеют определенные знания и опыт работы с операционными системами Windows и хотят приобрести навыки и знания, необходимые для установки и выполнения начальной настройки сервера Windows Server 2012 или Windows Server 2012 R2 в существующей среде сервера Windows. Как правило, кандидаты, заинтересованные в посещении этого курса, следующие:

• Администраторы Windows Server, для которых администрирование Windows Server и связанных с этим технологий являются относительно новыми навыками, и они хотят узнать больше о Windows Server 2012 и Windows Server 2012 R2.
• ИТ-специалисты, имеющие опыт работы с другими технологиями, не принадлежащими Microsoft, которые отвечают требованиям курса и стремятся к перекрестному обучению в Windows Server 2012 и Windows Server 2012 R2.
• ИТ-специалисты, которые хотят получить экзаменационный сертификат Microsoft Certified Solutions Associate (MCSA) 410: Установка и настройка Windows Server 2012.
• ИТ-специалисты, желающие сдать экзамены на эксперта Microsoft Certified Solutions Expert (MCSE) по DataCenter, настольной инфраструктуре, обмену сообщениями, совместной работе и коммуникациям, также будут заинтересованы в прохождении этого курса при подготовке к партнерским экзаменам Microsoft Certified Solutions Associate (MCSA). Это обязательные условия для их специальностей.

Administering Windows Server® 2012

На этом пятидневном официальном курсе Microsoft вы получите практические инструкции по администрированию Windows Server 2012, включая Windows Server 2012 R2. Этот курс является второй частью серии из трех курсов, которые предоставляют навыки и знания, необходимые для реализации базовой инфраструктуры Windows Server 2012 в существующей корпоративной среде.

Эти три курса в совокупности охватывают внедрение, управление, обслуживание и предоставление услуг и инфраструктуры в среде Windows Server 2012. Несмотря на то, что некоторые навыки и задачи аналогичны во всех этих курсах, этот курс фокусируется на задачах администрирования, необходимых для поддержки инфраструктуры Windows Server 2012, таких как настройка и устранение неполадок разрешения имен, управление пользователями и группами с помощью доменных служб Active Directory (AD DS) и групповой политики, внедрение таких решений для удаленного доступа, как DirectAccess, VPN и прокси-сервер веб-приложений, внедрение сетевой политики и защита доступа к сети, безопасность данных, развертывание и обслуживание образов серверов, а также управление обновлениями и мониторинг сред Windows Server 2012.

Этот курс напрямую связан с практической подготовкой к экзамену Microsoft Certified Solutions Associate (MCSA): [411: Администрирование Windows Server 2012] и является его предпочтительным вариантом (https://www.microsoft.com/learning/exam-70-411.aspx), Он является вторым из трех экзаменов, необходимых для квалификации по Windows Server 2012 MCSA: Windows Server 2012.

Лабораторные работы в этом курсе основаны на Windows Server 2012 R2 и Windows 8.1.

Профиль аудитории

Этот курс предназначен для специалистов по информационным технологиям (ИТ), имеющих практический опыт работы в среде Windows Server 2008 или Windows Server 2012, которые хотят приобрести навыки и знания, необходимые для управления базовой инфраструктурой и ее поддержки, необходимой для сред Windows Server 2012 и Windows Server 2012 R2. Основное внимание студентов уделяется расширению первоначального развертывания служб и инфраструктуры Windows Server 2012 и выработке навыков, необходимых для управления и поддержки среды Windows Server 2012 на основе домена, а также навыков в таких областях, как управление пользователями и группами, доступ к сети и безопасность данных. Как правило, в посещении этого курса заинтересованы следующие кандидаты

• Администраторы Windows Server, имеющие опыт работы с Windows Server 2008 или Windows Server 2012, которые хотят приобрести навыки, необходимые для выполнения повседневных задач управления и обслуживания в среде Windows Server 2012 или Windows Server 2012 R2.
• ИТ-специалисты, которые хотят сдать экзамен 411, Администрирование Windows Server 2012
• ИТ-специалисты, желающие сдать экзамены Microsoft Certified Solutions Expert (MCSE) по DataCenter, настольной инфраструктуре, обмене сообщениями, совместной работе и связи, также будут заинтересованы в прохождении этого курса, поскольку они готовятся к экзаменам Microsoft Certified Solutions Associate (MCSA), которые необходимы для их специальностей.

Configuring Advanced Windows Server® 2012 Services

На этом пятидневном официальном курсе Microsoft вы получите практические инструкции и попробуете настроить улучшенный на Windows Server 2012, включая службы Windows Server 2012 R2. Этот курс является третьей частью серии из трех курсов, которые предоставляют навыки и знания, необходимые для реализации базовой инфраструктуры Windows Server 2012 в существующей корпоративной среде.

Эти три курса в совокупности охватывают внедрение, управление, обслуживание и предоставление услуг и инфраструктуры в среде Windows Server 2012. Несмотря на то, что некоторые навыки и задачи аналогичны во всех этих курсах, этот курс фокусируется на расширенной конфигурации служб, необходимых для развертывания, управления и обслуживания инфраструктуры Windows Server 2012, таких как расширенные сетевые службы, доменные службы Active Directory (AD DS). Службы управления правами Active Directory (AD RMS), Федеративные службы Active Directory (AD FS), Балансировка сетевой нагрузки, Отказоустойчивая кластеризация, Службы обеспечения непрерывности бизнеса и аварийного восстановления, а также на технологиях доступа, предоставления и защиты информации, таких как Dynamic Access Control (DAC), а также на интеграции прокси-сервера веб-приложения с AD FS и Workplace Join.

Этот курс напрямую связан с практической подготовкой к экзамену Microsoft Certified Solutions Associate (MCSA): 412: Настройка расширенных служб Windows Server 2012, который является третьим из трех экзаменов, необходимых для квалификации MCSA: для Windows Server 2012.

Примечание: Лабораторные работы в этом курсе основаны на Windows Server 2012 R2 и Windows 8.1.

Профиль аудитории

Этот курс предназначен для специалистов по информационным технологиям (ИТ), обладающих практическим опытом внедрения, управления и поддержки среды Windows Server 2012 или Windows Server 2012 R2, которые хотят приобрести навыки и знания, необходимые для расширенного управления и предоставления услуг в этой среде Windows Server 2012. Как правило, в посещении этого курса заинтересованы такие кандидаты, как:

• Опытные администраторы Windows Server, имеющие реальный опыт работы в корпоративной среде Windows Server 2008 или Windows Server 2012.
• ИТ-специалисты, желающие сдать экзамен 412: Настройка Advanced Windows Server 2012.
• ИТ-специалисты, желающие сдать экзамены Microsoft Certified Solutions Expert (MCSE) по предметам «Центр обработки данных», «Настольная инфраструктура», «Обмен сообщениями», «Совместная работа и связь», также будут заинтересованы в прохождении этого курса, поскольку они готовятся к экзаменам MCSA, которые являются предварительным условием для их специальностей.