Конфигуриране на CryptoPro Winlogon в домейн на Windows с помощта на CryptoPro UC

Препис

1 Конфигуриране на CryptoPro Winlogon в домейн на Windows с помощта на CryptoPro UC

2 РЕЗЮМЕ Този документ съдържа описание на процедурите за конфигуриране на софтуер и издаване на сертификати с помощта на CryptoPro CA за използване на CryptoPro Winlogon в домейн на Windows. Информация за разработчика: Crypto-Pro LLC, Москва, ул. Сушевски вал, 16, сграда 5 Телефон: (495) Факс: (495)

4 1. Общи изисквания CryptoPro Winlogon трябва да бъде конфигуриран правилно за работната станция за влизане, домейн и домейн контролери. Домейнът трябва да се доверява на сертифициращия орган (CA), за да удостоверява потребителите, използвайки сертификатите на този CA. Контролерите за работна станция за вход и домейн трябва да имат правилно конфигурирани сертификати. Както при всяко внедряване на PKI, всички участници трябва да се доверят на основния CA, който е подписал сертификата за издаване на CA. Контролерите на домейни и работните станции трябва да се доверят на root CA за влизане. Инсталирането на софтуера и необходимите настройки, за да отговори на тези изисквания, са описани в следващите раздели. 4

11 от всички CA компоненти посочва необходимостта от специална обработка на заявката и сертификата. При създаване на заявка UPN се поставя в заявката в разширението CertTemplate, а след това CA премества съдържанието на това разширение в полето subjectaltname на сертификата Шаблон за сертификат Сертификат на домейн контролер (winlogon) За удобство при издаване на сертификати на контролер на домейн на администраторската работна станция, шаблонът за сертификат е включен в CA. Сертификатът за домейн контролер (winlogon) ... Шаблонът дефинира необходимите EKU за удостоверяване на клиента и удостоверяване на сървъра. Администраторът на Регистрационния център трябва да предостави на привилегирования потребител на CR, отговорен за издаването на такива сертификати чрез работната станция на администратора, правото да издава сертификати с тези стойности на EKU, както и с разширението Име на шаблон на сертификат. За да направите това, трябва: В политиката за обработка на неподписани заявки (разширения) добавете разширението o (OID) към списъка с разрешени разширения на сертификат, името на шаблона за сертификат. В политиката за обработка на неподписани заявки (подобрен ключ) добавете следните стойности към списъка с разрешени употреби на сертификати: o (OID) CryptoPro UC, контролер на домейн (winlogon); o (OID) удостоверяване на клиента; o (OID) удостоверяване на сървъра. Сертификатът на контролера на домейн трябва да има поле subjectaltname, което трябва да включва GUID на домейн контролера и напълно квалифицирано DNS име. За да издаде такъв сертификат, шаблонът включва и специален CryptoPro UC EKU, Domain Controller (winlogon). Този EKU във всички CA компоненти показва необходимостта от специална обработка на заявката и сертификата. Когато се създаде заявка, GUID и DNS името се поставят в заявката в разширението CertTemplate, а след това CA премества съдържанието на това разширение в полето subjectaltname на сертификата. единадесет

12 5. Конфигуриране на домейн контролери За всички контролери на домейни е необходимо да се издават сертификати за публичен ключ, които ще се използват от контролерите за удостоверяване и защита на връзката. За да издадете сертификат и да инсталирате сертификат на домейн контролер, изпълнете следните стъпки: 1. Намерете DNS името и GUID на домейн контролера. За да направите това, на контролера на домейн в контролния панел на компютъра стартирайте панела CryptoPro CSP и в раздела Winlogon щракнете върху бутона Експортиране. Необходимата информация ще бъде поставена в клипборда. Запазете тези данни, например, в текстов файл и отидете на работната станция на администратора. 2. В работната станция на администратора на CryptoPro UC създайте потребител, който ще съответства на контролера на домейна. Посочете допълнителни параметри DNSname и GUID за този потребител (възел Properties в контекстното меню). 3. В работната станция на администратора на CryptoPro UC създайте HTML форма за автономна работа на потребителя, съответстваща на контролера на домейна (възел Всички задачи Създайте HTML форма за автономна работа в контекстното меню). Посочете Сертификат за контролер на домейни (winlogon) като тип заявка за сертификат. Моля, обърнете внимание, че във формуляра трябва да се използва CryptoPro CSP. 4. Прехвърлете създадената HTML-форма на компютъра на домейн контролера и я стартирайте. За да работи формулярът правилно, трябва да разрешите показването на активно съдържание в настройките на Internet Explorer. Създайте заявка за сертификат във формуляра (вижте фигура 5). Не е необходимо да поставяте отметки в квадратчето Подпишете заявката. 12

13 Моля, обърнете внимание, че когато създавате заявка за сертификат с помощта на HTML формуляр, тя трябва да се стартира от локалната директория на компютъра, на който планирате да го попълните. Това изискване се дължи на ограниченията за сигурност на Internet Explorer. Фигура 5. HTML форма за работа офлайн потребители. 5. В приложението на контролния панел CryptoPro CSP, в раздела Winlogon поставете отметка в квадратчето Използвай CryptoPro CSP алгоритми на KDC. 6. Прехвърлете заявката за сертификат на работната станция на администратора и издайте сертификат за съответния потребител при поискване. 7. Прехвърлете сертификата на компютъра на домейн контролера и го инсталирайте, като използвате същия HTML формуляр. 8. Премахнете други сертификати за домейн контролер, ако има такива, от Личното хранилище на локалния компютър и след това го рестартирайте. Повторете горните стъпки за всички контролери във вашия домейн. Ако имате или планирате да внедрите сертифициращ орган на Microsoft в режим Enterprise CA във вашия домейн, тогава трябва да предотвратите автоматичното издаване на сертификати на домейн контролер, който може да попречи на работата на CryptoPro Winlogon. За да направите това, в добавката на Сертифициращия орган изтрийте шаблоните за сертификати за удостоверяване на контролер на домейн и контролер на домейн от списъка с шаблони (вижте фигура 6), за да предотвратите автоматично издаване на сертификати въз основа на тези шаблони. 13

14 Фигура 6. Списък на валидните шаблони за сертификати за Сертифициращия орган. 14.

17 7. Списък на съкращенията AIA CDP CSP DNS EKU GUID OID UPN AWP PKI OS Софтуер SOS CA Достъп до информация за центрове за сертифициране (Достъп до информация на органа) CRL Точка на разпространение Доставчик на криптографски услуги Система за имена на домейни Разширено използване на глобален уникален идентификатор Идентификатор на обект Потребител Основно име Работно място Инфраструктура на публичния ключ PKI Операционна система Сертификати на списъка за отмяна на софтуер (Списък на отменени сертификати CRL) Сертифициращ орган 17

18 8. Списък на фигури Фигура 1. Свойства на модула за политика на CryptoPro UT Фигура 2. Списък с разширения, включени в сертификата Фигура 3. Разрешени стойности на EKU Фигура 4. Диалог на свойствата на центъра за регистрация Фигура 5. HTML форма за автономен потребител работа Фигура 6. Списък на разрешените сертификатни образци на сертификати

19 [CPOCSP] 9. Списък на референтните документи за CryptoPro OCSP сървър. Общо описание. [CPWL] ГЛЕДАНЕ на CryptoPro Winlogon. Описание и сценарии на употреба. [CPWLINST] [PKI] [RFC2560] CryptoPro Winlogon. Инсталиране и внедряване. Бърнет, С., Пейн, С. Криптография. Официалното Ръководство за сигурност на RSA. М.: Бином-Прес, 2002 384 с.: Ил. Myers, M., et al., X.509 Инфраструктура на публичния ключ в Интернет. Протокол за статус на онлайн сертификат - OCSP, IETF, RFC 2560, юни