Внедрение инфраструктуры открытых ключей
Скачать 107.57 Kb.
|
| Внедрение инфраструктуры открытых ключей (англ. PKI - Public Key Infrastructure) Подготовка домена Установка Центра Сертификации (ЦС) в домене с авторизацией по смарт-картам Ставим windows - 40 гигабайт диск (при условии что логи будут регулярно очищаться) - 2 гигабайта озу - одна сеть - локалка - раскладка клавиатуры - США Ставим уникальный пароль Проставляем правильные сетевые настройки Разрешаем RDP Ставим WinRar Ставим каспера Ставим все обновления -- restart -- Включаем в домен (с правильным новым доменным именем) -- restart -- Отключаем Teredo, isatap, 6to4, IPV6 Проверить синхронизацию времени с доменом. Домен должен брать время из интернета w32tm /config /syncfromflags:manual /manualpeerlist:time.windows.com w32tm /config /update w32tm /resync Скачать время с домена: w32tm /resync Положить в %systemroot% файл CAPolicy.inf с содержимым: [Version] Signature="$Windows NT$" [CRLDistributionPoint] URL="" Включаем роль CA - Только служба сертификации, одна галка - тип установки - предприятие - тип ЦС - Корневой - Создать новый закрытый ключ - алгоритм шифрования и хеш-функция - RSA#Microsoft Software Key Storage Provider (2048, SHA1) - убрать галку "разрешить взаимодействие с провайдером" - Имя УЦ - по русски 50 символов, по латинице-250, например "site.gnivc.ru CA" - суффикс - "DC=site,DC=gnivc,DC=ru,O=GNIVC,L=Moscow,C=RU,E=mail@aksenov.pro" где DC - это компоненты имени домена, O-Organization, L=Locality, C=Country, E=Email - срок - 5 лет - расположения стандартные - Далее - готово. -- restart -- Убеждаемся что нет в евент-логе еероров про центр сертификации Будет один варнинг, его надо отработать: Чтобы убедиться, что сертификат ЦС опубликован правильно в Active Directory, выполните следующую команду: certutil -viewstore "ldap:///CN=site.gnivc.ru CA1,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=site,DC=gnivc,DC=ru?cACertificate?base?objectClass=certificationAuthority" (включите кавычки при запуске команды). Если сертификат корневого ЦС отсутствует, то с помощью консоли сертификатов на компьютере корневого ЦС экспортируйте сертификат в файл, а затем выполните следующую команду для публикации его в Active Directory: Certutil -dspublish %certificatefilename% Root. -- restart -- После перезагрузки не должно появлятся никаких ерроров и варнингов Идем на все контроллеры домена и на каждом контроллере в Компонентах устанавливаем: - Средства Удаленного администрирования сервера - Средства Администрирования ролей - Средства служб сертификации Active Directory - Средства центра сертификации - Через mmc добавляем остнастку "PKI Предприятия" - Убеждаемся что нет красных ошибок при разворачивании дерева служб сертификации. - В корне остнастки нажимаем правой кнопкой и в контекстном меню выбираем "Управление контейнерами AD" - Проходим по закладкам и убеждаемся что все элементы нормальные, не красные и относятся только к нашему новому центру сертификации - добавляем остнастку "Сертификаты" - "Сертификаты компьютера" - "Локальный компьютер", разворачиваем "Личное - Сертификаты" и убеждаемся что там есть один сертификат текущего контроллера домена, выданный нашим новым ЦС - Если сертификата нет или у него нет доверия, надо перегрузить контроллер домена. - переходим на следующий контроллер домена и повторяем все пункты заново На всех компьютерах домена (в том числе и на контроллерах домена, в том числе и личном компе, который может быть не в домене, но с него будет RDP): - Ставим последние дрова от етокена (рутокен не катит) http://www.aladdin-rd.ru/support/downloads/26037/ - Не смущаемся что дата дров - 2011 год. - язык установки - Russian - нельзя совмещать установку дров с windows update - дрова могут сглючить - если дрова хотят перезагрузки - надо перегружать - переходим к следующему компьютеру Ставим все обновления -- restart -- Теперь настраиваем шаблоны сертификатов Открываем диспетчер сервера Разворачиваем Роли - "службы сертификации Active Directory" - имя нашего сервера, напротив которого нарисован компьютер с зеленой галочкой - Шаблоны сертификатов (не путаем с шаблонами, которые выше этажом, внутри самой роли) Там должен быть такой список: - Почтовая репликация каталога - Проверка подлинности контроллера домена - Агент восстановления EFS - Базовое шифрование EFS - Контроллер домена - Веб-сервер - Компьютер - Пользователь - Подчиненный центр сертификации - Администратор На пустом месте рядом со списоком - правой кнопкой - создать - выдаваемый шаблон сертификата выбираем два шаблона: - агент регистрации (без скобок, не путать с агентом регистрации компьютера или эксчейнджа) - пользователь со смарт-картой нажимаем ОК и видим что они появились в списке шаблонов Теперь всем юзерам домена, которые хотят входить с етокеном, надо в учетке прописать Email Теперь мы должны определить общедоступное место из интернета, где будут хранится списки отзыва и корневые сертификаты Для внутренней доменной сети надо оставить размещение в домене по протоколу LDAP а для внешних сетей надо сделать размещение в интернете. Удобнее всего копировать эти файлы с ЦС на файловое хранилище сайта. Давать доступ на ЦС из интернета категорически противопоказано. Открываем диспетчер сервера Разворачиваем Роли - "службы сертификации Active Directory" - имя нашего сервера, напротив которого нарисован компьютер с зеленой галочкой - Правой кнопкой - свойства - закладка "расширения" Выбираем расширение CDP - Удаляем строчку начинающуюся с http - Добавляем новую: - Размещение http://www.gnivc.ru/images_ca/ - ОК - убрать все галочки и поставить только одну галочку "Включать в CDP расширение выданных сертификатов" - в строчке, начинающейся с "c:\windows...." надо оставить только одну галку - "Опубликовать CRL по данному адресу" - в строчке, начинающейся с "ldap://..." надо оставить галки - "Опубликовать CRL по данному адресу", "Включать в CDP расширение выданных сертификатов" Выбираем расширение AIA - Удаляем строчку начинающуюся с http - Добавляем новую: - Размещение http://www.gnivc.ru/images_ca/ - ОК - убрать все галочки и поставить только одну галочку "Включать в AIA расширение выданных сертификатов" Расширения настроены - нажимаем ОК чтобы сохранить изменения Он попросит перезапустить службы сертификации - разрешить На ветке дерева "отозванные сертификаты" правой кнопкой - все задачи - публикация Создаем файл copy.cmd с командой копирования внутри: xcopy C:\Windows\System32\CertSrv\CertEnroll\*.* \\file1\FileContent\images_ca\ /Y И запускаем его один раз в день в шедулере в режиме "независимо от входа пользователя" Теперь нам надо создать рабочую станцию по выдаче етокенов. В принципе это может быть машина ЦС Также нам нужен сотрудник, который будет иметь право выдавать етокены от своего имени Логинимся на станцию по выдаче токенов логином ответственного сотрудника Через mmc добавляем остнастку "Сертификаты" - "моей учетной записи пользователя" На "Личное" - правой кнопкой - все задачи - запросить новый сертификат - Далее - Далее - агент регистрации - Заявка Он должен подумать секунды три и написать зелененькое "Состояние:Успешно" Теперь надо выпустить етокен Етокен должен быть отформатирован и проинициализирован. Если у нас он уже проинициализирован, то повторно это делать не обязательно. Вставляем етокен в usb разъем. етокен должен автоматом прокинуться в виртуалку через RDP (если его нет, то параметрах подключения - локальные ресурсы - подробнее - галочка "смарткарты" должна стоять) на виртуалке ЦС: - в трее должна быть иконка етокена - правой кнопкой по ней, "открыть Etoken Properties" - в верхнем правом меню нажимаем шестеренку (подробный вид) - В древовидном меню слева разворачиваем пункт с именем вашего eToken, выбрав ниже пункт "Настройки". - В центральных двух закладках выбираем закладку "Дополнительно". - Убеждаемся что "Режим вторичной идентификации с ключом RSA" установлен в "Никогда". Логинимся на станцию по выдаче токенов логином ответственного сотрудника Через mmc добавляем остнастку "Сертификаты" - "моей учетной записи пользователя" На "Личное" - правой кнопкой - все задачи - дополнительные операции - зарегистрироваться от имени Далее - Далее - обзор - выбираем единственный сертификат агента регистрации - ок - далее выбираем пункт "пользователь со смарт картой" и рядом названием этого шаблона нажимаем маленькую кнопочку "подробности", затем жмем появившуюся кнопку "свойства" разворачиваем поставщиков службы шифрования оставляем только одну галку - "etoken Base Cryptographic Provider" Если такого пункта нет, то либо забыли поставить дрова етокена, либо етокен не вставлен (надо его вставить, закрыть mmc, подождать 10 секунд и проделать запрос сертификата заново) Ок - Далее - Обзор - Выбираем сотрудника, которому надо выдать етокен - нажимаем кнопку "Заявка" Если етокен был вставлен, то система предложит его вытащить и вставить заново, надо сделать как просят Етокен должен заморгать и Через секунды три спросить пин-код Он должен подумать секунд пятнадцать и написать зелененькое "Состояние:Успешно" -------------------------------------------------------------------------------- Настройка клиента Войти по смарт-карте можно только на компьютеры, принадлежащие настроенному домену. Если предполагается вход извне домена (например с личного ноута, который не принадлежит никакому домену) то на всех доменных машинах надо: "Компьютер" - "свойства" - "настройка удаленного доступа" - "разрешать подключения от компьютеров с любой версией удаленного рабочего стола (опаснее)" На доменном компьютере, с которого надо запускать RDP требуется выполнение следующих условий - в доверенных корневых центрах сертификации должен быть установлен корневой сертификат ЦС - должен попасть туда при применении групповой политики домена автоматически - сертификат для входа смарт-картой должен быть зарегистрирован в пользовательском хранилище - должен регистрироваться автоматом при вставке етокена - компьютер должен смочь проверить список отзыва - внутри домена все автоматом. Для проверки экспортируем сертификат в файл 1.cer и выполняем "certutil -url 1.cer", "certutil -f -verify -urlfetch 1.cer" - Если на компьютере установлен КриптоПро CSP 3.6. и при вставке етокена показывается "Действительные сертификаты не обнаружены (No valid certificates found)": - По умолчанию КрипроПро CSP регистрирует собственные носители смарт-карт (в том числе и eToken) для входа в систему. Поэтому Smart Card Logon не может считать RSA сертификат из eToken, т.к. используется не "eToken Base Cryptographic Provider", а "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider". (http://www.aladdin-rd.ru/support/faq/etoken/category3/faq100022/) - Для того чтобы отключить использование КриптоПро CSP для входа в систему, необходимо войти в Панель управления КриптоПро CSP, на вкладке "Оборудование", нажать "Настроить типы носителей", в свойствах всех носителей eToken на вкладке "Настройки" отключить опцию "Использовать для входа в операционную систему". На компьютере без домена, с которого надо запускать RDP требуется выполнение тех же условий, но вручную - в доверенных корневых центрах сертификации должен быть установлен корневой сертификат ЦС - Нужно положить его руками - сертификат для входа смарт-картой должен быть зарегистрирован в пользовательском хранилище - должен регистрироваться автоматом при вставке етокена, либо руками - компьютер должен смочь проверить список отзыва - Для проверки экспортируем сертификат в файл 1.cer и выполняем "certutil -url 1.cer", "certutil -f -verify -urlfetch 1.cer" - Если на компьютере установлен КриптоПро CSP 3.6. и при вставке етокена показывается "Действительные сертификаты не обнаружены (No valid certificates found)": - По умолчанию КрипроПро CSP регистрирует собственные носители смарт-карт (в том числе и eToken) для входа в систему. Поэтому Smart Card Logon не может считать RSA сертификат из eToken, т.к. используется не "eToken Base Cryptographic Provider", а "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider". (http://www.aladdin-rd.ru/support/faq/etoken/category3/faq100022/) - Для того чтобы отключить использование КриптоПро CSP для входа в систему, необходимо войти в Панель управления КриптоПро CSP, на вкладке "Оборудование", нажать "Настроить типы носителей", в свойствах всех носителей eToken на вкладке "Настройки" отключить опцию "Использовать для входа в операционную систему". ------------------------------------------------------------------------------------------------- Правильное убийство ЦС http://technet.microsoft.com/en-us/library/cc771494(v=ws.10).aspx Убил через удаление роли - сертификаты от ЦС остались на обоих контролерах домена Надо вручную убить на всех контроллерах старые корневые и старые контроллерные сертификаты Установить вручную новые корневые и запросить новые контроллерные Перегрузить по очереди все контроллеры ------------------------------------------------------------------------------------------------ Надо разобраться с бакапами ЦС --------------------------------------------------------------------------------------------------- Заметки Правила допуска входа в систему с помощью смарт-карт при участии независимых центров сертификации http://support.microsoft.com/kb/281245 Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon http://technet.microsoft.com/library/Bb742532 Smart Cards – Creating a Windows 2008 Certificate Authority & Enrolling Smart Card Users with a 2K8 CA http://blogs.citrix.com/2011/07/15/smart-cards-creating-a-windows-2008-certificate-authority-enrolling-smart-card-users-with-a-2k8-ca/ http://technet.microsoft.com/en-us/library/cc736326(v=ws.10).aspx |
Добавить документ в свой блог или на сайт
Похожие:
 | Шифрование писем электронной почты Для шифрования почты в настоящий момент широко применяются два стандарта: S/mime (использующий инфраструктуру открытых ключей) и... | | «Цифровая подпись» Развитие основных типов криптографических протоколов (ключевой обмен, электронно-цифровая подпись (эцп), аутентификация и др) было... |
 | Т. К. Гоманова к э. н., доцент кафедры «Банковское дело» В статье рассмотрены теоретические и практические аспекты развития банковской инфраструктуры России в современных условиях. Проанализированы... | | О подготовке и проведении открытых занятий Настоящее Положение определяет порядок подготовки и проведения открытых занятий в Колледже туризма (далее – Колледж), устанавливает... |
| Программа дисциплины ит-инфраструктура Компоненты архитектуры информационных технологий (ИТ). Процессы управления ит. Бизнес-архитектура. Архитектура инфраструктуры. Понятие... | | Кафедра международных экономических отношений «гайгэ»). Основой преобразований стали: внедрение многоукладной экономики; реформа ценообразования (введены 3 уровня цен: твердые... |
| Программа дисциплины ит-инфраструктура предприятия Компоненты архитектуры информационных технологий (ИТ). Процессы управления ит. Бизнес-архитектура. Архитектура инфраструктуры. Понятие... | | План проведения открытых уроков в рамках дня открытых дверей 16 марта 2013 года Организация разноуровневых упражнений с учетом группы здоровья и физического состояния детей |
| Методические рекомендации по проведению открытых уроков по донорству... Создать благоприятный образ донора – взрослого, ответственного человека, достойного уважения | | Ежкова Тамара Вячеславовна дмш №1 г. Раменское План открытых урок «Новый порядок аттестации педагогических кадров. План открытых уроков. Документация для «портфолио» преподавателей» |
| Методические рекомендации по проведению оценки уязвимости объектов... Общий методический подход к проведению оценки уязвимости объектов транспортной инфраструктуры | | Программа по формированию навыков безопасного поведения на дорогах... Декада открытых уроков проводилась в школе с 29. 01. 13 по 15. 02. 13гг на основании Приказа по моау «сош №2» от 28. 01. 2013г. «О... |
| Рабочая программа по направлению 180100. 62 «Кораблестроение, океанотехника... Беликовой Т. Н. на основании Федерального государственного образовательного стандарта высшего профессионального образования по направлению... | | Кафедра открытых образовательных технологий Организатором конкурса является оргкомитет кафедры открытых образовательных технологий миоо |
| План создания объектов транспортной, энергетической и социальной... План создания объектов транспортной, энергетической и социальной инфраструктуры | | Программа проведения дня открытых дверей в маоу гимназии №29 г. Томска 27 апреля 2013г В ходе регистрации родители получают буклет о гимназии и программу Дня открытых дверей |
