Verificarea revocării certificatului într-un laborator de testare

Totul sa schimbat semnificativ în ultimii 15 ani și, într-o oarecare măsură, spre bine. Una dintre cele mai importante schimbări a fost virtualizarea stațiilor de lucru și a serverelor. Utilizând instrumente cum ar fi VMware sau Microsoft Hyper-V, putem cumpăra acum servere de putere medie bazate pe procesorul Nehalem cu memorie RAM de 16GB + și efectuează teste foarte complexe care pot simula într-adevăr instalațiile noastre fizice.

Cu toate acestea, există încă probleme care pot provoca probleme atunci când se lucrează cu mediul de testare, iar infrastructura cheilor publice (PKI) întotdeauna depășește această listă. Infrastructura cu cheie publică (Infrastructură cu cheie publică) este un punct important în orice mediu de testare, deoarece certificatele sunt utilizate în multe situații atunci când testează produsele și tehnologiile Microsoft. Unul dintre aspectele cele mai complexe ale infrastructurii PKI este disponibilitatea unei liste de revocări a certificatelor (CRL). Concluzia este că unele soluții necesită un CRL de succes, iar altele nu. Problema este că documentația Microsoft nu vă indică întotdeauna situația, de aceea trebuie să vă întrebați dacă acest test este necesar (sau chiar mai rău, pentru a efectua întregul proces de configurare pentru a detecta eventual , că soluția nu funcționează).

O abordare a dezactivării eșecurilor de verificare a CRL este eliminarea tuturor referințelor la punctul de distribuție CRL din certificatele furnizate clienților. După ce se procedează astfel, verificările CRL nu vor fi eșuate, deoarece nu există unde să verificați. Desigur, acest lucru reduce gradul de securitate, astfel încât în ​​majoritatea cazurilor într-un mediu de afaceri această opțiune nu este potrivită, dar în medii de testare în care relațiile de încredere nu sunt o problemă, există mai multe moduri de a face acest lucru.

Dacă nu doriți să dezactivați verificarea CRL în mediul dvs., puteți să creați propriul punct de distribuire a certificatelor care poate fi utilizat în mediul de testare și apoi să configurați serverul de certificare pentru a include aceste puncte de distribuție CRL DP în certificatele pe care le emite.

În primul rând, vom examina două modalități de a dezactiva verificarea CRL.

Dezactivarea verificării CRL

În Consola autorității de certificare, faceți clic dreapta pe numele serverului din panoul din stânga și selectați Proprietăți.

Faceți clic pe a treia intrare din listă. Asigurați-vă că nu sunt bifate următoarele opțiuni: Includeți în CRL. Clienții utilizează datele pentru a căuta CRL-urile Delta. (Includeți în CRL.) Clienții folosesc acest lucru pentru a găsi locațiile CRL Delta. Includerea în extensia CDP a certificatelor emise (Includeți în extensia CDP a certificatelor emise) și Includeți în extensia IDP emisă de CRL (includeți în extensia IDP a CRL emise).

Faceți clic pe intrarea a patra. Asigurați-vă că opțiunile din figura de mai jos nu sunt bifate.

Faceți clic pe OK după efectuarea modificărilor. Este posibil să trebuiască să reporniți Serviciile de certificate "dacă da, faceți acest lucru.

Procedura de mai sus vă permite să configurați serviciul astfel încât toate certificatele emise de CA să excludă aceste informații. Dar, probabil, va trebui să faceți acest lucru numai pentru un anumit șablon de certificat și nu pentru toate certificatele emise de CA. În acest caz, puteți crea și configura un șablon de certificat pentru a exclude informațiile despre CRL DP din certificatele emise de acest șablon.

Pentru a vedea cum funcționează acest lucru, faceți clic pe meniul Start și pe tipul de execuție MMC. apoi apăsați ENTER.

În noua consolă MMC, faceți clic pe meniul Fișier și selectați opțiunea Add / Remove Snap-in. Adăugați modulul snap-in Template-uri. așa cum se arată în figura de mai jos.

În consolă Șabloane de certificate, faceți clic pe Șabloane de certificate în panoul din stânga. În panoul din dreapta al consolei, faceți clic cu butonul din dreapta pe șablonul certificatului și selectați Proprietăți.

Creați un CRL pentru punctul de distribuție pentru mediul dvs. de testare

Dacă nu doriți să dezactivați verificările CRL în mediul dvs., puteți crea puncte de distribuție personalizate pe care le puteți utiliza în mediul de testare și apoi puteți configura serverul de certificare să includă aceste CRL DP în certificatele pe care le emite. Primul pas este să configurați CA pentru a accesa punctul de distribuție CRL Distribution Point, pe care îl vom crea. Al doilea pas este crearea CRL DP și publicarea CRL în CRL DP

Să începem prin configurarea setărilor punctului de distribuție CRL în Autoritatea de Certificare. Deoarece pașii de configurare a CA și a punctului de distribuție în sine sunt foarte detaliați și exacți, vom lua o abordare pas cu pas pentru a nu pierde nimic.

1. Faceți clic pe Da. pentru a reporni serviciile Active Directory Certificate Services.
2. Închideți consolele Autorității de certificare.

Acum, să creăm un punct de distribuție CRL bazat pe Web pe mașina în care trebuie să plasăm CRL. Vom crea un Punct Web de Distribuție CRL, astfel încât clienții să poată accesa CRL prin conexiuni HTTP.

1. Pe mașina în care doriți să plasați CRL, faceți clic pe Start și indicați Instrumente de administrare. Selectați Manager de servicii de informații Internet (IIS).
2. În panoul din stânga al consolei, navigați la Site-uri web # 92; site-ul Web implicit. Faceți clic dreapta pe site-ul Web implicit și selectați Adăugați directorul virtual.

1. În caseta de dialog Adăugați directorul virtual, în caseta text Alias, tastați CRLD (acesta poate fi orice nume, am ales CRLD). Apoi, în câmpul Cale fizice, faceți clic pe butonul "".

1. În caseta de dialog Căutați pentru dosar, selectați intrarea Local Disk (C :) și faceți clic pe Creare folder nou.
2. Tastați CRLDist ca nume de folder și apăsați ENTER. Faceți clic pe OK în caseta de dialog Răsfoiți fișiere.

1. În panoul din mijloc al consolei, faceți dublu clic pe Navigare în director.
2. În panoul din dreapta al consolei, faceți clic pe Activare.

1. În panoul din dreapta al consolei, faceți clic pe Aplicare.

1. Închideți consola Manager Internet Services Information (IIS).

Acum trebuie să configuram permisiunile pentru Partajarea fișierelor de puncte de distribuție pentru CRL. Aici configurăm permisiunile pentru resursele de fișier pentru dosarul CRL distribuit.

1. Pe computerul care conține CRL DP, faceți clic pe Start, apoi pe Computer.
2. Faceți dublu clic pe Local Disk (C :).
3. În panoul din dreapta al Windows Explorer, faceți clic dreapta pe folderul CRLDist și selectați Proprietăți.
4. În caseta de dialog CRLDist Properties, faceți clic pe fila Partajare. În fila Partajare, faceți clic pe butonul Partajare avansată.
5. În caseta de dialog Setări de distribuire avansată, bifați caseta de selectare Partajați acest folder.
6. În câmpul Nume partajare, adăugați # 36; la sfârșitul numelui, după cum urmează: CRLDist # 36;
7. În dialogul Setări de distribuire avansată, faceți clic pe butonul Permisiuni.
8. În dialogul Permisiuni pentru CRLDist # 36; Faceți clic pe Adăugați.

1. În caseta de dialog Selectați utilizatorii, calculatoarele, conturile de servicii sau grupurile, faceți clic pe butonul Tipuri de obiecte.
2. În caseta de dialog Tipuri de obiecte, selectați opțiunea Calculatoare și faceți clic pe OK.
3. În caseta de dialog Selectați utilizatorul, computerul, serviciul sau grupul de cont din Introduceți numele obiectelor pentru a selecta caseta de text, introduceți numele computerului pe care se află CA și faceți clic pe Verifică nume. Faceți clic pe OK.
4. În dialogul Permisiuni pentru CRLDist # 36; selectați numele computerului pe care se află Serviciile de certificate din lista de nume de grup sau de utilizatori. În secțiunea Permisiuni, selectați opțiunea Permiteți control complet. Faceți clic pe OK.

1. În dialogul Setări de distribuire avansată, faceți clic pe OK.
2. În caseta de dialog CRLDist Properties (Proprietăți CRLDist), faceți clic pe fila Security (Securitate).
3. În fila Securitate, faceți clic pe Editați.
4. În caseta de dialog Permisiuni pentru CRLDist, faceți clic pe Adăugați.
5. În caseta de dialog Selectați conturi de utilizatori, computere, servicii sau grupuri, faceți clic pe butonul Tipuri de obiecte.
6. În caseta de dialog Tipuri de obiecte, bifați caseta de validare Calculatoare. Faceți clic pe OK.
7. În caseta de dialog Selectare conturi utilizator, computere, servicii sau grupuri, în Introduceți numele obiectelor pentru a selecta caseta de text, tastați numele computerului pe care se află CA, apoi faceți clic pe Verifică nume. Faceți clic pe OK.
8. În caseta de dialog Permisiuni pentru CRLDist, selectați numele computerului pe care se află serviciul de certificate din lista de nume de grup sau de utilizatori. În secțiunea Permisiuni, bifați caseta de selectare din coloana Permiteți pentru opțiunea Control complet. Faceți clic pe OK.

1. Faceți clic pe butonul Închidere din caseta de dialog CRLDist Properties.
2. Închideți fereastra Windows Explorer.

1. Închideți fereastra Windows Explorer.
2. Închideți consola Autorității de certificare.

concluzie

Articole similare

• Clinica medicală a medicului averbuka - instituții medicale, clinici, laboratoare,

Trimiteți-le prietenilor: