Проектирование доменов и развертывание Active Directory

         

Установка центра сертификации


Центр сертификации (ЦС, СА) — важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. В системе Windows 2000 есть два модуля политик, которые обеспечивают следующие два класса ЦС:

ЦС предприятия

(Enterprise СА) и

изолированный ЦС

(Stand-alone СА). Внутри каждого класса могут быть два типа ЦС:

корневой

(root) и

подчиненный

(subordinate). Модули политик определяют действия, которые должен выполнить ЦС при поступлении запроса на получение сертификата.

В большинстве случаев центры сертификации организованы в иерархическом порядке, где наиболее доверяемый или корневой центр находится на вершине иерархии. В корпоративной сети все остальные ЦС в иерархии являются подчиненными. В корпоративной сети ЦС предприятия имеет максимальное доверие. ЦС предприятия имеют специальный модуль политик, который определяет, как обрабатываются и выпускаются сертификаты. Информация политики из данного модуля хранится в Active Directory, поэтому для инсталляции ЦС предприятия сперва следует установить Active Directory и сервер DNS. Изолированные ЦС имеют очень простой модуль политик и не хранят никакой информации на удаленном сервере, поэтому для инсталляции данного центра не требуется наличие Active Directory.

Для инсталляции собственного ЦС:

1.

Выберите на панели управления значок

Установка и удаление программ

(Add/Remove Programs).



2.

В открывшемся диалоговом окне нажмите кнопку

Добавление и удаление компонентов Windows

(Add/Remove Windows Components). Откроется диалоговое окно

Мастер компонентов Windows

(Windows Components Wizard).

3.

Установите флажок

Службы сертификации

(Certificate Services) и нажмите кнопку

Далее

(Next).

4.

В следующем диалоговом окне необходимо выбрать тип ЦС:

  • корневой ЦС предприятия (Enterprise root CA) — установите переключатель в это положение, если данный ЦС будет выпускать сертификаты для всех устройств, подключенных к сети в организации, и будет зарегистрирован в Active Directory. Данный ЦС являемся корнем в корпоративной иерархии ЦС. Обычно корневой ЦС предприятия выпускает сертификаты только для подчиненных ЦС.



  • подчиненный ЦС предприятия

    (Enterprise subordinate CA) — если у вас уже установлен корневой ЦС предприятия, выберите это положение переключателя. Однако данный ЦС не имеет наивысшего доверия в организации, поскольку он подчиняется корневому ЦС.



  • изолированный корневой ЦС

    (Stand-alone root CA) — данный ЦС устанавливается для выпуска сертификатов за пределами корпоративной сети. Например, требуется установить изолированный корневой ЦС, если этот ЦС не будет участвовать в корпоративном домене и будет выпускать сертификаты для узлов во внешних сетях. Корневой ЦС обычно используется для выпуска сертификатов для подчиненных ЦС.



  • изолированный подчиненный ЦС

    (Stand-alone subordinate CA) — подчиненный ЦС, который выпускает сертификаты для узлов за пределами корпоративной сети.

    5.

    Если вы собираетесь изменить установки шифрования, установите флажок

    Дополнительные возможности

    (Advanced Options).

    6.

    Нажмите кнопку Далее.

    7.

    В следующих диалоговых окнах вам будет предложено указать сведения о вас и о вашей компаний, которые будут занесены в сертификат, выбрать каталог, в котором будет находиться информация сертификатов. Введите необходимую информацию и нажмите кнопку

    Далее.

    8.

    По окончании процедуры инсталляции нажмите кнопку

    Готово

    (Finish).


    Содержание раздела