Для доменного УЦ

Внедрение инфраструктуры
открытых ключей
(англ. PKI- Public Key Infrastructure)
Подготовка домена
Установка Центра Сертификации (ЦС) в домене с авторизацией по смарткартам
Ставим windows
- 40 гигабайт диск (при условии что логи будут регулярно очищаться)
- 2 гигабайта озу
- одна сеть - локалка
- раскладка клавиатуры - США
Ставим уникальный пароль
Проставляем правильные сетевые настройки
Разрешаем RDP
Ставим WinRar
Ставим каспера
Ставим все обновления
-- restart --
Включаем в домен (с правильным новым доменным именем)
-- restart -Отключаем Teredo, isatap, 6to4, IPV6
Проверить синхронизацию времени с доменом.
Домен должен брать время из интернета
w32tm /config /syncfromflags:manual /manualpeerlist:time.windows.com
w32tm /config /update
w32tm /resync
Скачать время с домена:
w32tm /resync
Положить в %systemroot% файл CAPolicy.inf с содержимым:
[Version]
Signature="$Windows NT$"
[CRLDistributionPoint]
URL=""
Включаем роль CA
- Только служба сертификации, одна галка
- тип установки - предприятие
- тип ЦС - Корневой
- Создать новый закрытый ключ
- алгоритм шифрования и хеш-функция - RSA#Microsoft Software Key Storage
Provider (2048, SHA1)
- убрать галку "разрешить взаимодействие с провайдером"
- Имя УЦ - по русски 50 символов, по латинице-250, например
"site.gnivc.ru CA"
- суффикс "DC=site,DC=gnivc,DC=ru,O=GNIVC,L=Moscow,C=RU,E=mail@aksenov.pro" где DC
- это компоненты имени домена, O-Organization, L=Locality, C=Country,
E=Email
- срок - 5 лет
- расположения стандартные
- Далее - готово.
-- restart -Убеждаемся что нет в евент-логе еероров про центр сертификации
Будет один варнинг, его надо отработать:
Чтобы убедиться, что сертификат ЦС опубликован правильно в Active
Directory, выполните следующую команду: certutil -viewstore
"ldap:///CN=site.gnivc.ru CA1,CN=Certification Authorities,CN=Public Key
Services,CN=Services,CN=Configuration,DC=site,DC=gnivc,DC=ru?cACertificat
e?base?objectClass=certificationAuthority" (включите кавычки при запуске
команды). Если сертификат корневого ЦС отсутствует, то с помощью консоли
сертификатов на компьютере корневого ЦС экспортируйте сертификат в файл,
а затем выполните следующую команду для публикации его в Active
Directory: Certutil -dspublish %certificatefilename% Root.
-- restart -После перезагрузки не должно появлятся никаких ерроров и варнингов
Идем на все контроллеры домена и на каждом контроллере в Компонентах
устанавливаем:
- Средства Удаленного администрирования сервера - Средства
Администрирования ролей - Средства служб сертификации Active Directory Средства центра сертификации
- Через mmc добавляем остнастку "PKI Предприятия"
- Убеждаемся что нет красных ошибок при разворачивании дерева служб
сертификации.
- В корне остнастки нажимаем правой кнопкой и в контекстном меню
выбираем "Управление контейнерами AD"
- Проходим по закладкам и убеждаемся что все элементы нормальные, не
красные и относятся только к нашему новому центру сертификации
- добавляем остнастку "Сертификаты" - "Сертификаты компьютера" "Локальный компьютер", разворачиваем "Личное - Сертификаты" и убеждаемся
что там есть один сертификат текущего контроллера домена, выданный нашим
новым ЦС
- Если сертификата нет или у него нет доверия, надо перегрузить
контроллер домена.
- переходим на следующий контроллер домена и повторяем все пункты заново
На всех компьютерах домена (в том числе и на контроллерах домена, в том
числе и личном компе, который может быть не в домене, но с него будет
RDP):
- Ставим последние дрова от етокена (рутокен не катит)
http://www.aladdin-rd.ru/support/downloads/26037/
- Не смущаемся что дата дров - 2011 год.
- язык установки - Russian
- нельзя совмещать установку дров с windows update - дрова могут
сглючить
- если дрова хотят перезагрузки - надо перегружать
- переходим к следующему компьютеру
Ставим все обновления
-- restart --
Теперь настраиваем шаблоны сертификатов
Открываем диспетчер сервера
Разворачиваем Роли - "службы сертификации Active Directory" - имя нашего
сервера, напротив которого нарисован компьютер с зеленой галочкой Шаблоны сертификатов (не путаем с шаблонами, которые выше этажом, внутри
самой роли)
Там должен быть такой список:
- Почтовая репликация каталога
- Проверка подлинности контроллера домена
- Агент восстановления EFS
- Базовое шифрование EFS
- Контроллер домена
- Веб-сервер
- Компьютер
- Пользователь
- Подчиненный центр сертификации
- Администратор
На пустом месте рядом со списоком - правой кнопкой - создать - выдаваемый
шаблон сертификата
выбираем два шаблона:
- агент регистрации (без скобок, не путать с агентом регистрации
компьютера или эксчейнджа)
- пользователь со смарт-картой
нажимаем ОК и видим что они появились в списке шаблонов
Теперь всем юзерам домена, которые хотят входить с етокеном, надо в
учетке прописать Email
Теперь мы должны определить общедоступное место из интернета, где будут
хранится списки отзыва и корневые сертификаты
Для внутренней доменной сети надо оставить размещение в домене по
протоколу LDAP а для внешних сетей надо сделать размещение в интернете.
Удобнее всего копировать эти файлы с ЦС на файловое хранилище сайта.
Давать доступ на ЦС из интернета категорически противопоказано.
Открываем диспетчер сервера
Разворачиваем Роли - "службы сертификации Active Directory" - имя нашего
сервера, напротив которого нарисован компьютер с зеленой галочкой Правой кнопкой - свойства - закладка "расширения"
Выбираем расширение CDP
- Удаляем строчку начинающуюся с http
- Добавляем новую:
- Размещение
http://www.gnivc.ru/images_ca/<CaName><CRLNameSuffix><DeltaCRLAllowed>.cr
l
- ОК
- убрать все галочки и поставить только одну галочку "Включать
в CDP расширение выданных сертификатов"
- в строчке, начинающейся с "c:\windows...." надо оставить только
одну галку - "Опубликовать CRL по данному адресу"
- в строчке, начинающейся с "ldap://..." надо оставить галки "Опубликовать CRL по данному адресу", "Включать в CDP расширение выданных
сертификатов"
Выбираем расширение AIA
- Удаляем строчку начинающуюся с http
- Добавляем новую:
- Размещение
http://www.gnivc.ru/images_ca/<ServerDNSName>_<CaName><CertificateName>.c
rt
- ОК
- убрать все галочки и поставить только одну галочку "Включать
в AIA расширение выданных сертификатов"
Расширения настроены - нажимаем ОК чтобы сохранить изменения
Он попросит перезапустить службы сертификации - разрешить
На ветке дерева "отозванные сертификаты" правой кнопкой - все задачи публикация
Создаем файл copy.cmd с командой копирования внутри:
xcopy C:\Windows\System32\CertSrv\CertEnroll\*.*
\\file1\FileContent\images_ca\ /Y
И запускаем его один раз в день в шедулере в режиме "независимо от входа
пользователя"
Теперь нам надо создать рабочую станцию по выдаче етокенов.
В принципе это может быть машина ЦС
Также нам нужен сотрудник, который будет иметь право выдавать етокены от
своего имени
Логинимся на станцию по выдаче токенов логином ответственного сотрудника
Через mmc добавляем остнастку "Сертификаты" - "моей учетной записи
пользователя"
На "Личное" - правой кнопкой - все задачи - запросить новый сертификат Далее - Далее - агент регистрации - Заявка
Он должен подумать секунды три и написать зелененькое "Состояние:Успешно"
Теперь надо выпустить етокен
Етокен должен быть отформатирован и проинициализирован. Если у нас он уже
проинициализирован, то повторно это делать не обязательно.
Вставляем етокен в usb разъем.
етокен должен автоматом прокинуться в виртуалку через RDP (если его нет,
то параметрах подключения - локальные ресурсы - подробнее - галочка
"смарткарты" должна стоять)
на виртуалке ЦС:
- в трее должна быть иконка етокена
- правой кнопкой по ней, "открыть Etoken Properties"
- в верхнем правом меню нажимаем шестеренку (подробный вид)
- В древовидном меню слева разворачиваем пункт с именем вашего eToken,
выбрав ниже пункт "Настройки".
- В центральных двух закладках выбираем закладку "Дополнительно".
- Убеждаемся что "Режим вторичной идентификации с ключом RSA" установлен
в "Никогда".
Логинимся на станцию по выдаче токенов логином ответственного сотрудника
Через mmc добавляем остнастку "Сертификаты" - "моей учетной записи
пользователя"
На "Личное" - правой кнопкой - все задачи - дополнительные операции зарегистрироваться от имени
Далее - Далее - обзор - выбираем единственный сертификат агента
регистрации - ок - далее
выбираем пункт "пользователь со смарт картой" и рядом названием этого
шаблона нажимаем маленькую кнопочку "подробности", затем жмем появившуюся
кнопку "свойства"
разворачиваем поставщиков службы шифрования
оставляем только одну галку - "etoken Base Cryptographic Provider"
Если такого пункта нет, то либо забыли поставить дрова етокена, либо
етокен не вставлен (надо его вставить, закрыть mmc, подождать 10 секунд и
проделать запрос сертификата заново)
Ок - Далее - Обзор - Выбираем сотрудника, которому надо выдать етокен нажимаем кнопку "Заявка"
Если етокен был вставлен, то система предложит его вытащить и вставить
заново, надо сделать как просят
Етокен должен заморгать и Через секунды три спросить пин-код
Он должен подумать секунд пятнадцать и написать зелененькое
"Состояние:Успешно"
------------------------------------------------------------------------------Настройка клиента
Войти по смарт-карте можно только на компьютеры, принадлежащие
настроенному домену.
Если предполагается вход извне домена (например с личного ноута, который
не принадлежит никакому домену) то на всех доменных машинах надо:
"Компьютер" - "свойства" - "настройка удаленного доступа" - "разрешать
подключения от компьютеров с любой версией удаленного рабочего стола
(опаснее)"
На доменном компьютере, с которого надо запускать RDP требуется
выполнение следующих условий
- в доверенных корневых центрах сертификации должен быть установлен
корневой сертификат ЦС
- должен попасть туда при применении групповой политики домена
автоматически
- сертификат для входа смарт-картой должен быть зарегистрирован в
пользовательском хранилище
- должен регистрироваться автоматом при вставке етокена
- компьютер должен смочь проверить список отзыва
- внутри домена все автоматом. Для проверки экспортируем сертификат
в файл 1.cer и выполняем "certutil -url 1.cer", "certutil -f -verify urlfetch 1.cer"
- Если на компьютере установлен КриптоПро CSP 3.6. и при вставке етокена
показывается "Действительные сертификаты не обнаружены (No valid
certificates found)":
- По умолчанию КрипроПро CSP регистрирует собственные носители
смарт-карт (в том числе и eToken) для входа в систему. Поэтому Smart Card
Logon не может считать RSA сертификат из eToken, т.к. используется не
"eToken Base Cryptographic Provider", а "Crypto-Pro GOST R 34.10-2001
Cryptographic Service Provider". (http://www.aladdinrd.ru/support/faq/etoken/category3/faq100022/)
- Для того чтобы отключить использование КриптоПро CSP для входа в
систему, необходимо войти в Панель управления КриптоПро CSP, на вкладке
"Оборудование", нажать "Настроить типы носителей", в свойствах всех
носителей eToken на вкладке "Настройки" отключить опцию "Использовать для
входа в операционную систему".
На компьютере без домена, с которого надо запускать RDP требуется
выполнение тех же условий, но вручную
- в доверенных корневых центрах сертификации должен быть установлен
корневой сертификат ЦС
- Нужно положить его руками
- сертификат для входа смарт-картой должен быть зарегистрирован в
пользовательском хранилище
- должен регистрироваться автоматом при вставке етокена, либо руками
- компьютер должен смочь проверить список отзыва
- Для проверки экспортируем сертификат в файл 1.cer и выполняем
"certutil -url 1.cer", "certutil -f -verify -urlfetch 1.cer"
- Если на компьютере установлен КриптоПро CSP 3.6. и при вставке етокена
показывается "Действительные сертификаты не обнаружены (No valid
certificates found)":
- По умолчанию КрипроПро CSP регистрирует собственные носители
смарт-карт (в том числе и eToken) для входа в систему. Поэтому Smart Card
Logon не может считать RSA сертификат из eToken, т.к. используется не
"eToken Base Cryptographic Provider", а "Crypto-Pro GOST R 34.10-2001
Cryptographic Service Provider". (http://www.aladdinrd.ru/support/faq/etoken/category3/faq100022/)
- Для того чтобы отключить использование КриптоПро CSP для входа в
систему, необходимо войти в Панель управления КриптоПро CSP, на вкладке
"Оборудование", нажать "Настроить типы носителей", в свойствах всех
носителей eToken на вкладке "Настройки" отключить опцию "Использовать для
входа в операционную систему".
------------------------------------------------------------------------------------------------
Правильное убийство ЦС
http://technet.microsoft.com/en-us/library/cc771494(v=ws.10).aspx
Убил через удаление роли - сертификаты от ЦС остались на обоих
контролерах домена
Надо вручную убить на всех контроллерах старые корневые и старые
контроллерные сертификаты
Установить вручную новые корневые и запросить новые контроллерные
Перегрузить по очереди все контроллеры
----------------------------------------------------------------------------------------------Надо разобраться с бакапами ЦС
-------------------------------------------------------------------------------------------------Заметки
Правила допуска входа в систему с помощью смарт-карт при участии
независимых центров сертификации
http://support.microsoft.com/kb/281245
Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon
http://technet.microsoft.com/library/Bb742532
Smart Cards – Creating a Windows 2008 Certificate Authority & Enrolling
Smart Card Users with a 2K8 CA
http://blogs.citrix.com/2011/07/15/smart-cards-creating-a-windows-2008certificate-authority-enrolling-smart-card-users-with-a-2k8-ca/
http://technet.microsoft.com/en-us/library/cc736326(v=ws.10).aspx