Защита доступа к сети Network Access Protection (NAP) в Windows 2008 Server - Установка корпоративного сертификата
ОГЛАВЛЕНИЕ
Установка корпоративного сертификата
Процедура установки корпоративного сертификата может отличаться в зависимости от того, устанавливаете ли вы службы на сервере Windows 2003 или же на сервер Windows 2008. Т.к. одной из целей написания этой статьи было познакомить вас с операционной системой Windows 2008 Server, то следующая процедура будет описывать установку служб для сертификатов для операционной системы Windows 2008 Server.
Перед тем, как я покажу вам, как устанавливать службы для сертификатов, вы должны запомнить две вещи. Первое, операционная система Windows 2008 Server по-прежнему находится в бета тестировании. Поэтому, всегда существует шанс, что то, о чем я вам сейчас рассказываю, изменится к моменту выхода окончательной версии, хотя очень сильные изменения на этом этапе очень нежелательны.
Другая вещь, о которой также необходимо помнить, заключается в том, что вы должны предпринять экстренные меры для обеспечения безопасности вашего корпоративного сертификата. Ко всему прочему, если кто-то завладеет вашим корпоративным сертификатом, то он завладеет вашей сетью. Т.к. эта статья сфокусирована на защите доступа к сети, то я собираюсь показать вам, что необходимо сделать для того, чтобы установить и запустить ваши службы сертификатов. На практике вы должны лучше подумать о конфигурации сервера.
Начнем процесс установки с открытия менеджера сервера операционной системы Windows 2008 Server Manager и выбора настройки Управление ролями из дерева консоли. Далее нажмите на ссылку Добавить роли, которую можно найти в разделе Roles Summary в консоли. В результате этих действий Windows запустит мастера по добавлению ролей. Нажмите на кнопку Next, чтобы пропустить окно приветствия мастера. Теперь вы увидите список всех доступных ролей. Выберите параметр Active Directory Certificate Server из списка. Роли могут располагаться не в алфавитном порядке, поэтому, если это необходимо, прокрутите список до конца, чтобы найти необходимую службу. Для продолжения нажмите на кнопку Next.
После этого вы увидите экран, на котором представлены службы сертификатов и некоторые предупреждения. Нажмите на кнопку Next для того, чтобы пропустить этот экран и перейти к другому окну, на котором вам предлагают выбрать устанавливаемые компоненты. Выберите Certification Authority, а также Certificate Authority Web Enrollment, а затем нажмите на кнопку Next.
После этого вы увидите экран, на котором вас спрашивают, хотите ли вы создать корпоративный сертификат или отдельно стоящий сертификат. Выберите параметр Enterprise Certificate Authority и нажмите на кнопку Next. Далее вас спросят, будет ли этот сервер работать как корневой Root CA или же, как дополнительный Subordinate CA. Т.к. это первый (и единственный) сертификат в вашей лаборатории, то вы должны выбрать параметр Root CA. Для продолжения нажмите на кнопку Next.
Далее мастер спросит вас, хотите ли вы создать новый закрытый ключ или использовать существующий закрытый ключ. Т.к. это всего лишь тестовая установка, поэтому выбираем параметр для создания нового закрытого ключа и нажимает для продолжения на кнопку Next.
В следующем окне вы должны будете выбрать поставщика услуг для шифрования, длину ключ, а также алгоритм хеширования. На практике вы должны с осторожностью подойти к выбору этих параметров. Т.к. мы создаем этот сертификат исключительно в демонстрационных целях, то оставьте все по умолчанию и нажмите на кнопку Next.
На следующем экране у вас будет возможность определить общее название, а также различающийся суффикс для сертификата. Опять оставьте все по умолчанию и нажмите на кнопку Next.
Далее вы увидите окно, в котором вы должны задать срок действия сертификата. По умолчанию этот период составляет 5 лет, что великолепно подходит для наших целей, поэтому просто нажмите на кнопку Next. Далее откроется окно, в котором вы должны указать, где будут располагаться базы данных сертификатов и соответствующие им журналы транзакций (transaction log). В промышленной среде этот выбор необходимо сделать с особой осторожностью в плане безопасности и отказоустойчивости. Т.к. это всего лишь тестовая лаборатория, то просто нажмите на кнопку Next.
Далее вы увидите окно, на котором будут описаны, все выбранные вами настройки. Нажмите на кнопку Install (установить) и операционная система Windows скопирует все необходимы файлы и настроит все службы.