Сертификатов сервер – Установка центра сертификации на предприятии. Часть 3 / Microsoft corporate blog / Habr

Обзор развертывания сертификата сервера | Microsoft Docs

• 20.06.2019
• Время чтения: 5 мин

В этой статье

Относится к: Windows Server (полугодовой канал), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Эта статья содержит следующие разделы.This topic contains the following sections.

Компоненты развертывания сертификата сервераServer certificate deployment components

В этом руководстве можно использовать для установки служб сертификатов Active Directory (AD CS) в качестве корневого центра сертификации (ЦС) предприятия и для регистрации сертификатов сервера для серверов, работающих под управлением службы сервера политики сети (NPS), маршрутизации и удаленного доступа (RRAS), или как NPS и RRAS.You can use this guide to install Active Directory Certificate Services (AD CS) as an Enterprise root certification authority (CA) and to enroll server certificates to servers that are running Network Policy Server (NPS), Routing and Remote Access service (RRAS), or both NPS and RRAS.

При развертывании SDN с помощью проверки подлинности на основе сертификатов, серверы должны подтвердить свои личные данные на другие серверы, чтобы они достигают защищенный обмен данными с помощью сертификата сервера.If you deploy SDN with certificate-based authentication, servers are required to use a server certificate to prove their identities to other servers so that they achieve secure communications.

Ниже показаны компоненты, необходимые для развертывания сертификатов сервера для серверов в инфраструктуре SDN.The following illustration shows the components that are required to deploy server certificates to servers in your SDN infrastructure.

Примечание

В приведенном выше рисунке показаны несколько серверов: DC1, CA1, WEB1 и многие серверы SDN.In the illustration above, multiple servers are depicted: DC1, CA1, WEB1, and many SDN servers. Это руководство содержит инструкции по развертыванию и настройке CA1 и WEB1, а также для настройки DC1, который в этом руководстве предполагается, что вы уже установили в сети.This guide provides instructions for deploying and configuring CA1 and WEB1, and for configuring DC1, which this guide assumes you have already installed on your network. Если вы еще не установили доменом Active Directory, это можно сделать с помощью руководство по основной сети для Windows Server 2016.If you have not already installed your Active Directory domain, you can do so by using the Core Network Guide for Windows Server 2016.

Дополнительные сведения для каждого элемента, показан на приведенном выше рисунке см. в следующих:For more information on each item depicted in the illustration above, see the following:

CA1 выполняется роль сервера AD CSCA1 running the AD CS server role

В этом случае корпоративный корневой центр сертификации (ЦС) тоже выдающий ЦС.In this scenario, the Enterprise Root certification authority (CA) is also an issuing CA. ЦС выдает сертификаты к серверам, которым назначена разрешения безопасности, чтобы зарегистрировать сертификат.The CA issues certificates to server computers that have the correct security permissions to enroll a certificate. Службы сертификатов Active Directory (AD CS) устанавливается на CA1.Active Directory Certificate Services (AD CS) is installed on CA1.

Для более крупных сетей или где предоставлять основание для обеспечения безопасности можно разделить роли корневого ЦС и ЦС и развернуть подчиненные ЦС выдающие ЦС.For larger networks or where security concerns provide justification, you can separate the roles of root CA and issuing CA, and deploy subordinate CAs that are issuing CAs.

В наиболее безопасный развертываний корпоративный корневой ЦС берется вне сети и физически защищен.In the most secure deployments, the Enterprise Root CA is taken offline and physically secured.

Файл CAPolicy.infCAPolicy.inf

Перед установкой AD CS, следует настроить файл CAPolicy.inf с определенными параметрами для развертывания.Before you install AD CS, you configure the CAPolicy.inf file with specific settings for your deployment.

Копия серверы RAS и IAS шаблона сертификатаCopy of the RAS and IAS servers certificate template

При развертывании сертификатов сервера, можно сделать одну копию серверы RAS и IAS шаблон сертификата, а затем настройте шаблон в соответствии с требованиями и инструкции в этом руководстве.When you deploy server certificates, you make one copy of the RAS and IAS servers

certificate template and then configure the template according to your requirements and the instructions in this guide.

Таким образом, чтобы конфигурации исходного шаблона будет сохранен для использования в будущем можно использовать копию шаблона, а не исходного шаблона.You utilize a copy of the template rather than the original template so that the configuration of the original template is preserved for possible future use. Настроить копию серверы RAS и IAS шаблона, ЦС позволяют создавать сертификаты сервера, она выдает в группы Active Directory — пользователи и компьютеры, которые можно указать.You configure the copy of the RAS and IAS servers template so that the CA can create server certificates that it issues to the groups in Active Directory Users and Computers that you specify.

Дополнительная настройка CA1Additional CA1 configuration

ЦС публикует список отзыва сертификатов (CRL), компьютеры необходимо проверить, убедитесь, что сертификаты, которые представлены на них как доказательство подлинности действительные сертификаты и не был отозван.The CA publishes a certificate revocation list (CRL) that computers must check to ensure that certificates that are presented to them as proof of identity are valid certificates and have not been revoked. Необходимо настроить ваш центр сертификации с указано правильное расположение списка отзыва Сертификатов, чтобы компьютеры знать, где искать список отзыва Сертификатов во время процесса проверки подлинности.You must configure your CA with the correct location of the CRL so that computers know where to look for the CRL during the authentication process.

WEB1 ролью сервера веб-служб (IIS)WEB1 running the Web Services (IIS) server role

На компьютере, на котором выполняется роль сервера веб-сервер (IIS), WEB1, необходимо создать папку в проводнике Windows для использования в качестве расположения для списка отзыва Сертификатов и AIA.On the computer that is running the Web Server (IIS) server role, WEB1, you must create a folder in Windows Explorer for use as the location for the CRL and AIA.

Виртуальный каталог для списка отзыва Сертификатов и AIAVirtual directory for the CRL and AIA

После создания папки в обозревателе Windows, необходимо настроить папку как виртуальный каталог в Диспетчер Internet Information Services (IIS), а также настройка управления доступом к виртуальному каталогу компьютеров для доступа к AIA и списка отзыва Сертификатов После их публикации существует.After you create a folder in Windows Explorer, you must configure the folder as a virtual directory in Internet Information Services (IIS) Manager, as well as configuring the access control list for the virtual directory to allow computers to access the AIA and CRL after they are published there.

DC1 выполнения ролей сервера AD DS и DNSDC1 running the AD DS and DNS server roles

DC1 — контроллер домена и DNS-сервер в сети.DC1 is the domain controller and DNS server on your network.

Групповая политика домена по умолчанию политикаGroup Policy default domain policy

После настройки шаблона сертификата в ЦС, можно настроить политики домена по умолчанию в групповой политике, чтобы сертификаты были автоматически подающие на серверах политики сети и удаленного доступа.After you configure the certificate template on the CA, you can configure the default domain policy in Group Policy so that certificates are autoenrolled to NPS and RAS servers. Групповой политики настраивается в AD DS на сервере DC1.Group Policy is configured in AD DS on the server DC1.

DNS запись ресурса псевдонима (CNAME)DNS alias (CNAME) resource record

Необходимо создать запись ресурса псевдонима (CNAME) для веб-сервера, чтобы убедиться, что другие компьютеры могли найти сервер, а также AIA и список отзыва Сертификатов, которые хранятся на сервере.You must create an alias (CNAME) resource record for the Web server to ensure that other computers can find the server, as well as the AIA and the CRL that are stored on the server. Кроме того с помощью записи ресурса CNAME псевдонимов обеспечивает гибкость, чтобы веб-сервера можно использовать для других целей, таких как FTP и веб-узлов.In addition, using an alias CNAME resource record provides flexibility so that you can use the Web server for other purposes, such as hosting Web and FTP sites.

Сервере NPS1 работающим в качестве сервера политики сети роли сервера служб политики сети и доступаNPS1 running the Network Policy Server role service of the Network Policy and Access Services server role

Сервер NPS устанавливается в том случае, при выполнении задач в Windows Server 2016 руководства по основной сети, поэтому прежде чем выполнять задачи в этом руководстве, у вас есть один или несколько NPSs установленных в сети.The NPS is installed when you perform the tasks in the Windows Server 2016 Core Network Guide, so before you perform the tasks in this guide, you should already have one or more NPSs installed on your network.

Групповая политика применяется и сертификатов, выдаваемых серверамGroup Policy applied and certificate enrolled to servers

После настройки шаблона сертификата и автоматической регистрации, можно обновить групповую политику на все целевые серверы.After you have configured the certificate template and autoenrollment, you can refresh Group Policy on all target servers. В настоящее время серверы зарегистрировать сертификат сервера из CA1.At this time, the servers enroll the server certificate from CA1.

Обзор процесса развертывания сертификата сервераServer certificate deployment process overview

Настройка регистрации сертификатов сервера выполняется на этих этапах следующим образом.The process of configuring server certificate enrollment occurs in these stages:

1. На WEB1 установите роль веб-сервер (IIS).On WEB1, install the Web Server (IIS) role.

2. На DC1 создайте запись псевдонима (CNAME) для веб-сервера, WEB1.On DC1, create an alias (CNAME) record for your Web server, WEB1.

3. Настройка веб-сервера для размещения списка отзыва Сертификатов из ЦС, а затем опубликовать список отзыва Сертификатов и скопируйте сертификат корневой Сертификат предприятия в нового виртуального каталога.Configure your Web server to host the CRL from the CA, then publish the CRL and copy the Enterprise Root CA certificate into the new virtual directory.

4. На компьютере, где вы планируете установить AD CS назначить статический IP-адрес компьютера, переименуйте компьютер, присоединить компьютер к домену и затем войдите на компьютер с учетной записью пользователя, который является членом группы «Администраторы домена» и «Администраторы предприятия».On the computer where you are planning to install AD CS, assign the computer a static IP address, rename the computer, join the computer to the domain, and then log on to the computer with a user account that is a member of the Domain Admins and Enterprise Admins groups.

5. На компьютере, где вы планируете установить AD CS настройте файл CAPolicy.inf, указав параметры, относящиеся к развертыванию.On the computer where you are planning to install AD CS, configure the CAPolicy.inf file with settings that are specific to your deployment.

6. Установка роли сервера AD CS и выполнить дополнительную настройку ЦС.Install the AD CS server role and perform additional configuration of the CA.

7. Скопируйте список отзыва Сертификатов и ЦС сертификат из CA1 к общей папке на сервере веб-WEB1.Copy the CRL and CA certificate from CA1 to the share on the Web server WEB1.

8. В центре сертификации настройте копию шаблона сертификата серверы RAS и IAS.On the CA, configure a copy of the RAS and IAS Servers certificate template. ЦС выдает сертификаты, основан на шаблоне сертификата, поэтому необходимо настроить шаблон сертификата сервера, прежде чем ЦС для выдачи сертификата.The CA issues certificates based on a certificate template, so you must configure the template for the server certificate before the CA can issue a certificate.

9. Настройка автоматической регистрации сертификатов сервера в групповой политике.Configure server certificate autoenrollment in Group Policy. При настройке автоматической регистрации, все серверы, которые определены с помощью членства в группах Active Directory, автоматически получать сертификат сервера при обновлении групповой политики на каждом сервере.When you configure autoenrollment, all servers that you have specified with Active Directory group memberships automatically receive a server certificate when Group Policy on each server is refreshed. Если позже добавить другие серверы, они будут автоматически получать сертификат сервера слишком.If you add more servers later, they will automatically receive a server certificate, too.

10. Обновление групповой политики на серверах.Refresh Group Policy on servers. При обновлении групповой политики, серверы принимать сертификат сервера, который основан на шаблоне, который вы настроили на предыдущем шаге.When Group Policy is refreshed, the servers receive the server certificate, which is based on the template that you configured in the previous step. Этот сертификат используется сервером для подтверждения его подлинности для клиентских компьютеров и других серверов в процессе проверки подлинности.This certificate is used by the server to prove its identity to client computers and other servers during the authentication process.

    Примечание

    Все члены домена автоматически получают корпоративный корневой сертификат органа сертификации без настройки автоматической подачи заявок.All domain member computers automatically receive the Enterprise Root CA’s certificate without the configuration of autoenrollment. Этот сертификат отличается от сертификата сервера, Настройка и распространение с помощью автоматической регистрации.This certificate is different than the server certificate that you configure and distribute by using autoenrollment. Сертификат ЦС автоматически устанавливается в хранилище сертификатов доверенных корневых центров сертификации для всех компьютеров домена таким образом, чтобы они будет доверять сертификатам, выдаваемым этот ЦС.The CA’s certificate is automatically installed in the Trusted Root Certification Authorities certificate store for all domain member computers so that they will trust certificates that are issued by this CA.

11. Убедитесь, что все серверы были зарегистрированы действительный сертификат сервера.Verify that all servers have enrolled a valid server certificate.

docs.microsoft.com

Развертывание сертификата сервера | Microsoft Docs

• 20.06.2019
• Время чтения: 2 мин

В этой статье

Относится к: Windows Server (полугодовой канал), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Выполните следующие действия для установки корневого центра сертификации (ЦС) предприятия и развертывание сертификатов сервера для использования с PEAP и EAP.Follow these steps to install an enterprise root certification authority (CA) and to deploy server certificates for use with PEAP and EAP.

Важно!

Перед установкой служб сертификатов Active Directory, необходимо имя компьютера, настройте компьютер для статического IP-адреса и присоединить компьютер к домену.Before you install Active Directory Certificate Services, you must name the computer, configure the computer with a static IP address, and join the computer to the domain. После установки служб AD CS, нельзя изменить имя компьютера или членства в домене на компьютере, однако при необходимости можно изменить IP-адрес.After you install AD CS, you cannot change the computer name or the domain membership of the computer, however you can change the IP address if needed. Дополнительные сведения о выполнении этих задач см. в разделе Windows Server® 2016 руководство по основной сети.For more information on how to accomplish these tasks, see the Windows Server® 2016 Core Network Guide.

Примечание

Процедуры, описанные в этом руководстве не содержатся инструкции для случаев, в котором контроль учетных записей пользователей откроется диалоговое окно, запрашивающее разрешение продолжать.The procedures in this guide do not include instructions for cases in which the User Account Control dialog box opens to request your permission to continue. Если во время выполнения процедур, описанных в данном руководстве, отображается это диалоговое окно, и если оно отображается в ответ на ваше действие, нажмите кнопку Продолжить.If this dialog box opens while you are performing the procedures in this guide, and if the dialog box was opened in response to your actions, click Continue.

docs.microsoft.com

Сертификация серверов, оформление сертификата на сервер

Сервер – основа взаимодействия и хранения множества данных. Сервер может быть использован как для хранения файлов компании, так и для хранения почтовых доменов и сайтов. Несмотря на то, что большинство современной виртуальной информации занимают котики и фильмы для взрослых, 5 % от всего виртуального потока составляет информация важная и невозвратная при нарушении работы сервера хранения. В связи с этим, сервер в независимости от конечной цели его использования, должен быть безопасным и качественным. 

Сертификат соответствия на сервер

За безопасность при использовании серверов будут отвечать техрегламенты 004/2011 и 020/2011, в которых указаны минимальные нормы и характеристики для низковольтного оборудования и электромагнитной совместимости соответственно. Согласно данным регламентам все сервера подлежат обязательной сертификации в форме сертификата соответствия, который оформляется на основании протоколов испытаний. Заявитель обязан хранить протоколы в течение всего срока действия сертификата, а также несколько лет после окончания действия разрешительного документа.

Помимо вышеописанного на сервера может потребоваться нотификация ФСБ. Данное требование будет правомерным, если данная модель сервера ввозиться впервые, а также имеет криптографические или шифровальные алгоритмы. 

Добровольная сертификация серверов

Для того, чтобы подтвердить качество продукции можно прибегнуть к процедуре добровольной сертификации. Добровольная сертификация серверов как правило осуществляется на соответствие ГОСТ, но ГОСТа на данную продукцию на данный момент не существует, поэтому можно получить добровольный сертификат на соответствие ТУ или определенного норматива.

Для оперативного оформления сертификата вы можете самостоятельно собрать несложный базовый пакет документов и отправить его нам на почту:

• скан ОГРН и ИНН
• реквизиты организации
• описание сервера, а также его программного обеспечения, если таковое имеется
• нормативный документ, согласно которому осуществляется производство (если сервер производится на территории ТС)
• договор о поставках или договор уполномоченного лица, если сервера импортируются
• фотографии продукции

Данная статья рассказывает только об основных моментах сертификации серверов.

Для уточнения особенностей вашего сертификационного случая и обсуждения дополнительных деталей, позвоните нам или оставьте заявку на обратный звонок. С SertLab вы найдете хороших партнеров в сфере сертификации.

Также вас могут заинтересовать: 

sertlab.com

Требования к сертификатам для серверов федерации

• 05/31/2017
• Время чтения: 4 мин

В этой статье

В любой службы федерации Active Directory (AD FS) разработки, необходимо использовать различные сертификаты для защиты обмена данными и обеспечения проверки подлинности пользователей между Интернет-клиентами и серверами федерации.In any Active Directory Federation Services (AD FS) design, various certificates must be used to secure communication and facilitate user authentications between Internet clients and federation servers. Каждый сервер федерации должен иметь сертификат взаимодействия служб и маркер-сертификата для подписи до ее включения в связь службы федерации Active Directory.Each federation server must have a service communication certificate and a token-signing certificate before it can participate in AD FS communications. В следующей таблице описаны типы сертификатов, которые связаны с сервером федерации.The following table describes the certificate types that are associated with federation server.

Тип сертификатаCertificate type	ОписаниеDescription
Токен-сертификат для подписиToken-signing certificate	Токен-сертификат для подписи является x X509 сертификата.A token-signing certificate is an X509 certificate. Серверы федерации используют связанные public/закрытый пары ключей для цифровой подписи все издаваемые ими маркеры безопасности.Federation servers use associated public/private key pairs to digitally sign all security tokens that they produce. Сюда относится подписывание опубликованных метаданных федерации и запросов на разрешение артефактов.This includes the signing of published federation metadata and artifact resolution requests. У вас есть несколько токен-подписи сертификаты, настроенные в консоли управления AD FS-чтобы сделать возможной смену сертификатов, когда приближается истечение срока действия один сертификат.You can have multiple token-signing certificates configured in the AD FS Management snap-in to allow for certificate rollover when one certificate is close to expiring. По умолчанию публикуются все сертификаты в списке, но только основной маркер-сертификат для подписи используется службами AD FS для подписи токенов.By default, all the certificates in the list are published, but only the primary token-signing certificate is used by AD FS to actually sign tokens. Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key. Дополнительные сведения см. в статьях Token-Signing Certificates и Add a Token-Signing Certificate.For more information, see Token-Signing Certificates and Add a Token-Signing Certificate.
Сертификат взаимодействия службService communication certificate	Серверы федерации используют сертификат проверки подлинности сервера, также известный как сертификат взаимодействия служб для Windows Communication Foundation (WCF) безопасность сообщений.Federation servers use a server authentication certificate, also known as a service communication for Windows Communication Foundation (WCF) Message Security. По умолчанию, это тот же сертификат, который использует сервер федерации в качестве Secure Sockets Layer (SSL) сертификата в службах IIS (IIS).By default, this is the same certificate that a federation server uses as the Secure Sockets Layer (SSL) certificate in Internet Information Services (IIS). Примечание. Оснастка управления AD FS-в расценивает сертификаты проверки подлинности серверов для серверов федерации как сертификаты взаимодействия служб.Note: The AD FS Management snap-in refers to server authentication certificates for federation servers as service communication certificates. Дополнительные сведения см. в разделе сертификаты взаимодействия служб и набор сертификата связи со службой.For more information, see Service Communications Certificates and Set a Service Communications Certificate. Так как сертификат взаимодействия служб должны доверять клиентские компьютеры, мы рекомендуем использовать сертификат, подписанный доверенным центром сертификации (ЦС).Because the service communication certificate must be trusted by client computers, we recommend that you use a certificate that is signed by a trusted certification authority (CA). Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key.
Secure Sockets Layer (SSL) сертификатаSecure Sockets Layer (SSL) certificate	Серверы федерации используют сертификат SSL для обеспечения безопасности трафика веб-служб при обмене данными SSL с веб-клиентами и прокси-серверами федерации.Federation servers use an SSL certificate to secure Web services traffic for SSL communication with Web clients and with federation server proxies. Поскольку сертификату SSL должны доверять клиентские компьютеры, рекомендуется использовать сертификат, подписанный доверенным центром сертификации.Because the SSL certificate must be trusted by client computers, we recommend that you use a certificate that is signed by a trusted CA. Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key.
Токен-сертификат расшифровкиToken-decryption certificate	Этот сертификат используется для расшифровки токенов, полученных этим сервером федерации.This certificate is used to decrypt tokens that are received by this federation server. Можно использовать несколько сертификатов расшифровки.You can have multiple decryption certificates. Это позволяет сервер федерации ресурсов не может расшифровывать токены, выданные с более старым сертификатом после настройки нового сертификата в качестве основного сертификата расшифровки.This makes it possible for a resource federation server to be able to decrypt tokens that are issued with an older certificate after a new certificate is set as the primary decryption certificate. Все сертификаты, которые могут использоваться для расшифровки, однако только основной маркер-расшифровки сертификата фактически публикуется в метаданных федерации.All certificates can be used for decryption, but only the primary token-decrypting certificate is actually published in federation metadata. Все выбранные сертификаты должны иметь соответствующий закрытый ключ.All certificates that you select must have a corresponding private key. Дополнительные сведения см. в разделе добавить сертификат расшифровки маркера.For more information, see Add a Token-Decrypting Certificate.

Можно запросить и установить SSL-сертификат или сертификат взаимодействия служб, запрашивая сертификат взаимодействия служб через консоль управления (MMC) привязать-в для служб IIS.You can request and install an SSL certificate or service communication certificate by requesting a service communication certificate through the Microsoft Management Console (MMC) snap-in for IIS. Более общие сведения об использовании сертификатов SSL см. в разделе IIS 7.0: Настройка SSL в IIS 7.0 и IIS 7.0: Настройка сертификатов сервера в IIS 7.0 .For more general information about using SSL certificates, see IIS 7.0: Configuring Secure Sockets Layer in IIS 7.0 and IIS 7.0: Configuring Server Certificates in IIS 7.0 .

Примечание

В AD FS вы можете изменить безопасного хэш-алгоритма (SHA) уровень, используемый для цифровых подписей для либо SHA-1 или SHA-256 (безопаснее).In AD FS you can change the Secure Hash Algorithm (SHA) level that is used for digital signatures to either SHA-1 or SHA-256 (more secure). AD FSdoes не поддерживает использование сертификатов с другими хэш-методами, такими как MD5 (хэш-алгоритм по умолчанию, который используется с командой Makecert.exe-линия).AD FSdoes not support the use of certificates with other hash methods, such as MD5 (the default hash algorithm that is used with the Makecert.exe command-line tool). По соображениям безопасности рекомендуется использовать SHA-256 (которого имеет значение по умолчанию) для всех подписей.As a security best practice, we recommend that you use SHA-256 (which is set by default) for all signatures. SHA-1 рекомендуется использовать только в сценариях, в которых требуется взаимодействие с продуктом, не поддерживает обмен данными по алгоритму SHA-256, например непустой-продукт Майкрософт или AD FS 1.SHA-1 is recommended for use only in scenarios in which you must interoperate with a product that does not support communications using SHA-256, such as a non-Microsoft product or AD FS 1. x.x.

Определение стратегии центра сертификацииDetermining your CA strategy

AD FS не требует издания сертификатов центром сертификации.AD FS does not require that certificates be issued by a CA. Тем не менее SSL-сертификат (сертификат, который также используется по умолчанию в качестве сертификата взаимодействия служб) должны доверять клиенты AD FS.However, the SSL certificate (the certificate that is also used by default as the service communications certificate) must be trusted by the AD FS clients. Мы рекомендуем не использовать self-подписанные сертификаты для этих сертификатов типов.We recommend that you not use self-signed certificates for these certificate types.

Важно!

Использование self-с подписью, сертификатов SSL в рабочей среде позволит злоумышленнику в партнерской организации для управления серверами федерации в партнерской организации по ресурсам.Use of self-signed, SSL certificates in a production environment can allow a malicious user in an account partner organization to take control of federation servers in a resource partner organization. Риск безопасности существует, так как self-подписанные сертификаты являются корневыми.This security risk exists because self-signed certificates are root certificates. Они должны быть добавлены в хранилище доверенных корневых другого сервера федерации (к примеру, сервер федерации ресурсов), который можно оставить этот сервер уязвимым для атак.They must be added to the trusted root store of another federation server (for example, the resource federation server), which can leave that server vulnerable to attack.

После получения сертификата из центра сертификации необходимо убедиться, что все сертификаты импортированы в хранилище личных сертификатов на локальном компьютере.After you receive a certificate from a CA, make sure that all certificates are imported into the personal certificate store of the local computer. Можно импортировать сертификаты в личном хранилище с помощью оснастки MMC для сертификатов-в.You can import certificates to the personal store with the Certificates MMC snap-in.

В качестве альтернативы для использования сертификатов привязать-, можно также импортировать SSL-сертификат с помощью оснастки диспетчера IIS-в во время, назначенное SSL сертификатов на веб-сайт по умолчанию.As an alternative to using the Certificates snap-in, you can also import the SSL certificate with the IIS Manager snap-in at the time that you assign the SSL certificate to the default Web site. Дополнительные сведения см. в разделе Импорт сертификата аутентификации сервера на веб-сайт по умолчанию.For more information, see Import a Server Authentication Certificate to the Default Web Site.

Примечание

Прежде чем устанавливать программное обеспечение AD FS на компьютере, который должен стать сервером федерации, убедитесь, что оба сертификата находятся в хранилище личных сертификатов локального компьютера, а сертификат SSL назначен веб сайт по умолчанию.Before you install the AD FS software on the computer that will become the federation server, make sure that both certificates are in the Local Computer personal certificate store and that the SSL certificate is assigned to the Default Web Site. Дополнительные сведения о порядке задач, которые требуются для настройки сервера федерации см. в разделе контрольный список: Настройка сервера федерации.For more information about the order of the tasks that are required to set up a federation server, see Checklist: Setting Up a Federation Server.

В зависимости от требований безопасности и бюджетных ограничений необходимо тщательно продумать, какие из сертификатов будут присваиваться публичным или корпоративным центром сертификации.Depending on your security and budget requirements, carefully consider which of your certificates will be obtained by a public CA or a corporate CA. На рисунке ниже показаны рекомендованные издатели (центры сертификации) определенных типов сертификатов.The following figure shows the recommended CA issuers for a given certificate type. В этих рекомендациях отражен наиболее-практике подход, безопасности и затрат.This recommendation reflects a best-practice approach regarding security and cost.

Списки отзыва сертификатовCertificate revocation lists

Если у какого-либо используемого сертификата есть списки отзыва сертификатов (CRL), сервер с настроенным сертификатом должен иметь возможность связаться с сервером, распространяющим CRL.If any certificate that you use has CRLs, the server with the configured certificate must be able to contact the server that distributes the CRLs.

См. такжеSee Also

Руководство по разработке служб федерации Active Directory в Windows Server 2012AD FS Design Guide in Windows Server 2012

docs.microsoft.com

Настройка автоматической регистрации сертификатов сервера

• 20.06.2019
• Время чтения: 2 мин

В этой статье

Относится к: Windows Server (полугодовой канал), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Примечание

Прежде чем выполнять эту процедуру, необходимо настроить шаблон сертификата сервера с помощью оснастки консоли управления шаблонами сертификатов в ЦС, на котором выполняется AD CS.Before you perform this procedure, you must configure a server certificate template by using the Certificate Templates Microsoft Management Console snap-in on a CA that is running AD CS. Членство в обоих «Администраторы предприятия» и корневого домена «Администраторы домена» группе является минимальным требованием для выполнения этой процедуры.Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

Настройка автоматической регистрации сертификатов сервераConfigure server certificate auto-enrollment

1. На компьютере, где установлены службы AD DS, откройте Windows PowerShell®, тип mmc, и нажмите клавишу ВВОД.On the computer where AD DS is installed, open Windows PowerShell®, type mmc, and then press ENTER. Откроется консоль управления (MMC).The Microsoft Management Console opens.

2. В меню Файл выберите команду Добавить или удалить оснастку.On the File menu, click Add/Remove Snap-in. Добавление или удаление оснасток откроется диалоговое окно.The Add or Remove Snap-ins dialog box opens.

3. В Доступные оснастки, прокрутите вниз и дважды щелкните редактор управления групповыми политиками.In Available snap-ins, scroll down to and double-click Group Policy Management Editor. Выбор объекта групповой политики откроется диалоговое окно.The Select Group Policy Object dialog box opens.

   Важно!

   Убедитесь, что вы выбрали редактор управления групповыми политиками и не Управление групповой политикой.Ensure that you select Group Policy Management Editor and not Group Policy Management. При выборе Управление групповой политикой, конфигурацию с помощью этих инструкций не удастся, и сертификат сервера не будет автоматически подающие для вашей NPSs.If you select Group Policy Management, your configuration using these instructions will fail and a server certificate will not be autoenrolled to your NPSs.

4. В объекта групповой политики, нажмите кнопку Обзор.In Group Policy Object, click Browse. Поиск объекта групповой политики откроется диалоговое окно.The Browse for a Group Policy Object dialog box opens.

5. В доменов, подразделений и связанные объекты групповой политики, щелкните политика домена по умолчанию, а затем нажмите кнопку ОК.In Domains, OUs, and linked Group Policy Objects, click Default Domain Policy, and then click OK.

6. Нажмите кнопку Готово, а затем — кнопку ОК.Click Finish, and then click OK.

7. Дважды щелкните политика домена по умолчанию.Double-click Default Domain Policy. В консоли разверните следующий путь: Конфигурация компьютера, политики, параметры Windows, параметры безопасности, а затем политики открытого ключа.In the console, expand the following path: Computer Configuration, Policies, Windows Settings, Security Settings, and then Public Key Policies.

8. Нажмите кнопку политики открытого ключа.Click Public Key Policies. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация.In the details pane, double-click Certificate Services Client — Auto-Enrollment. Свойства откроется диалоговое окно.The Properties dialog box opens. Настройте перечисленные ниже и нажмите кнопку ОК:Configure the following items, and then click OK:

   1. В окне Модель конфигурации выберите параметр Включено.In Configuration Model, select Enabled.
   2. Выберите обновлять просроченные сертификаты в состоянии ожидания и удалять отозванные сертификаты «флажок».Select the Renew expired certificates, update pending certificates, and remove revoked certificates check box.
   3. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.Select the Update certificates that use certificate templates check box.

9. Нажмите кнопку ОК.Click OK.

Настройка автоматической регистрации сертификатов пользователейConfigure user certificate auto-enrollment

1. На компьютере, где установлены службы AD DS, откройте Windows PowerShell®, тип mmc, и нажмите клавишу ВВОД.On the computer where AD DS is installed, open Windows PowerShell®, type mmc, and then press ENTER. Откроется консоль управления (MMC).The Microsoft Management Console opens.

2. В меню Файл выберите команду Добавить или удалить оснастку.On the File menu, click Add/Remove Snap-in. Добавление или удаление оснасток откроется диалоговое окно.The Add or Remove Snap-ins dialog box opens.

3. В Доступные оснастки, прокрутите вниз и дважды щелкните редактор управления групповыми политиками.In Available snap-ins, scroll down to and double-click Group Policy Management Editor. Выбор объекта групповой политики откроется диалоговое окно.The Select Group Policy Object dialog box opens.

   Важно!

   Убедитесь, что вы выбрали редактор управления групповыми политиками и не Управление групповой политикой.Ensure that you select Group Policy Management Editor and not Group Policy Management. При выборе Управление групповой политикой, конфигурацию с помощью этих инструкций не удастся, и сертификат сервера не будет автоматически подающие для вашей NPSs.If you select Group Policy Management, your configuration using these instructions will fail and a server certificate will not be autoenrolled to your NPSs.

4. В объекта групповой политики, нажмите кнопку Обзор.In Group Policy Object, click Browse. Поиск объекта групповой политики откроется диалоговое окно.The Browse for a Group Policy Object dialog box opens.

5. В доменов, подразделений и связанные объекты групповой политики, щелкните политика домена по умолчанию, а затем нажмите кнопку ОК.In Domains, OUs, and linked Group Policy Objects, click Default Domain Policy, and then click OK.

6. Нажмите кнопку Готово, а затем — кнопку ОК.Click Finish, and then click OK.

7. Дважды щелкните политика домена по умолчанию.Double-click Default Domain Policy. В консоли разверните следующий путь: Конфигурация пользователя, политики, параметры Windows, параметры безопасности.In the console, expand the following path: User Configuration, Policies, Windows Settings, Security Settings.

8. Нажмите кнопку политики открытого ключа.Click Public Key Policies. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация.In the details pane, double-click Certificate Services Client — Auto-Enrollment. Свойства откроется диалоговое окно.The Properties dialog box opens. Настройте перечисленные ниже и нажмите кнопку ОК:Configure the following items, and then click OK:

   1. В окне Модель конфигурации выберите параметр Включено.In Configuration Model, select Enabled.
   2. Выберите обновлять просроченные сертификаты в состоянии ожидания и удалять отозванные сертификаты «флажок».Select the Renew expired certificates, update pending certificates, and remove revoked certificates check box.
   3. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.Select the Update certificates that use certificate templates check box.

9. Нажмите кнопку ОК.Click OK.

Следующие шагиNext Steps

Обновление групповой политикиRefresh Group Policy

docs.microsoft.com

Настройка шаблона сертификата сервера | Microsoft Docs

• 20.06.2019
• Время чтения: 2 мин

В этой статье

Относится к: Windows Server (полугодовой канал), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Можно использовать эту процедуру для настройки шаблона сертификата Active Directory® использует сертификат службы (AD CS) в качестве основы для сертификатов сервера, которые зарегистрированы для серверов в сети.You can use this procedure to configure the certificate template that Active Directory® Certificate Services (AD CS) uses as the basis for server certificates that are enrolled to servers on your network.

При настройке этого шаблона, можно указать серверы группе Active Directory, должно автоматически получать сертификат сервера из AD CS.While configuring this template, you can specify the servers by Active Directory group that should automatically receive a server certificate from AD CS.

Описанная ниже процедура включает в себя инструкции по настройке шаблона для выдачи сертификатов, чтобы все следующие типы серверов:The procedure below includes instructions for configuring the template to issue certificates to all of the following server types:

• Серверы, работающие со службой удаленного доступа, включая серверы шлюза RAS, которые являются членами серверы RAS и IAS группы.Servers that are running the Remote Access service, including RAS Gateway servers, that are members of the RAS and IAS Servers group.
• Серверы, работающих под управлением службы сервера политики сети (NPS), которые являются членами серверы RAS и IAS группы.Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

Членство в обоих «Администраторы предприятия» и корневого домена «Администраторы домена» группе является минимальным требованием для выполнения этой процедуры.Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

Чтобы настроить шаблон сертификатаTo configure the certificate template

1. На CA1, в диспетчере серверов щелкните средства, а затем нажмите кнопку сертификации.On CA1, in Server Manager, click Tools, and then click Certification Authority. Открывает сертификации центра консоли управления (MMC).The Certification Authority Microsoft Management Console (MMC) opens.

2. Щелкните правой кнопкой мыши в консоли MMC, дважды щелкните имя ЦС шаблонов сертификатов, а затем нажмите кнопку управление.In the MMC, double-click the CA name, right-click Certificate Templates, and then click Manage.

3. Откроется консоль шаблонов сертификатов.The Certificate Templates console opens. В области сведений отображаются все шаблоны сертификатов.All of the certificate templates are displayed in the details pane.

4. В области сведений щелкните RAS и IAS-сервер шаблона.In the details pane, click the RAS and IAS Server template.

5. Нажмите кнопку действие меню, а затем щелкните скопировать шаблон.Click the Action menu, and then click Duplicate Template. Шаблон свойства откроется диалоговое окно.The template Properties dialog box opens.

6. Откройте вкладку Безопасность.Click the Security tab.

7. На безопасности на вкладке имена групп или пользователей, нажмите кнопку серверы RAS и IAS.On the Security tab, in Group or user names, click RAS and IAS servers.

8. В разрешения для серверов RAS и IASв разделе Разрешить, убедитесь, что регистрация , а затем кнопку автоматическая подача заявок проверки поле.In Permissions for RAS and IAS servers, under Allow, ensure that Enroll is selected, and then select the Autoenroll check box. Нажмите кнопку ОКи закройте консоль MMC шаблоны сертификатов.Click OK, and close the Certificate Templates MMC.

9. В консоли Управления центра сертификации щелкните шаблонов сертификатов.In the Certification Authority MMC, click Certificate Templates. На действие последовательно выберите пункты New, а затем нажмите кнопку Выдаваемый шаблон сертификата.On the Action menu, point to New, and then click Certificate Template to Issue. Включение шаблонов сертификатов откроется диалоговое окно.The Enable Certificate Templates dialog box opens.

10. В Включение шаблонов сертификатов, щелкните имя шаблона сертификата, который вы только что настроен и нажмите кнопку ОК.In Enable Certificate Templates, click the name of the certificate template that you just configured, and then click OK. Например, если вы не изменяли имя шаблона сертификата по умолчанию, щелкните копия RAS и IAS-сервер, а затем нажмите кнопку ОК.For example, if you did not change the default certificate template name, click Copy of RAS and IAS Server, and then click OK.

docs.microsoft.com

Проверка регистрации сертификата сервера на сервере

• 20.06.2019
• Время чтения: 2 мин

В этой статье

Относится к: Windows Server (полугодовой канал), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Эту процедуру можно использовать, чтобы убедиться, что ваш сервер политики сети (NPS) серверы были зарегистрированы сертификат сервера из центра сертификации (ЦС).You can use this procedure to verify that your Network Policy Server (NPS) servers have enrolled a server certificate from the certification authority (CA).

Примечание

Членство в группе «Администраторы домена» группе является минимальным требованием для выполнения этих процедур.Membership in the Domain Admins group is the minimum required to complete these procedures.

Проверка регистрации сервера политики сети (NPS) сертификата сервераVerify Network Policy Server (NPS) enrollment of a server certificate

Так как сервер политики сети используется для проверки подлинности и авторизации запросов на подключение сети, важно проверить допустимость выдачи для NPSs сертификата сервера при использовании в политиках сети.Because NPS is used to authenticate and authorize network connection requests, it is important to ensure that the server certificate you have issued to NPSs is valid when used in network policies.

Чтобы убедиться, что сертификат настроен правильно и зарегистрировано в NPS, необходимо настроить политику сети теста и разрешить сервер политики сети, чтобы убедиться, что сервер политики сети можно использовать сертификат для проверки подлинности.To verify that a server certificate is correctly configured and is enrolled to the NPS, you must configure a test network policy and allow NPS to verify that NPS can use the certificate for authentication.

Чтобы проверить NPS регистрации сертификата сервераTo verify NPS enrollment of a server certificate

1. В диспетчере серверов щелкните средства, а затем нажмите кнопку сервера политики сети.In Server Manager, click Tools, and then click Network Policy Server. Открывает сетевой политики сервера консоли управления (MMC).The Network Policy Server Microsoft Management Console (MMC) opens.

2. Дважды щелкните политики, щелкните правой кнопкой мыши сетевые политикии нажмите кнопку New.Double-click Policies, right-click Network Policies, and click New. Откроется мастер новой политики сети.The New Network Policy wizard opens.

3. В укажите имя сетевой политики и тип соединенияв имя политики, тип тестирование политики.In Specify Network Policy Name and Connection Type, in Policy name, type Test policy. Убедитесь, что тип сервера доступа к сети имеет значение Unspecified, а затем нажмите кнопку Далее.Ensure that Type of network access server has the value Unspecified, and then click Next.

4. В указание условий, нажмите кнопку добавить.In Specify Conditions, click Add. В выберите условие, нажмите кнопку группы Windows, а затем нажмите кнопку добавить.In Select condition, click Windows Groups, and then click Add.

5. В группы, нажмите кнопку Добавление групп.In Groups, click Add Groups. В Выбор группы, тип пользователей домена, и нажмите клавишу ВВОД.In Select Group, type Domain Users, and then press ENTER. Нажмите кнопку ОК и затем кнопку Далее.Click OK, and then click Next.

6. В укажите разрешение на доступ, убедитесь, что доступ предоставлен выбран, а затем нажмите кнопку Далее.In Specify Access Permission, ensure that Access granted is selected, and then click Next.

7. В Настройка методов проверки подлинности, нажмите кнопку добавить.In Configure Authentication Methods, click Add. В Добавление EAP, нажмите кнопку Microsoft: Защищенный EAP (PEAP), а затем нажмите кнопку ОК.In Add EAP, click Microsoft: Protected EAP (PEAP), and then click OK. В типы EAPвыберите Microsoft: Защищенный EAP (PEAP), а затем нажмите кнопку изменить.In EAP Types, select Microsoft: Protected EAP (PEAP), and then click Edit. Изменить свойства защищенного EAP откроется диалоговое окно.The Edit Protected EAP Properties dialog box opens.

8. В изменить свойства защищенного EAP отображаемое в диалоговом окне сертификат, выданный, NPS отображает имя сертификата сервера в формате ComputerName. Домен.In the Edit Protected EAP Properties dialog box, in Certificate issued to, NPS displays the name of your server certificate in the format ComputerName.Domain. Например, если ваш сервер политики сети называется NPS-01, а домен — example.com, NPS отобразит сертификат NPS 01.example.com.For example, if your NPS is named NPS-01 and your domain is example.com, NPS displays the certificate NPS-01.example.com. Кроме того, в издателя, отображается имя центра сертификации, а затем в дату окончания срока действия, показана дата истечения срока действия сертификата сервера.In addition, in Issuer, the name of your certification authority is displayed, and in Expiration date, the date of expiration of the server certificate is shown. Этот пример демонстрирует, что ваш сервер политики сети зарегистрировал действительный сертификат сервера, его можно использовать для подтверждения его подлинности для клиентских компьютеров, которые пытаются получить доступ к сети через серверы сетевого доступа, такими как серверы виртуальной частной сети (VPN), 802.1 X с поддержкой точки беспроводного доступа, серверы шлюза удаленных рабочих столов и 802.1 X с поддержкой Ethernet переключается.This demonstrates that your NPS has enrolled a valid server certificate that it can use to prove its identity to client computers that are trying to access the network through your network access servers, such as virtual private network (VPN) servers, 802.1X-capable wireless access points, Remote Desktop Gateway servers, and 802.1X-capable Ethernet switches.

   Важно!

   Если сервер политики сети не содержит действительный сертификат сервера и он предоставляет сообщение, которое такой сертификат не найден на локальном компьютере, существуют две возможные причины этой проблемы.If NPS does not display a valid server certificate and if it provides the message that such a certificate cannot be found on the local computer, there are two possible reasons for this problem. Вполне возможно, не обновления групповой политики, что сервер политики сети не был зарегистрирован сертификат из ЦС.It is possible that Group Policy did not refresh properly, and the NPS has not enrolled a certificate from the CA. В этом случае перезапускает расширение NPS.In this circumstance, restart the NPS. После перезагрузки компьютера, Групповая политика обновляется и выполнением этой процедуры еще раз, чтобы подтвердить регистрацию сертификата сервера.When the computer restarts, Group Policy is refreshed, and you can perform this procedure again to verify that the server certificate is enrolled. Если обновление групповой политики не позволяет устранить эту проблему, шаблон сертификата, сертификатов или оба настроены неправильно.If refreshing Group Policy does not resolve this issue, either the certificate template, certificate autoenrollment, or both are not configured correctly. Для устранения этих проблем, запустите в начале этого руководства и выполните все действия снова, чтобы убедиться, что параметры, которые вы предоставили являются точными.To resolve these issues, start at the beginning of this guide and perform all steps again to ensure that the settings that you have provided are accurate.

9. Когда вы проверили наличие действительный сертификат сервера, можно щелкнуть ОК и отменить для завершения работы мастера новая политика сети.When you have verified the presence of a valid server certificate, you can click OK and Cancel to exit the New Network Policy wizard.

   Примечание

   Так как мастер не завершаются, тестовой сети политики не создается на сервере политики сети.Because you are not completing the wizard, the test network policy is not created in NPS.

docs.microsoft.com