Active Directory Certificate Services в Windows server 2016
В рамках установки VMware Horizon 7 и VMware vSphere может потребоваться выпуск SSL сертификатов для инфраструктурных серверов, входящих как в состав Horizon так и для vCenter server и ESXi. Во время установки продуктов VMware чаще всего они выпускают самоподписанные сертификаты и при попытке обращения друг к другу возникает ошибка, говорящая о том, что один сервер не доверяет сертификату, установленному на другом. Для этих целей необходима установка Active Directory Certificate Services, чтобы все установленные SSL сертификаты были выпущены корневым центром сертификации, которому доверяют все находящиеся в домене серверы и компьютеры пользователей VDI. В первой части этой статьи будет описана минимальная установка, которой будет достаточно для установки SSL сертификатов на VMware Connection серверы (в кластерной реализации их будет несколько) и VMware Composer server. Во второй, попробуем показать, как заменить сертификат в vCenter server, для этого потребуется более глубокое погружение в службы vCenter.
Установка AD CA в Windows server 2016 для нужд Horizon 7:
1 — 5 Для установки роли доменного центра сертификации будет использоваться отдельная виртуальная машина, которую необходимо ввести в домен.
6 — 10 Добавление роли Active Directory Sertificate Services, все по умолчанию
11 — 21 Для завершения установки необходимо пройти шаги финальной конфигурации, если у вас лес, состоящий из одного домена, то можно все оставить без изменений.
22 — 23 Теперь появилась возможность запускать консоль управления Certification Authority, которая будет использоваться для дальнейшего выпуска сертификатов для инфраструктурных серверов VMware Horizon 7
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Установка AD CA в Windows server 2016 для нужд vSphere 6:
Установка дополнительных ролей AD CA в Windows server 2016 для замены сертификата vCenter:
В данной статье представлена настройка взаимодействия контроллера SoftWLC с Active Directory, развернутом на Windows Server 2016. А также генерация TSL сертификатов на стороне Windows Server посредством Certificate Services с последующей автоматической выдачей сертификатов пользователям, для авторизации в сети Wi-Fi.
Настройка взаимодействия контроллера SoftWLC с более ранними версиями Windows Server будет отличаться только внешним видом вкладок. Логика и последовательность настройки взаимодействия аналогична.
Перед тем как устанавливать какие либо компоненты на сервер AD, убедитесь что у вас есть актуальный, рабочий бекап.
Ключевые моменты будут выделены на скринах красным цветом.
Схема проксирования
Рассмотрим схему проксирования RADIUS трафика через SoftWLC.
На SoftWLC настроено несколько доменов, в которые заведены точки доступа. SSID можно привязать к определенному домену, и при подключении пользователя к сети Wi-Fi , трафик будет проксироваться на radius сервер который установлен на Windows сервере. Далее AD, согласно настроенных политик проверит сертификат TLS и разрешит подключение к сети Wi-Fi . Чтобы схема работала, нам необходимо:
- Вынести точки доступы в отдельный домен, в нашем случае winad.root
- Настроить Radius proxy на определенный домен
- Настроить AD, Сервер политик сети, Центр сертификации и саму выдачу сертификатов.
- Создаем отдельный домен
2. Выносим ТД в этот домен, и проверяем что SSID закреплен за этим доменом, при необходимости меняем.
Так же это можно посмотреть на самой точке доступа.
3. Настраиваем Raduis proxy v1.13_Проксирование на внешний RADIUS -сервер
# Proxying proxy_auth=1 proxy_domain_regex="winad.root$" proxy_host="ip_address_windows" proxy_port=1812 proxy_secret="eltex"
На этом настройка SoftWLC заканчивается.
Установка AD (Windows Server 2016)
Сначала необходимо установить роль AD и повысить роль сервера до контроллера домена.
В диспетчере серверов нажмите «Добавить роли и компоненты»
Мастер установки напоминает нам о важных моментах на которые необходимо обратить внимание.
В качестве типа установки укажите «Установка ролей или компонентов».
Выбираете ваш сервер из списка.
Не устанавливайте одновременно все роли сервера. Для корректной установки «Центра сертификации» необходимо сначала повысить роль сервера до контроллера домена и только потом устанавливать «Центр сертификации», иначе могут возникнуть некоторые ошибки.
Далее необходимо выбрать роль «Доменные службы Active Directory».
После выбора «Доменные службы Active Directory», появится всплывающее окно, ничего не изменяем и нажимаем «Добавить компоненты».
В установке данных компонентов нет необходимости, нажимаем «Далее»
Мастер установки поясняет некоторые моменты службы AD, нажимаем «Далее»
Подтверждаем установку необходимых средств и модулей, нажимаем «Установить»
Дожидаемся окончания установки, нажимаем «Закрыть»
В настоящий момент на сервере установлена AD, но нет контроллера домена. Нажимаем на флажок рядом с желтым треугольником и повышаем роль сервера.
Далее создадим новый домен в котором будем заводить пользователей.
Выбираем «Добавить новый лес» и вводим имя нового корневого домена.
Запишите и сохраните данный пароль, в некоторых случаях восстановления он жизненно необходим.
В нашем случае мы нажимает «Далее»
Указываем доменное имя NetBIOS
Если вы хотите вынести журналы и путь до базы данных измените данные параметры.
Проверка выставленных параметров для повышения роли, еще раз проверьте что верно указали домен и прочие службы.
Перед началом повышения роли, будет «Проверка предварительных требований».
Если все прошло успешно сервер будет установлен как контроллер домена, и ему понадобится перезагрузка.
Далее установим «Службу политики сети и доступа» и «Службу сертификатов Active Directory».
Мастер установки напоминает нам о важных моментах на которые необходимо обратить внимание.
В качестве типа установки укажите «Установка ролей или компонентов».
Выбираете ваш сервер из списка.
Далее необходимо выбрать роль «Службу политики сети и доступа» и «Службу сертификатов Active Directory».
В обоих случаях жмем «Добавить компоненты» и ничего не изменяем.
В установке данных компонентов нет необходимости, нажимаем «Далее»
Ознакомительная информация о «Службе политики сети», нажимаем «Далее»
Ознакомительная информация о «Службе сертификатов», нажимаем «Далее»
Так как в конце данной статьи мы рассмотрим автоматическую генерацию сертификатов для всех пользователей группы, необходимо установить только центр сертификации.
Подтверждаем установку служб.
Если установка завершилась удачно, закрываем мастер установки.
После установки настроим «Службу сертификации Active Directory».
Лучше не менять учетные данные если на то нет веских причин, нажимаем «Далее»
Так как мы установили только «Центр сертификации», при конфигурировании можем выбрать только его.
Выбираем «ЦС предприятия»
Так как мы устанавливаем ЦС с нуля и у нас нет подчиненных ЦС, он будет являться корневым.
В данном примере мы создадим новый закрытый ключ, так как не планируем поддерживать ранее выданные сертификаты.
Укажем необходимый алгоритм и длину ключа который удовлетворяет нашим параметрам безопасности.
Если необходимо можно изменить имя ЦС, чаще всего это делают если есть подчиненные ЦС, в нашем случае оставим предложенный вариант.
Срок действия сертификата, по истечению которого сертификат будет считаться не действительным.
Настоятельно рекомендую не изменять данные параметры.
Подтверждение перед настройкой, лучше еще раз убедиться во всех заданных значениях.
Если все прошло успешно будет установлен «Центр сертификации».
После того как мы установили необходимые компоненты они отобразятся в «Диспетчере серверов»
Настройка сервера сетевых политик
Выберем второй вариант сценария из списка и нажимаем кнопку «Настройка 802.1Х»
Задаем имя подключения и выбираем «Безопасные беспроводные подключения»
Далее необходимо добавить «RADUIS- клиентов»
Так как сервер SoftWLC будет проксировать RADIUS трафик на AD необходимо указать его адрес и секрет который он будет пересылать.
Нажимаем «Далее»
Так как аутентификацию мы будем осуществлять по сертификату, выбираем данный тип проверки.
Сдесь нам необходимо выбрать группы пользователей на которых будет распространятся данная политика.
В нашей схеме мы добавили группу «Пользователи домена» чтобы каждый пользователь смог подключиться к Wi-Fi по сертификату.
Можно указать несколько груп при необходимости.
В нашем примере настройка управления трафиком рассматриваться не будет.
Завершаем настройку нажав кнопку «Готово»
Создание новых пользователей
В нашем случае домен пустой и необходимо добавить пользователей.
Создаем пользователя
Задаем имя.
Задаем пароль, при необходимости установите соответствующие галочки.
Подтверждаем создание пользователя
После создания пользователя необходимо зайти в него и заполнить поле «Эл. почта», иначе могут возникнуть ошибки при автоматическом получении сертификата.
Создание шаблона сертификата
В Диспетчере серверов перейдите во вкладку «Служба сертификации AD». Кликните правой кнопкой мыши на сервер. В выпавшем списке выберите «Центр сертификации».
Переходим в управление шаблонов
Копируем шаблон пользователя, он уже обладает необходимыми свойствами.
Меняем имя у скопированного шаблона, чтобы в дальнейшем не путаться
Обязательно проверьте что выставлено «Разрешить экспортировать закрытый ключ».
Для автоматической выдачи сертификата, во вкладке безопасность на группе «Пользователи домена» необходимо выставить разрешение «Автоматическая подача заявок»
Добавление шаблона сертификата в оснастку «Шаблоны сертификатов»
После создания шаблона сертификата, его необходимо добавить в оснастку «Шаблоны сертификатов»
Выбираем ранее созданный шаблон
Теперь он должен отобразится в меню «Шаблоны сертификатов»
Настройка групповой политики автоматической выдачи сертификата
Теперь необходимо настроить групповую политику автоматической выдачи сертификата.
Создадим групповую политику выдачи сертификатов.
Политики именуйте по их назначению, чтобы в дальнейшем не запутаться.
После создания политики, выбираем ее в домене и нажимаем «Изменить»
По дереву переходим в «Политики открытого ключа», выбираем «Клиент служб сертификации: автоматическая регистрация» и нажимаем «Свойства»
Меняем модель конфигурации на «Включена»
Выставляем «Обновлять сертификаты, использующие шаблоны сертификатов», затем «Применить» и «ОК»
Сейчас мы добавим группу на которую будет распространятся данная политика.
Теперь необходимо обновить политики на сервере, в «Командной строке» набираем команду
Теперь клиентские хосты, которые введены в домен, при загрузке получат пользовательский сертификат и смогут с его помощью авторизоваться в Wi-Fi сети.
Пример настройки клиента Windows10
После того как мы настроили автоматическую выдачу сертификатов, необходимо проверить был ли он выдан на нашу учетную запись.
Необходимо перейти в хранилище сертификатов, для этого выполните команду mmc.
Затем «Файл», «Добавить или удалить оснастку» выбрать «Сертификаты»
Далее перейти в личное хранилище сертификатов, на скрине ниже видно что сертификат выдан на пользователя «Anton» и был использован шаблон «wifi»
Приступим к настройки подключения к Wi-Fi сети с помощью сертификата:
Перейдем в «Центр управления сетями и общим доступом» и нажмем «Создание и настройка нового подключения или сети»
Выберем «Подключение к беспроводной сети вручную»
Введем SSID к которому хотим подключиться и выберем тип безопасности «WPA2-Enterprise»
Необходимо изменить параметры подключения, чтобы выбрать подключение с использованием TLS
Выбираем метод проверки «Microsoft: смарт-карта или иной сертификат», затем нажимаем кнопу «Дополнительные параметры»
Отмечаем «Укажите режим проверки подлинности» и выбираем «Проверка подлинности пользователя»
Далее подключаемся к нашей сети.
Ранее, я рассказал какими средствами можно управлять в Windows Server Core и как развернуть новый контроллер домена в новом лесу в среде Server core 2016.
1. Введение.
2. Установка Центра Сертификации.
3. Настройка шаблона Центра Сертификации.
4. Запрос сертификата для IIS Web-сервера Центра Сертификации.
5. Привязка сертификата.
6. Конвертация Сертификатов PFX в PEM.
Введение.
Лично я предпочитаю совмещать роль центра сертификации с ролью контроллера домена. Для этого нет каких либо особых причин. Просто их можно совмещать и я их совмещаю. Внедрение интегрированного в AD Центра Сертификации (ЦС) позволяет автоматический распространять сертификат ЦС как доверенный корневой центр сертификации на все вновь добавленные в домен компьютеры.
В последних версиях Windows Server, запрос сертификата осуществляется через оснастку «Сертификаты» добавленную в консоли mmc.exe. Консоль нужно запускать от имени локального администратора, так как тогда появится возможность добавить оснастку «Сертификаты для учетной записи компьютера». Возможность выбора появляется при добавлении оснастки. Сам же запрос сертификата можно инициировать через контекстное меню «Все задачи» для папки «Сертификаты» находящейся в разделе «Личное», как это указано на Рис. №1.
Данная оснастка позволяет запросить сертификат, экспортировать и хранить нужные вам сертификаты. По этой причине установка службы Certification Authority Web Enrollment (Служба регистрации в ЦС через Интернет) необходима только для Microsoft Exchange сервера. (Хотя, быть может, я просто не знаю как это правильно теперь делать. Буду рад если подскажете.) В остальных случаях достаточно установить только службы:
Кроме того, начиная с Chrome 58 и в более поздних версиях, доменное имя и сертификат сайта сопоставляются только по расширению SAN (Subject Alternative Name) поэтому после установки ЦС необходимо включит функцию SAN, выполнив командлет PowerShell
certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2»
отсутствие SAN будет приводить к ошибке сертификата сайта.
К оглавлению.
Установка Центра Сертификации.
Для добавления роли ЦС и установки всех трех служб необходимо выполнить следующий командлет PowerShell.
Import-Module ServerManager Add-WindowsFeature Adcs-Cert-Authority Add-WindowsFeature Adcs-Online-Cert Add-WindowsFeature Adcs-Web-Enrollment
Обычно, установка и настройка ЦС осуществляется с настройками по умолчанию. Посмотреть настройки по умолчанию можно при помощи следующего командлета
Install-AdcsCertificationAuthority -whatIf
Результат выполнения командлета приведен на Рис. №2.
Если вас устраивают настройки по умолчанию вы можете завершить установку следующим командлетом PowerShell, в противном случае указываем дополнительные ключи.
Install-AdcsCertificationAuthority -force Install-AdcsWebEnrollment -force Install-AdcsOnlineResponder -force
Далее не забываем включить функцию SAN.
certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2»
К оглавлению.
Настройка шаблона Центра Сертификации.
После установки ЦС необходимо настроить шаблоны выдаваемого сертификатов в ЦС. Данная настройка осуществляется через оснастку в Server Manager — Центр Сертификации, как это показано на рис. №3.
В консоли «Консоль шаблонов Сертификатов» копируем шаблон «Веб-Сервер» (Рис. №4) и задаем имя для копии, например, «Web-Server». Далее, нам необходимо задать следующие свойства шаблона:
После того как шаблон настроен и сохранен, возвращаемся в оснастку ЦС в раздел «Шаблоны Сертификатов» и по контекстному меню создаем выдаваемый шаблон сертификата, где указываем созданный нами шаблон сертификата.
К оглавлению.
Запрос сертификата для IIS Web-сервера Центра Сертификации.
Если мы производили установку службы Certification Authority Web Enrollment (Служба регистрации в ЦС через Интернет), на сервере был установлен IIS сервер. Поэтому для данного Web сервера нам необходимо:
Для того что бы запросить и установить сертификат от имени контроллера домена на котором установлен ЦА, мы можем запустить оснастку «Сертификаты для учетной записи компьютера» и подключить ее к контроллеру домена. Далее инициируем запрос сертификата как это показано на рис. № 1.
По мере прохождения мастера «Запрос Сертификата», нам будет предоставлен список доступных шаблонов для запроса сертификата (Рис. 6) где кликнув по ссылке мы можем заполнить необходимые поля шаблона для заявки сертификата.
По сути, в заявке нам необходимо указать лишь два поля: «Общее Имя» и «Служба DNS» (Рис. 7). Для этих полей указывается полное DNS-имя сервера, которое мы будем указывать в браузере при обращении к серверу.
Для личного удобства и во избежания путаницы рекомендуется на вкладке «Общие» указать «Понятное Имя» и «Описание».
После того как поля заполнены, можно сохранить и отправить запрос. Сертификат должен появиться в разделе «Личные» оснастки «Сертификаты для учетной записи компьютера». Двойной щелчок позволит просмотреть свойства сертификата и убедиться в его «работоспособности». Экспортировать сертификат можно через контекстное меню для этого сертификата, в списке «Все Задачи».
К оглавлению.
Привязка сертификата.
После того как сертификат запрошен и установлен, нам необходимо настроить Web сервер IIS на использование данного сертификата. А именно привязать сертификат к сайту службы Certification Authority Web Enrollment (Служба регистрации в ЦС через Интернет). Для этого нам необходимо импортировать модуль Веб Администрирования и указать локацию IIS.
PS C:> Import-Module WebAdministration PS C:> Set-Location IIS: PS IIS:>
Далее нам необходимо узнать Thumbprint запрошенного нами сертификата для DC1.contoso.ru. Для этого выполняем следующий командлет
PS IIS:> dir cert:localmachinemy PSParentPath: Microsoft.PowerShell.SecurityCertificate::localmachinemy Thumbprint Subject ---------- ------- 7F305071F7163D8342202D1798C5F9A07064CA3A CN=Сontoso-CA, DC=contoso, DC=ru 7B93F59D2F3DF51BC0E77B1DBABC521FBF78AA2E CN=DC1.contoso.ru
Далее создаем привязку и смотрим коллекцию привязок.
PS IIS:> New-WebBinding -Name "Default Web Site" -IP "*" -Port 443 -Protocol https PS IIS:> Get-WebBinding 'Default Web Site' protocol bindingInformation -------- ------------------ http *:80: https *:443:
И наконец назначаем сертификат привязке. Для этого запрашиваем сертификат по его значению Thumbprint и по конвейеру назначаем сертификат.
PS IIS:> cd SslBindings PS IIS:SslBindings> dir IP Address Port Host Name Store Sites ---------- ---- --------- ----- ----- 0.0.0.0 443 MY Default Web Site PS IIS:SslBindings> get-item cert:LocalMachineMY7B93F59D2F3DF51BC0E77B1DBABC521FBF78AA2E | new-item 0.0.0.0!443
Если мы хотим отключить доступ к серверу по HTTP протоколу, нам необходимо удалить WebBinding для 80 порта. Для этого выполняем следующий командлет и в конце перегружаем сервер IIS.
PS IIS:SslBindings> Remove-WebBinding -Name "Default Web Site" -IP "*" -Port 80 -Protocol http PS IIS:SslBindings> Get-WebBinding 'Default Web Site' protocol bindingInformation sslFlags -------- ------------------ -------- https *:443: 0 PS IIS:> iisreset /restart
К оглавлению.
Конвертация Сертификатов .PFX в PEM.
Напоследок хочу привести команды Open SSL для конвертации сертификатов .pfx в формат PEM. Данная конвертация потребуется для установки сертификатов на Unix Веб-сервера. Open SSL присутствует по умолчанию на любой машине FreeBSD или его можно скачать и установить для Windows.
openssl pkcs12 -in msk-rt-01.pfx -out msk-rt-01.crt -nokeys openssl pkcs12 -in msk-rt-01.pfx -out secret.pem openssl rsa -in secret.pem -out msk-rt-01.key
К оглавлению.
Please donate this project.
Поддержите проект.
Все авторское программное обеспечение, опубликованное на данном сайте, распространяется на условиях Donationware, при условии сохранения ссылки на данный сайт внутри кода. Полное или частичное копирование публикаций разрешается только при наличии явной ссылки на копируемую публикацию.