Шаг 3. Планирование развертывания сертификатов OTP

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

После планирования сервера RADIUS необходимо спланировать требования к центру сертификации (CA), включая ЦС, который будет выдавать сертификаты одноразового пароля (OTP), шаблон сертификата OTP и сертификат центра регистрации, используемый сервером удаленного доступа для подписи всех запросов на сертификаты OTP клиента DirectAccess. Эти сертификаты используются следующим образом:

  1. Клиент DirectAccess запрашивает сертификат OTP, а сервер удаленного доступа получает запрос.

  2. Сервер удаленного доступа проверяет учетные данные OTP и, если они действительны, сервер выступает в качестве центра регистрации и подписывает запрос на регистрацию сертификата OTP, используя краткосрочный сертификат подписи.

  3. Сервер удаленного доступа отправляет запрос на регистрацию подписанного сертификата обратно в клиент DirectAccess.

  4. Затем клиент регистрирует сертификат OTP из центра сертификации, используя запросы на регистрацию сертификата, подписанные сервером.

  5. ЦС проверяет учетные данные и запрос.

Задача Описание
3,1. Планирование ЦС OTP Спланируйте центр сертификации (ЦС), который будет использоваться для выдачи сертификатов клиентам DirectAccess для проверки подлинности OTP.
3,2. Планирование шаблона сертификата OTP Спланируйте шаблон сертификата OTP.
3,3. Планирование сертификата центра регистрации Спланируйте сертификат центра регистрации, чтобы подписать все запросы на сертификаты проверки подлинности OTP.

3,1. Планирование ЦС OTP

Чтобы развернуть DirectAccess с помощью одноразовой проверки пароля (OTP), требуется внутренний ЦС для выдача сертификатов проверки подлинности OTP на клиентские компьютеры DirectAccess. Для этой цели можно использовать тот же внутренний ЦС, который используется для выдаче сертификатов, используемых для обычной проверки подлинности компьютеров IPsec.

3,2. Планирование шаблона сертификата OTP

Каждому клиенту DirectAccess требуется сертификат проверки подлинности OTP, чтобы получить доступ к внутренней сети. Для сертификата OTP необходимо настроить шаблон во внутреннем ЦС. При настройке шаблона сертификата OTP Обратите внимание на следующее:

  • Все пользователи, которым требуется выполнить проверку подлинности OTP, должны иметь разрешения на чтение и регистрацию для этого шаблона.

  • Имя субъекта должно быть создано из Active Directory сведений, чтобы имя субъекта совпадало с именем пользователя OTP, а не с именем сервера удаленного доступа, который выполняет запрос сертификата. Имя субъекта должно быть в формате полного различающегося имени, а альтернативное имя субъекта — в формате имени участника-пользователя. Это гарантирует, что зарегистрированный сертификат OTP действителен для проверки подлинности Kerberos на смарт-карте.

  • Целью сертификата должна быть вход с использованием смарт-карты.

  • Для выдачи требуется одна зарегистрированная подпись. Подпись должна быть настроена с помощью предопределенной политики приложения DirectAccess OTP, заданной в шаблоне сертификата для подписи центра регистрации.

  • Срок действия должен быть установлен в один час.

    Примечание

    в случаях, когда сервер цс является компьютером Windows server 2003, шаблон необходимо настроить на другом компьютере. это связано с тем, что установка периода действия в часах невозможна при работе Windows версий до 2008 или Vista. Если на компьютере, используемом для настройки шаблона, не установлена роль службы сертификации или клиентский компьютер, может потребоваться установить оснастку "Шаблоны сертификатов". Для получения дополнительных сведений об этой теме щелкните здесь.

  • Период продления должен быть равен 0.

  • Используемых Сертификаты и запросы не должны храниться в базе данных ЦС.

  • Параметр использования расширенного ключа сертификата должен быть задан правильно, как показано ниже.

    • Шаблон сертификата для подписи регистрации DirectAccess использует ключ 1.3.6.1.4.1.311.81.1.1.

    • Для шаблона сертификата проверки подлинности OTP используйте ключ 1.3.6.1.4.1.311.20.2.2.

3,3. Планирование сертификата центра регистрации

Когда клиенты DirectAccess запрашивают сертификат OTP, сервер удаленного доступа получает запрос от клиента. Сервер удаленного доступа подписывает все запросы сертификатов OTP от клиентов с помощью сертификата центра регистрации. Центр сертификации выдает сертификаты только в том случае, если запрос подписан сертификатом центра регистрации на сервере удаленного доступа. Сертификат должен быть выдан внутренним ЦС, сертификат не может быть самозаверяющим. Он не должен выдаваться центром сертификации, который выдал сертификаты OTP, но ЦС, который выдает сертификаты OTP, должен доверять центру сертификации, который выдает сертификат для подписи центра регистрации.