SYN/ACK Лучник Анна luchnik@it-university.ru, www.it-university.ru
Что нового в AD CS? CERTIFICATE SERVICES В WINDOWS SERVER 2008 R2 VS. WINDOWS SЕRVER 2003 Как известно, сертификаты нужны для надежной аутентификации, создания SSL-соединений, отправки S/MIME-сообщений и других действий, направленных на обеспечение безопасности. С каждым годом использование сертификатов растет, и для того, чтобы удовлетворять новым требованиям, Microsoft довольно серьезно переработала старую службу Certificate Services.  Windows Server 2008 ñëóæáû ñåðòèôèêàöèè òåïåðü îòíîñÿòñÿ ê ñëóæáàì Active Directory. Ìû ìîæåì óñòàíîâèòü ðîëü Active Directory Certificate Services (AD CS) è íà ñåðâåð, íå âõîäÿùèé â äîìåí, íî ÷àñòü ôóíêöèé ïðè ýòîì áóäåò íåäîñòóïíà. Íàïðèìåð, äëÿ óïðàâëåíèÿ øàáëîíàìè òðåáóåòñÿ êîíòðîëëåð äîìåíà, òàê êàê øàáëîíû õðàíÿòñÿ íà íåì.  ñîñòàâ ðîëè AD CS â Windows Server 2008 R2 âõîäèò øåñòü êîìïîíåíòîâ: 1. Certification authorities (CAs) – ýòîò êîìïîíåíò ïîçâîëÿåò óñòàíîâèòü è íàñòðîèòü êîðíåâîé (root) èëè ïîä÷èíåííûé (subordinate) öåíòðû ñåðòèôèêàöèè (îíè æå «óäîñòîâåðÿþùèå öåíòðû»), êîòîðûå ñëóæàò äëÿ âûäà÷è ñåðòèôèêàòîâ ïîëüçîâàòåëÿì, êîìïüþòåðàì è ñëóæáàì. 2. Web enrollment íåîáõîäèì äëÿ çàïðîñà ñåðòèôèêàòîâ è ïîëó÷åíèÿ èíôîðìàöèè îá îòîçâàííûõ ñåðòèôèêàòàõ ÷åðåç âåá-áðàóçåð. 3. Online Responder ïîçâîëÿåò êëèåíòàì ïîëó÷àòü èíôîðìàöèþ î ñòàòóñå îäíîãî ñåðòèôèêàòà áåç ïîëó÷åíèÿ ñïèñêîâ îòçûâà. 4. Network Device Enrollment Service (NDES) èñïîëüçóåòñÿ ìàðøðóòèçàòîðàìè è äðóãèìè ñåòåâûìè óñòðîéñòâàìè áåç ó÷åòíûõ çàïèñåé â äîìåíå äëÿ ïîëó÷åíèÿ ñåðòèôèêàòîâ. Ñëóæáà ïîäà÷è çàÿâîê íà ñåòåâûå óñòðîéñòâà èñïîëüçóåò ïðîòîêîë SCEP (Simple Certificate Enrollment Protocol), êîòîðûé áûë ðàçðàáîòàí Cisco. Ðàñøèðåíèå NDES äëÿ IIS êîíôèãóðèðóåòñÿ ÷åðåç êëþ÷è ðååñòðà HKEY_LOCAL_ROOT\Software\ Microsoft\Cryptography\MSCEP. 5. Certificate Enrollment Web Service ïîçâîëÿåò êëèåíòàì àâòîìàòè÷åñêè ïîäàâàòü çàÿâêè íà ñåðòèôèêàòû è ïîëó÷àòü èõ ïî HTTPS. 6. Certificate Enrollment Policy Web Service ïîçâîëÿåò îïðåäåëèòü ïîëèòèêè äëÿ àâòîìàòè÷åñêîé ðåãèñòðàöèè ñåðòèôèêàòîâ è ïåðåäàâàòü èõ êëèåíòàì ïî HTTPS.  òî âðåìÿ, êàê Web Service ïîëó÷àåò èíôîðìàöèþ î ïîëèòèêàõ èç AD ïî ïðîòîêîëó LDAP.  ïðåäûäóùèõ âåðñèÿõ Windows Server â ñîñòàâ Certificate Services âõîäèëè òîëüêî ïåðâûå äâà êîìïîíåíòà, êîòîðûå íàçûâàëèñü Certificate Services CA è Certificate Services Web Enrollment Support, à ïîñëåäíèå äâà êîìïîíåíòà ïîÿâèëèñü òîëüêî â Windows Server 2008 R2.
126
ВАРИАНТЫ УСТАНОВКИ И УПРАВЛЕНИЯ AD CS AD CS íåëüçÿ óñòàíîâèòü íà Itanium ðåäàêöèè Windows Server 2008, à íà Server Core âñå êîìïîíåíòû AD CS ìîæíî óñòàíàâëèâàòü, íà÷èíàÿ ñ Windows Server 2008 R2. Äîâîëüíî ñåðüåçíûå îãðàíè÷åíèÿ ïî èñïîëüçîâàíèþ AD CS ïðèñóòñòâóþò è â ñòàíäàðòíîé ðåäàêöèè Server 2008 (âîçìîæíîñòü óñòàíîâêè òîëüêî êîìïîíåíòà CA, íåâîçìîæíîñòü èñïîëüçîâàòü Restricted Enrollment Agent è äðóãèå íîâøåñòâà), ÷àñòü èç êîòîðûõ áûëè ñíÿòû â R2 (íàêîíåö â ñòàíäàðòíîé ðåäàêöèè ïîÿâèëàñü âîçìîæíîñòü ðàáîòàòü ñ øàáëîíàìè ñåðòèôèêàòîâ âåðñèé âûøå ïåðâîé). Âñå êîìïîíåíòû ìîæíî ïîñòàâèòü íà îäèí ñåðâåð, íî ðåêîìåíäóåòñÿ ðàçíîñèòü CA, Online Responder è Web enrollment íà ðàçëè÷íûå ñåðâåðà. Äëÿ ïîëíîöåííîé ðàáîòû AD CS òðåáóåòñÿ AD DS (Active Directory Domain Services). Ïðè ýòîì ìîæíî îáîéòèñü áåç îáíîâëåíèÿ ñõåìû – AD CS â Server 2008 è â Server 2008 R2 áóäåò ðàáîòàòü è íà ñõåìå, êîòîðàÿ ïîñòàâëÿåòñÿ ñ Windows Server 2003. Íî äëÿ ðàáîòû Certificate Enrollment Web Services óæå íåîáõîäèìà ñõåìà íå íèæå 47 âåðñèè, êîòîðàÿ èäåò ñ Windows Server 2008 R2. Äëÿ ðàáîòû áîëüøèíñòâà êîìïîíåíòîâ òàêæå òðåáóåòñÿ IIS. Óñòàíîâêà AD CS ïðîèçâîäèòñÿ ÷åðåç äîáàâëåíèå ðîëåé â îñíàñòêå Server Manager. Êàê è ðàíüøå, äëÿ íàñòðîéêè ïàðàìåòðîâ óñòàíîâêè ïðèìåíÿåòñÿ êîíôèãóðàöèîííûé ôàéë CAPolicy.inf, êîòîðûé äîëæåí íàõîäèòüñÿ â %SYSTEMROOT%. Åñëè íåîáõîäèìî óñòàíîâèòü íà ñåðâåð äâà êîìïîíåíòà Certification Authority è Certificate Enrollment Web Service, òî ýòî íàäî äåëàòü â äâà ýòàïà, òàê êàê ïðè óñòàíîâêå CA íåëüçÿ âûáðàòü äëÿ óñòàíîâêè êîìïîíåíò Web Service.  Windows Server 2008 áûëè äîáàâëåíû íîâûå COM-îáúåêòû (ïîäðîáíóþ èíôîðìàöèþ î ñâîéñòâàõ ICertSrvSetup ìîæíî íàéòè íà MSDN), êîòîðûå ìîæíî èñïîëüçîâàòü äëÿ óñòàíîâêè CA. Íàïðèìåð, ìîæíî àâòîìàòèçèðîâàòü óñòàíîâêó è íàñòðîéêó ñ ïîìîùüþ VBScript. Ñëóæáû ñåðòèôèêàöèè ÿâëÿþòñÿ õîðîøèìè êàíäèäàòàìè íà âèðòóàëèçàöèþ. Íî ïðè ýòîì î÷åíü âàæíî îáåñïå÷èòü íåîáõîäèìûé óðîâåíü XÀÊÅÐ 10 /141/ 10