Занятие 3. Использование Microsoft Certificate Server

(Продолжительность занятия 35 минут)

Microsoft Certificate Server функционирует в качестве службы Windows NT. На этом занятии Вы узнаете, как запустить Certificate Server и как пользоваться его административным инструментарием.

Изучив материал этого занятия, Вы сможете:

• использовать утилиты работы с журналом и очередью Certificate Server;
• установить сертификаты CA.

По умолчанию Certificate Server автоматически запускается при старте операционной системы, однако его можно включить и вручную. Аналогично, хотя выполнение этой службы завершается автоматически по окончании работы операционной системы, ее можно остановить и вручную (независимо от способа, которым она была запущена).

> Ручной запуск или остановка службы

1. В Панели управления дважды щелкните значок Services.

2. Выберите в списке пункт Certificate Authority.

3. Нажмите кнопку Start или Stop, а затем — кнопку Close.

Оформление сертификатов

Certificate Server выдает цифровые сертификаты, обеспечивающие аутентификацию сервера и клиента по протоколу SSL. Процесс получения цифрового сертификата называется оформлением. Он начинается с запроса клиента и заканчивается установкой выданного сертификата в клиентском приложении. В состав Certificate Server входит элемент управления HTML, реализующий формы оформления сертификата. Он упрощает решение следующих задач:

• установку сертификатов СА;
• оформление сертификатов Web-сервера;
• оформление клиентских сертификатов с помощью Microsoft Internet Explorer версии 3.0;
• оформление клиентских сертификатов средствами Netscape Navigator 3.0.

Доступ к элементу управления и его формам Вы можете получить через Web- страницу Certificate Server Administration Tools — http://имя_компьютера/certsrv/.

Оформление сертификата Web-сервера

Страница оформления сертификатов Web-сервера позволяет отправить серверу сертификатов запрос средствами Web-интерфейса. Чтобы сделать это, откройте файл запроса сертификата формата PKCS #10 в редакторе Notepad и через буфер обмена скопируйте его содержимое в текстовое поле Web-страницы оформления запроса (файл запроса сертификата создает утилита Key Manager.) Certificate Server создаст сертификат и вышлет его обозревателю, который сохранит его в виде файла. После этого администратор Internet Information Server может запустить утилиту Key Manager и установить полученный сертификат.

Оформление сертификата клиента

В состав Certificate Server включены средства поддержки оформления клиентских сертификатов с помощью Internet Explorer 3.0 (и более поздних версий), а также Netscape Navigator 3.0. Чтобы получить сертификат клиента с помощью обозревателя, откройте страницу аутентификации клиента и введите идентифицирующую Вас информацию. Создав сертификат, Certificate Server перешлет его обозревателю, который установит сертификат на Вашем компьютере.

Обработка запроса сертификата

Certificate Server предоставляет средства для обработки запросов на сертификаты и для выдачи цифровых сертификатов.

Обработка поступившего запроса проиллюстрирована на рисунке; ее этапы перечислены ниже:

• поступление запроса сертификата — подается клиентом приложению-посреднику, которое форматирует запрос с учетом требований стандарта PKCS #10 и передает ядру сервера;
• принятие запроса — ядро сервера передает запрос модулю стратегии, который, проанализировав свойства запроса, решает вопрос о его правомочности и в случае положительного результата устанавливает дополнительные свойства сертификата.
• формирование сертификата — если запрос принят, ядро сервера формирует окончательный сертификат;
• выдача сертификата — ядро сервера сохраняет сформированный сертификат в хранилище и уведомляет приложение-посредник о статусе запроса; кроме того, ядро сообщает о выдаче сертификата все зарегистрированные выходные модули. Это позволяет выходному модулю выполнить дальнейшие операции — например, разместить сертификат в службе каталогов. Тем временем брокер получает выданный сертификат из хранилища и передает его клиенту.

Создание сертифицирующего органа

Certificate Server позволяет создавать цифровые сертификаты для Web-серверов, клиентов и организаций всем, кто в этом нуждается. Сертифицирующий орган — Certification Authority — проверяет подлинность лица, запрашивающего сертификат, и затем подписывает сертификат своим личным ключом. Этот метод гарантирует, что владелец сертификата действительно тот, за кого он себя выдает.

Прежде чем «поверить» сертификату, клиентское приложение — например, Internet Explorer — проверяет подпись сертифицирующего органа. Если она недействительна или данный сертифицирующий орган не известен клиенту, Internet Explorer предупреждает пользователя и позволяет ему отвергнуть предъявленный сертификат.

Если Вы хотите, чтобы приложения — например, Internet Explorer — доверяли сертификатам, выданным Вашим сервером, Вам нужно объявить его сертифицирующим органом.

СА-сертификаты

Помимо клиентских и серверных сертификатов, Certificate Server может выдавать сертификаты, идентифицирующие сертифицирующие органы (СА).

СА-сертификат содержит открытый ключ, используемый для проверки цифровых подписей. Он идентифицирует сертифицирующий орган, вsдавший сертификаты, серверам и клиентам, требующим такой проверки. Средствами СА-сертификата клиент может проверить правомочность сертификата, предъявленного сервером, и наоборот.

Головной сертифицирующий орган сам подписывает свои СА-сертификаты и удостоверяет правомочность сертификатов младших органов.

Распространение и установка СА-сертификатов

В отличие от сертификатов серверов и клиентов, СА-сертификаты не запрашиваются и не выдаются. Сертификаты сервера и клиента уникальны для каждого, кто их запрашивает, и поэтому их не предоставляют в совместное использование. Их генерируют и выдают сертифицирующие органы на основании запроса. В отличие от них, для СА-сертификата не требуется выдача по запросу — он создается один раз и становится доступным всем серверам и клиентам, которые требуют его наличия.

Чаще всего сертификаты СА распространяют, размещая в известных и доступных местах.

Web-страница СА-сертификатов

Web-обозреватели получают и устанавливают СА-сертификаты, выбирая их из списка доступных сертификатов на соответствующей Web-странице. Эта страница создается мастером конфигурации и хранится вместе с СА-сертификатами в папке Shared (общая папка Certificate Server); кроме того, она доступна с Web-страницы Certificate Server по умолчанию (http:.//имя_компьютера/сеrtsrv/).

Установка СА-сертификатов в обозревателе

Каждый обозреватель, который обращается к Web-серверу, использующему локально созданный сертификат, должен получить и установить СА-сертификат сертифицирующего органа, выдавшего сертификат сервера. Обозреватель использует СА-сертификат для проверки подлинности сертификата сервера.

Обозреватель Internet Explorer 3.0 и более поздних версий способен устанавливать СА-сертификаты с помощью Web-страницы Certificate Authority Certificate List, находящейся в папке Shared.

Установка СА-сертификатов на сервере

Вам придется получить и установить СА-сертификаты органов, выдающих клиентские сертификаты, на серверы, которые должны выполнять аутентификацию кли-i ентов. СА-сертификат необходим серверу для проверки подлинности сертификата клиента.

Internet Information Server использует СА-сертификаты, которые хранятся в том же разделе реестра, что и параметры Internet Explorer. Установка СА-сертификатов на сервере Internet Information Server с помощью Internet Explorer ничем не отличается от аналогичной процедуры для клиентского сертификата.

Netscape Enterprise Server позволяет установить СА-сертификат органа, выдавшего сертификат сервера, при установке сертификата сервера.

Примечание Netscape FastTrack Server не снабжен средствами установки новых СА-сертификатов Microsoft Certificate Server, поэтому он не может участвовать в аутентификации сервера или клиента посредством локально созданных сертификатов.

Средства администрирования

Certificate Server ведет базу данных сервера, состоящую из двух частей: очереди и журнала. В журнале сервера регистрируются все запросы сертификатов, поступившие в очередь, а также копии всех выданных сертификатов. Certificate Server снабжен средствами администрирования, предназначенными для просмотра базы данных сервера и управления ею.

Средства администрирования Certificate Server используют Web-интерфейс; они доступны на Web-странице Certificate Server Administration Tools. Здесь представлены две утилиты: администрирования журнала (Certificate Administration Log Utility) и очереди (Certificate Administration Queue Utility).

Администрирование журнала сервера сертификатов

Утилита Certificate Administration Log Utility создает Web-страницы, позволяющие администратору управлять сертификатами и списками отзыва в журнале сервера. При запуске этой утилиты обозреватель открывает страницу администрирования журнала (Certificate Log Administration). По умолчанию на странице отображается начало списка сертификатов, хранящихся в журнале сервера. Каждая строка представляет собой одну запись базы данных; порядок строк соответствует порядку создания сертификатов.

Ссылка Form View на Web-странице Certificate Log Administration предназначена для просмотра выбранного сертификата. Другой способ — щелкнуть ссылку на сертификат в крайнем левом столбце списка или дважды щелкнуть строку сертификата.

Ссылка Filter на Web-странице Certificate Form Viewer позволяет ввести критерий для отбора сертификатов. Щелкните ссылку Apply, чтобы применить созданный критерий отбора, после чего, щелкнув ссылку List View, Вы получите список сертификатов, отвечающих заданному критерию.

> Отзыв сертификата

1. Запустите утилиту Certificate Administration Log Utility со страницы http:// имя_компьютера/сertsrv. Обозреватель откроет окно со списком сертификатов из журнала сервера.
2. Если нужный сертификат присутствует на текущей странице, выберите его. Если же сертификата на данной странице нет, щелкайте ссылку » до тех пор, пока не появится страница с нужным сертификатом. Сертификат отображается с помощью формы.
3. Щелкните Revoke Certificate, чтобы отозвать сертификат, после чего щелкните Requery. В столбце RevokedWhen для данного сертификата будет указано время отзыва.

Примечание Certificate Server включает Web-адрес списка отозванных сертификатов в любой создаваемый сертификат. Приложение, проверяющее сертификат, должно самостоятельно обратиться к списку отзыва и выяснить, не отозван ли он.

Администрирование очереди сервера сертификатов

Утилита Certificate Administration Queue Utility создает Web-страницы, позволяющие администратору управлять запросами, находящимися в очереди сервера. При запуске этой утилиты обозреватель открывает Web-страницу Certificate Server Queue Administration. По умолчанию она содержит список запросов, находящихся в очереди сервера. Каждая строка представляет одну запись базы данных запросов; порядок строк соответствует порядку поступления запросов.

Ссылка Form View на Web-странице Certificate Server Queue Administration предназначена для просмотра данных выбранного запроса. Кроме того, можно щелкнуть ссылку на запрос в крайнем левом столбце списка или дважды щелкнуть строку с информацией о запросе. Web-страница отобразит данные выбранного запроса в виде формы.

Ссылка Filter на Web-странице Certificate Server Queue Administration Form Viewer позволяет ввести критерий для отбора запросов. Щелкните ссылку Apply, чтобы применить созданный критерий отбора, после чего, щелкнув ссылку List View, Вы вернетесь на Web-страницу Certificate Server Queue Administration и увидите список запросов, отвечающих заданному критерию.

Упражнение

При выполнении этого упражнения Вам понадобится файл ключа, созданный при выполнении упражнения главы 9, «Применение средств защиты Windows NT и Internet Information Server». Сначала Вы отправите запрос серверу сертификатов Microsoft Certificate Server.

> Открытие страницы обслуживания сертификатов

1. Запустите Internet Explorer.
2. Откройте ресурс по адресу http://localhost/certsrv/.
3. Щелкните Certificate Enrollment Tools.
4. Щелкните Process Certificate Request.
5. Скопируйте текст, расположенный между приведенными ниже строками (включая и их):

   —BEGIN NEW CERTIFICATE REQUEST—

   —END NEW CERTIFICATE REQUEST—

6. Вернитесь в обозреватель и вставьте содержимое файла запроса сертификата на страницу Web Server Enrollment.
7. Щелкните Submit Request.

   ---

   Примечание Если на экране появится диалоговое окно Security Alert, щелкниге кнопку Yes.

   ---

   Появится Web-страница, извещающая о поступлении сертификата. Если вместо этого Вы увидите сообщение об ошибке, это, скорее всего, означает, что Вы забыли строки, обрамляющие запрос (см. пункт 5). Если это так, повторите пункты 5-7.

8. Щелкните Download. Появится диалоговое окно загрузки файла.
9. Установите переключатель Save this file to disk и нажмите ОК. Появится диалоговое окно Save As.
10. Сохраните файл под именем Newcert.cer в папке C:\Cert.
11. Нажмите ОК.
12. Закройте Internet Explorer.
13. Закройте Notepad.

Теперь Вы проверите установленный файл Newkey.cer с помощью утилиты Key Manager.

> Запуск Key Manager

1. В окне Microsoft Management Console щелкните правой кнопкой узел Default Web Site.
2. Выберите в контекстном меню команду Properties.
3. Откройте вкладку Directory Security.
4. В группе Secure Communications нажмите кнопку Edit.
5. Выберите Key Manager. Появится окно Key Manager.
6. Выберите папку WWW.
7. В папке WWW выберите Certkey.
8. Щелкните правой кнопкой Certkey, после чего выберите Install Key Certificate. Появится диалоговое окно Open.
9. В папке C:\Cert дважды щелкните файл Newcert.cer. Появится предложение подтвердить пароль.
10. Введите пароль, присвоенный Вами этому файлу (password).

    ---

    Примечание Этот пароль был использован при выполнении упражнения главы 9, «Применение средств защиты Windows NT и Internet Information Server».

    ---

11. Нажмите ОК. Появится диалоговое окно Server Bindings.
12. Нажмите ОК. Обратите внимание на информацию о статусе сертификата в правой панели Key Manager (сертификат должен иметь статус Complete and Usable).
13. Закройте Key Manager. Появится диалоговое окно с просьбой подтвердить внесенные изменения.
14. Нажмите Yes.
15. Нажмите OK, чтобы закрыть окно Secure Communications.
16. Нажмите OK, чтобы закрыть диалоговое окно Default Web Site Properties.

В следующей части упражнения Вы включите режим установления защищенных соединений.

> Включение режима установления защищенных соединений

1. В окне Microsoft Management Console щелкните правой кнопкой узел Default Web Site.
2. В контекстном меню выберите команду Properties.
3. Откройте вкладку Directory Security.
4. В разделе Secure Communications нажмите Edit.
5. Установите флажок Require secure channel when accessing this resource.
6. Нажмите ОК.
7. Еще раз нажмите ОК. Появится диалоговое окно Inheritance Overrides.
8. Нажмите ОК.

Теперь Вы проверите применение сертификата при создании защищенного соединения (для этого префикс http:// указателя ресурса нужно заменить на https://). Сначала Вы убедитесь, что Ваш сертификат еще не активизирован, а затем перезагрузите компьютер и установите защищенное соединение.

> Открытие и проверка сертификата с помощью обозревателя

1. Запустите Internet Explorer.
2. В поле Address введите адрес http://localhost/certsrv/. Вы должны получить сообщение об ошибке.
3. В поле Address введите адрес https://localhost/certsrv/. Вы получите сообщение об ошибке, информирующее, что для доступа к этой странице необходимо защищенное соединение.
4. Нажмите No.
5. Закройте Internet Explorer.
6. Перезагрузите компьютер.

Теперь Вы установите сертификат с сервера.

> Отмена режима установки защищенного соединения

1. В окне Microsoft Management Console щелкните правой кнопкой узел Web Site.
2. В контекстном меню выберите команду Properties.
3. Откройте вкладку Directory Security.
4. В разделе Secure Communications нажмите Edit.
5. Сбросьте флажок Require secure channel when accessing this resource.
6. Нажмите ОК.
7. Еще раз нажмите ОК. Появится диалоговое окно Inheritance Overrides.
8. Нажмите ОК.
9. Закройте Internet Service Manager.
10. Перезагрузите компьютер.

> Запрос сертификата клиента

1. Запустите Internet Explorer.
2. В поле Address введите адрес http://localhost/certsrv/.
3. Щелкните ссылку Certificate Enrollment Tools.
4. Щелкните ссылку Request a Client Authentication Certificate.
5. Заполните форму Certificate Enrollment Form.
6. Щелкните кнопку Submit Request. Если появится предупреждение системы защиты, нажмите кнопку Yes. Появится страница загрузки сертификата.
7. Нажмите Download.
8. Появится диалоговое окно Root Certificate Store.
9. Нажмите Yes.
10. Нажмите ОК.
11. Закройте Internet Explorer.

> Повторная активизация защищенного канала связи

1. В окне Microsoft Management Console щелкните правой кнопкой узел Default Web Site.
2. В контекстном меню выберите команду Properties.
3. Откройте вкладку Directory Security.
4. В разделе Secure Communications нажмите Edit.
5. Установите флажок Require secure channel when accessing this resource.
6. Нажмите ОК.
7. Еще раз нажмите ОК.
8. Если появится диалоговое окно Inheritance Overrides, нажмите кнопку ОК.

> Открытие и проверка сертификата с помощью обозревателя

1. Запустите Internet Explorer.
2. В поле Address введите адрес http://localhost/certsrv/. Вы должны получить следующее сообщение об ошибке: 403.4 Forbidden: SSL required.
3. В поле Address введите адрес https://localhost/certsrv/. Так как Вы установили сертификат, процедура завершится успешно и Вы увидите страницу Microsoft Certificate Server.

Резюме

Microsoft Certificate Server функционирует как служба Windows NT и по умолчанию запускается автоматически при старте операционной системы. Microsoft Certificate Server выдает цифровые сертификаты, которые обеспечивают аутентификацию клиентов и серверов по протоколу SSL. Процесс выдачи сертификата начинается с отправки клиентом соответствующего запроса и заканчивается установкой выданного сертификата в приложении клиента. Очередь и журнал сервера составляют базу данных сервера Certificate Server. Очередь сервера содержит сведения обо всех полученных запросах сертификатов, а в журнале хранятся копии всех выданных сертификатов. Для просмотра и управления базой данных сервера служат утилиты Certificate Administration Log Utility и Certificate Administration Queue Utility.