Все значно змінилося за останні 15 років 'і, в якійсь мірі, в кращу сторону. Одним з найбільш значних змін стала віртуалізація робочих станцій і серверів. Використовуючи такі інструменти, як VMware або Microsoft Hyper-V, ми тепер можемо купувати сервери середньої потужності на базі процесора Nehalem з 16Гб + оперативної пам'яті і виконувати дуже складні тести, які можуть дійсно симулювати наші фізичні установки.
Однак все ще існують моменти, які можуть викликати проблеми при роботі з тестової середовищем, і інфраструктура відкритих ключів (PKI) завжди очолює цей список. Інфраструктура відкритих ключів (Public Key Infrastructure) є важливим моментом в будь-який тестової середовищі, оскільки сертифікати використовуються в багатьох ситуаціях при тестуванні продуктів і технологій Microsoft. Одним з найбільш складних аспектів інфраструктури PKI є доступність списку відкликання сертифікатів (certificate revocation list - CRL). Суть в тому, що деяким рішенням потрібно успішна перевірка CRL, а деяким ні. Проблема полягає в тому, що в документації Microsoft не завжди йдеться про те, під який випадок підпадає та чи інша ситуація, тому доводиться гадати, чи така перевірка чи ні (або і того гірше, виконувати весь процес конфігурації, щоб, врешті-решт, виявити , що рішення не працює).
Одним з підходів до відключення збоїв перевірки CRL є видалення всіх посилань на CRL точку поширення в сертифікатах, що надаються клієнтам. Коли це робиться, CRL перевірки не будуть безуспішними, оскільки ніде перевіряти. Звичайно, це знижує ступінь безпеки, тому в більшості випадків в середовищі підприємства такий варіант не підходить, але в тестових середовищах, в яких довірчі відносини не є проблемою, є кілька способів зробити це.
Якщо потрібно, щоб функція CRL перевірки в своєму середовищі, ви можете створити свою власну точку поширення сертифікатів, яка може використовуватися в тестовому середовищі, а потім налаштувати сервер сертифікації на включення цих точок розподілу CRL DP в видаються їм сертифікати.
Спочатку ми розглянемо два способи відключення перевірки CRL.
Відключення перевірки CRL
В консолі центру сертифікації натискаємо правою клавішею на імені сервера в лівій панелі і вибираємо Властивості (Properties).
Натисніть на третьому записі в списку. Переконайтеся, що наступні опції НЕ відзначені галочками: Включити в CRL. Клієнти використовують дані для пошуку в розміщених Delta CRL. (Include in CRL. Clients use this to find Delta CRL locations). Включати в CDP-розширення виданих сертифікатів (Include in the CDP extension of issued certificates) і включати в розширення IDP виданих CRL (Include in the IDP extension of issued CRLs).
Натисніть на четвертій записи. Переконайтеся, що опції, показані на малюнку нижче, не зазначені прапорцями.
Натисніть OK після внесення змін. Можливо, вам доведеться перезапустити службу сертифікатів (Certificate Services) 'якщо так, зробіть це.
Вищенаведена процедура дозволяє налаштувати службу так, що всі сертифікати видаються ЦС, будуть виключати цю інформацію. Але, можливо, вам потрібно буде зробити це тільки для певного шаблону сертифіката, а не для всі сертифікатів, які видаються ЦС. В цьому випадку ви можете створити і налаштувати шаблон сертифікату на виключення CRL DP інформації з сертифікатів, які видаються за допомогою цього шаблону.
Щоб подивитися, як це працює, натисніть меню Пуск (Start) і в полі Виконати введіть MMC. потім натисніть ENTER.
У новій консолі MMC натисніть меню Файл (File) і виберіть Додати або видалити оснастку (Add / Remove Snap-in) 'Додати оснащення Шаблони сертифікатів (Certificate Templates). як показано на малюнку нижче.
В консолі Шаблони сертифікатів (Certificate Templates) натисніть на розділі Шаблони сертифікатів в лівій панелі. У правій панелі консолі натисніть правою клавішею на шаблоні сертифіката і виберіть Властивості (Properties).
Створення CRL точки розповсюдження для своєї тестової середовища
Якщо потрібно, щоб функція перевірки CRL в своєму середовищі, ви можете створити власні точки поширення, які можна використовувати в тестовому середовищі, після чого ви зможете налаштувати сервер сертифікації на включення цих CRL DP в видаються їм сертифікати. Першим кроком буде настройка ЦС на звернення до точки розповсюдження CRL Distribution Point, яку ми створимо. Другим кроком буде створення CRL DP і публікація CRL в CRL DP
Почнемо з налаштування параметрів точки розповсюдження CRL Distribution Point в Центрі сертифікації. Оскільки кроки по налаштуванню ЦС і самої точки поширення дуже докладні і точні, ми скористаємося покроковим підходом, щоб нічого не упустити.
- Тепер натисніть Да (Yes). щоб перезавантажити службу Active Directory Certificate Services.
- Закрийте консолі Центру сертифікації.
Тепер давайте створимо точку Web-based CRL Distribution Point на машині, де потрібно розташувати CRL. Ми створимо веб точку CRL Distribution Point, щоб клієнти могли отримувати доступ до CRL через HTTP підключення.
- На машині, де потрібно розташувати CRL, натисніть меню Пуск і наведіть курсор на рядок Адміністрування. Виберіть диспетчера Internet Information Services (IIS) Manager.
- У лівій панелі консолі перейдіть до
# 92; Sites # 92; Default Web Site. Натисніть правою клавішею на Default Web Site і виберіть Додати віртуальний каталог (Add Virtual Directory).
- У діалозі додавання віртуального каталогу в текстовому полі Ім'я користувача (Alias) введіть CRLD (це може будь-яке ім'я, ми вибрали CRLD). Потім в полі Фізичний шлях (Physical path) натисніть кнопку пропуску '' '.
- У діалозі Огляд папок (Browse for Folder) виберіть запис Локальний диск (С :) (Local Disk (C :) і натисніть Створити нову папку (Make New Folder).
- Введіть CRLDist як ім'я папки і натисніть ENTER. Натисніть OK в діалозі Огляд папок.
- У середній панелі консолі двічі натисніть на Огляд каталогів (Directory Browsing).
- У правій панелі консолі натисніть Увімкнути (Enable).
- У правій панелі консолі натисніть Застосувати.
- Закрийте консоль Internet Information Services (IIS) Manager.
Тепер нам потрібно налаштувати дозволу для CRL Distribution Point File Share. Тут ми налаштуємо дозволу файлового ресурсу для створеної папки CRL Distribution Point.
- На комп'ютері, що містить CRL DP, натисніть меню Пуск і Комп'ютер (Computer).
- Двічі натисніть Локальний диск (C :).
- У правій панелі провідника Windows Explorer натисніть правою клавішею на папці CRLDist і виберіть Властивості.
- У діалозі властивостей CRLDist Properties натисніть на вкладку Загальний доступ (Sharing). На вкладці Загальний доступ (Sharing) натискаємо кнопку Розширена настройка загального доступу (Advanced Sharing).
- У діалозі Розширеної настройки загального доступу ставимо прапорець навпроти опції Надати спільний доступ до цієї папці (Share this folder).
- В поле Ім'я загального ресурсу (Share name) додайте # 36; в кінці імені в такий спосіб CRLDist # 36;
- У діалозі Розширеної настройки загального доступу натисніть кнопку Дозволи (Permissions).
- У діалозі Дозволи для CRLDist # 36; натисніть Додати.
- У діалозі Вибір облікових записів користувача, комп'ютера, служби або групи (Select Users, Computers, Service Accounts, or Groups) натисніть кнопку Типи об'єктів (Object Types).
- У діалозі Типи об'єктів відзначте опцію Комп'ютери (Computers) і натисніть OK.
- У діалозі вибрати обліковий запис користувача, комп'ютера, служби або групи в текстовому полі Введіть імена об'єктів для вибору (Enter the object names to select) введіть ім'я комп'ютера, на якому розташований ЦС і натисніть Перевірка імен (Check Names). Натисніть OK.
- У діалозі Дозволи для CRLDist # 36; виберіть ім'я комп'ютера, на якому розташована служба сертифікації (Certificate Services) зі списку Імена груп або користувачів (Group or user names). У розділі Дозволи відзначте опцію Дозволити (Allow) для Повний доступ (Full Control). Натисніть OK.
- У діалозі Розширена настройка загального доступу натисніть OK.
- У діалозі Властивості CRLDist натисніть закладку Безпека (Security).
- У закладці Безпека натисніть кнопку Змінити.
- У діалозі Дозволи для CRLDist натисніть кнопку Додати.
- У діалозі Вибір облікових записів користувачів, комп'ютерів, служб або груп натисніть кнопку Типи об'єктів.
- У діалозі Типи об'єктів поставте прапорець для опції Комп'ютери. Натисніть OK.
- У діалозі Вибір облікових записів користувачів, комп'ютерів, служб або груп в текстовому полі Введіть імена об'єктів для вибору введіть ім'я комп'ютера, на якому розташований ЦС і натисніть Перевірка імен. Натисніть OK.
- У діалозі Дозволи для CRLDist виберіть ім'я комп'ютера, на якому розташована служба сертифікації (Certificate Service) зі списку Імена груп або користувачів. У розділі Дозволи поставте прапорець в стовпці Дозволити для опції Повний доступ (Full control). Натисніть OK.
- Натисніть кнопку Закрити (Close) у діалозі Властивостей CRLDist.
- Закрийте вікно провідника Windows Explorer.
- Закрийте вікно провідника Windows Explorer.
- Закрийте консоль центру сертифікації.