вторник, 13 апреля 2010 г.

Настройка Enterprise CA на Windows Server 2008 R2. Часть 2

Всем привет. Итак, мы имеем уже установленный подчиненный центр сертификации, который уже может выдавать сертификаты.

Снова же таки, с начала нам надо прописать точки распространения для CRL и AIA на нашем Enterprise CA.

Настройка точек распространения для CRL и AIA
certutil -getreg ca\CRLPublicationURLs
CRLPublicationURLs REG_MULTI_SZ =    0: 65:C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl    CSURL_SERVERPUBLISH -- 1    CSURL_SERVERPUBLISHDELTA -- 40 (64)     1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10    CSURL_SERVERPUBLISH -- 1    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4    CSURL_ADDTOCRLCDP -- 8    CSURL_SERVERPUBLISHDELTA -- 40 (64)     2: 6:http://%1/CertEnroll/%3%8%9.crl    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4     3: 0:file://\\%1\CertEnroll\%3%8%9.crl

Теперь нам необходимо сконфигурировать правильные пути размещения CRL и AIA. Итак,
1. Нажимаем Start, All Programs, Administrative Tools, и выбираем Certification Authority.
2. Выбираем наш центр сертификации, кликаем по нему правой мышью, и выбираем Properties.

3. Заходим на вкладку Extensions.

Настройка точек распространения для CRL
Для начала, необходимо удалить все точки распространения CRL , кроме локальной.
1. На вкладке Extensions в Select extension выбираем CRL Distribution Point (CDP).
2. В Specify location from which users can obtain a certificate revocation list (CRL) выбираем LDAP, и кликаем по Remove.
3. Удаляем все, кроме локальной CRL.
Так, поудаляли все ненужное, теперь пришла пора создать новые точки распространения. Заполняем все, согласно таблице ниже, единственное что, в протоколе HTTP заменяем на имя своего внешнего домена. Также желательно www заменять на crl, чтобы не делать алиас www на контроллере домена. Итак, таблица:
List of CRL Distribution Points for CorporateRootCA
Access protocol CRL distribution point
[local] C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl
HTTP http://www.contoso.com/pki/%3%8%9.crl
LDAP Ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

Путь [local] должен указывать текущий каталог Windows

Чтобы добавить точки распространения, необходимо нажать кнопку Add, и скопировать пути из таблицы.
После того, как пути введены, надо расставить птички из таблицы ниже:

Table 15 CRL Distribution Point Properties
CRL distribution point property File HTTP LDAP
Publish CRLs to this location check boxSelectN/AClear
Include in all CRLs check boxN/AN/ASelect
Include in CRLs check boxN/AClearSelect
Include in the CDP extension of issued certificates check boxN/ASelectSelect
Publish delta CRLs to this location check boxClearN/AClear

Настройка точек распространения для AIA
1. Заходим туда, куда и в предыдущем пункте, только выбираем Authority Information Access (AIA).
2. В Specify locations from which users can obtain the certificate for this CA выбрать LDAP и нажать кнопку Remove.
3. Удалить все, кроме локального пути.
4. Далее, создаем новые пути, согласно таблице, но заменяя на свои реальные имена.

List of AIA CRL Distribution Points for Contoso
Access protocol AIA Distribution Point
[local]D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt
HTTPhttp://www.contoso.com/pki/%1_%3%4.crt
LDAPldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11

5. Далее, ставим птички в созданных точках распространения, согласно таблице:

AIA Properties
AIA property FILE HTTP LDAP
Include in the AIA extension of issued certificates check boxN/ASelectSelect
Include in the online certificate status protocol (OCSP) extension check boxN/AClearClear

Проверка правильности настройки CorporateRootCA CRL и AIA
Поскольку конфигурация точек распространения CRL и AIA очень важна, проверьте свою конфигурацию, сделав одно из следующие действия:

certutil –getreg ca\CRLPublicationURLs
certutil –getreg ca\CACertPublicationURLs

Проверяем, что вывод схож с тем, как на примере:
CACertPublicationURLs REG_MULTI_SZ =    0: 1:D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt    CSURL_SERVERPUBLISH -- 1    1: 2:ldap:///CN=%7,CN=AIA,CN=Public KeyServices,CN=Services,%6%11    CSURL_ADDTOCERTCDP -- 2    2: 2:http://www.contoso.com/pki/%1_%3%4.crt    CSURL_ADDTOCERTCDP -- 2

Настройка интервала рубликации CRL
После настройки точки распространения CRL, мы должны сконфигурировать интервал публикации CRL. Чтобы это сделать, надо:
1. Нажать Start, Programs, Administrative Tools, и выбрать Certification Authority.
2. В дереве консоли слева, делаем правый клик по Revoked Certificates, и выбираем Properties.
3. В секции CRL publication interval, необходимо интервал, и выбрать единицу измерения времени. В моем случае это 2 недели.
4. В пункте Publish Delta CRLs установить значение. Я для себя выбрал 5 дней.

Переиздание CorporateRootCA CRL
В консоли Certification Authority делаем правый клик по Revoked Certificates и в меню All Tasks нажимаем Publish. В открывшемся окне выбираем New CRL. Новый CRL опубликован.
Также можно опубликовать CRL с командной строки, надо ввести
certutil -CRL
Вот. Теперь наш Enterprise CA базово настроен и готов для работы. Дальше я опишу настройку прав пользователей, бэкап и восстановление, а также групповые политики для автоэнролмента сертификатов.
Автор: на Комментариев нет:
Ярлыки: , ,

четверг, 8 апреля 2010 г.

Установка Enterprise CA на Windows Server 2008 R2

Итак, мы имеем установленный и настроенный корневой центр сертификации. Теперь надо настроить подчиненный центр сертификации. Делать мы это будем не на контроллере домена, а на другой машине с установленной Windows Server 2008 R2 Enterprise и введенной в домен. Для этого в настройках корневого центра сертификации мы ставили crl вместо www, чтобы когда в сети появится веб-сервер, запросы шли на центр сертификации.

Перед тем, как что-то делать, надо сохранить сертификаты корневого СА на нашем будущем Enterprise CA. Заходим на сервер администратором, добавляем группу Enterprise Admins в локальные админы сервера, после чего заходим как Enterprise Admin. Итак, копируем с папки C:\WINDOWS\system32\certsrv\CertEnroll файлы с расширениями *.crl *.crt на наш центр сертификации, к примеру, в d:\certs. Далее, заходим на наш центр сертификации, открываем командную строку от администратора, и пришем:
cd d:\certs
certutil -addstore -f Root RootCACertificateFile.crt
certutil -addstore -f Root RootCACRLFile.crl
где RootCACertificateFile и RootCACRLFileимя файла сертификата и crl.
Теперь необходимо опубликовать сертификаты в AD:
certutil -dspublish -f RootCACertificateFile.crt RootCA
certutil -dspublish -f rootca.crl
(Если при выполнении последней команды Вам выдаст ошибку о том, что CRL невозможно опубликовать из-за того, что Вы не правильно ввели имя домена, то надо будет ввести на корневом центре сертификации такую команду:
certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=com
и перевыдать CRL. Проверено, так как сам наступил на эти грабли :))

Вот теперь точно приступаем к установке.
Для начала необходимо сделать файл c:\windows\CAPolicy.inf:
[Version]
Signature="$Windows NT$"

[PolicyStatementExtension]
Policies=BubnilaCPS

[BubnilaCPS ]
NOTICE=Horns And Hooves Team CPS
URL=http://crl.bubnila.org/CPS/CPStatement.asp

renewalkeylength=2048
RenewalValidityPeriodUnits=5
RenewalValidityPeriod=years

CRLPeriod=7
CRLPeriodUnits=days
CRLOverlapPeriod=4
CRLOverlapUnits=hours
CRLDeltaPeriod=24
CRLDeltaPeriodUnits=hours

[CRLDistributionPoint]
Empty=True

[AuthorityInformationAccess]
Empty=True

Теперь можно приступать к установке.
1. Проверяем, что сервер введен в домен.
2. Проверяем корректность даты и времени.
3. Жмем Start, Administrative Tools, и кликаем Server Manager.
4. В секции Roles Summary, жмем Add Roles.
5. На странице Before You Begin, выбираем Skip This Page By Default, и жмем Next.
6. На странице Select Server Roles, выбираем Active Directory Certificate Services, жмем Next.
7. На странице Introduction To Active Directory Certificate Services жмем Next.
8. На странице Role Services, выбиваем Certification Authority, далее выбираем Certification Authority Web Enrollment.
9. В окне Add Roles Wizard, которое предлагает поставить Web Server (IIS) role,
нажимаем Add Required Role Services.
10. На странице Select Role Services жмем Next.
11. В Specify Setup Type выбираем Enterprise, и нажимаем Next.
12. В Specify CA Type выбираем Subordinate CA, нажимаем Next.
13. В окне Private Key нажимаем Create A New Private Key, нажимаем Next.
14. В Configure Cryptography For CA, выбиваем следующее, и жмем Next.
❑ Select a cryptographic service provider (CSP): RSA#Microsoft Software Key
Storage Provider
❑ Key character length: 2048
❑ Select the hash algorithm for signing certificates issued by this CA: sha256 (если корневой центр сертификации настроен под Windows 2003/2000, то надо выбрать sha1)
15. На странице Configure CA Name, вводим следующую информацию и жмем Next.
❑ Common name for this CA: Bubnila Enterprise CA (у каждого свое)
❑ Distinguished name suffix: DC=HornsAndHooves,DC=com
16. На странице Request Certificate From A Parent CA, выбираем Save a Certificate Request To File And Manually Send It Later To A Parent CA, подтверждаем имя по умолчанию, и жмем Next.
17. На странице Configure Certificate Database, вводим следующую информацию, и жмем Next:
❑ Certificate database: D:\CertDB
❑ Certificate database log: D:\CertLog
(Согласно M$ Best Practicies, эти папки должны находиться на разных физических дисках, но так как это все на виртуалке, то особой разницы нет...)
18. На странице Web Server (IIS) жмем Next.
19. В Select Role Services принимаем предложенный вариант установки и жмем Next.
20. После проверки правильности введенной информации на странице Confirm Installation Selections смело жмем Install.
21. На странице Installation Results, мы видим, что установка не завершена, так как сартификат данного сервера еще не подписан. Короче, жмем Close.
22. Открываем диск C:\.
23. Копируем FABINCCA03.fabrikam.com_Fabrikam Corporate Issuing CA.req (на самом деле, у Вас он будет называться по другому) на флешку, или по сети на root CA.

Следующие действия будем делать на RootCA:

1. Вставляем флешку в RootCA, или забираем файл по сети.
2. Из Start menu, Administrative Tools, заходим в Certification Authority.
3. В дереве консоли, right-click по Fabrikam Corporate Policy CA, выбираем All Tasks, после чего выбираем Submit New Request.
4. В диалоговом окне Open Request File, в File Name box, выбираем диск D:\, на котором выбираем файо FABINCCA03.fabrikam.com_Fabrikam Corporate Policy CA.req, и жмем Open.
5. В дереве консоли, разкрываем BubnilaRootCA, и кликаем Pending
Requests.
6. В правой панели, right-click по запросу, выбираем All Tasks, и выбираем
Export Binary Data.
7. В диалоговом окне Export Binary Data, в Columns That Contain Binary Data
необходимо выбрать из выпадающего списка Binary Request, и нажать OK.
8. Проверяем правильность запроса на сертификата:
❑ Verify that the subject name is Fabrikam Corporate Issuing CA.
Subject:
CN=Fabrikam Corporate Issuing CA
O=Fabrikam Inc.
C=US
❑ Ensure that public key length is 2048 bits.
Public Key Length: 2048 bits
❑ Ensure that the basic constraints indicate Subject Type=CA.
Basic Constraints
Subject type=CA
❑ Verify that the Signature Algorithm is SHA256RSA.
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
❑ Verify that the signature matches the public key.
Signature matches Public Key
9. Закрываем окно.
10. В правой части окна, right-click по ожидающему SubCA сертификату, выбираем All Tasks, и кликаем Issue.
11. В дереве консоли, кликаем Issued Certificates.
12. В правой части окна, double-click по выданному сертификату.
13. В диалоговом окне Certificate, выбираем вкладку Details.
14. На вкладке Details, жмем Copy To File.
15. В Certificate Export Wizard, жмем Next.
16. На странице Export File Format, кликаем Cryptographic Message Syntax Standard—
PKCS #7 Certificates (.P7B), выбираем чекбокс Include All Certificates In The Certification Path If Possible, и жмем Next.
17. На странице File To Export, в поле File Name пишем D:\issuingca.p7b, и жмем Next.
18. На странице Completing The Certificate Export Wizard жмем Finish.
19. В Certificate Export Wizard жмем OK.
20. В окне Certificate, жмем OK.
21. Закрываем консоль Certification Authority.
22. Копируем файл для переноса на флешку, или прямо на EnterpriseCA по сети.

Теперь, когда мы получили экспортированный сертификат, надо завершить установку нашего Enterprise CA, внедрив сертификат. Для этого надо:

1. Скопировать на сервер файл PKCS#7.
2. Из меню Start, click Administrative Tools, и click Certification Authority.
3. В дереве консоли, right-click Bubnila Issuing CA, выбрать All Tasks, и click Install CA Certificate.
4. В окне Select File To Complete CA Installation, в строке File Name, вводим
С:\issuingca.p7b, и click Open.
5. В дереве консоли, right-click Fabrikam Corporate Issuing CA, выбираем All Tasks, и click Start Service.

После того, как сервис запустился, установку можно считать законченой. Теперь можно переходить к настройке. Но это уже будет в следующей части.
Автор: на Комментариев нет:
Ярлыки: , , ,

пятница, 2 апреля 2010 г.

Изменение имен дисков в Hyper-V или Windows 2008 Core

Всем привет. Как-то у нас на сервере Hyper-V надобыло поменять именование дисков, тоесть, чтобы 2 раздела на физическом диске шли подряд, C: D: E: а не C: E: D:.

Итак, первое, что надо сделать - удалить точку монтирования, то есть букву дисков:
mountvol d: /d
mountvol e: /d

В том, чтобы приаттачить диски обратно нам поможет Diskpart . Итак,
diskpart >
> list disk # -> disk0 465 GB
disk1 465 GB

> select disk0 #
>list partition # partition 1 Primary 100MB
partition 2 Primary 39GB
partition 3 Primary 426GB
>select partition=3
>assign letter=D


> select disk1 #
>select partition=1
>assign letter=E
>exit
Автор: на Комментариев нет:
Ярлыки: , ,
Подписаться на: Сообщения (Atom)