Планирование использования проверки подлинности на основе сертификатов

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Иногда устройство не может присоединиться к домену Active Directory и поэтому не может использовать проверку подлинности Kerberos V5 с учетными данными домена. Однако устройство по-прежнему может участвовать в изолированном домене с помощью проверки подлинности на основе сертификатов.

Сервер не доменных членов и клиенты, которые должны иметь возможность с ним общаться, должны быть настроены на использование криптографических сертификатов на основе стандарта X.509. Эти сертификаты можно использовать в качестве альтернативного набора учетных данных. Во время переговоров по IKE каждое устройство отправляет копию сертификата на другое устройство. Каждое устройство проверяет полученный сертификат, а затем проверяет его подлинность. Чтобы считаться подлинным, полученный сертификат должен быть проверен сертификатом сертификации в хранилище доверенных корневых сертификационных органов получателя на локальном устройстве.

Сертификаты можно приобрести у коммерческих фирм или внутреннего сервера сертификатов, настроенного в рамках инфраструктуры общедоступных ключей организации (PKI). Корпорация Майкрософт предоставляет полное решение PKI и сертификации с Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008 Active Directory Certificate Services (AD CS).

Развертывание сертификатов

Независимо от того, как вы приобретаете сертификаты, необходимо развернуть их для клиентов и серверов, которые требуют их для общения.

Использование служб сертификатов Active Directory

Если вы используете AD CS для создания собственных сертификатов пользователей и устройств, то серверы, назначенные в качестве органов сертификации (CAs), создают сертификаты на основе шаблонов, разработанных администратором. Затем AD CS использует групповую политику для развертывания сертификатов на устройствах-членах домена. Сертификаты устройства развертываются при старте устройства участника домена. Пользовательские сертификаты развертываются при входе пользователя в систему.

Если вы хотите, чтобы устройства, не включанные в домен, были частью зоны изоляции сервера, которая требует доступа только авторизованных пользователей, не забудьте включить сопоставление сертификатов, чтобы связать сертификаты с определенными учетными записями пользователей. Если сопоставление сертификатов включено, сертификат, выданный каждому устройству или пользователю, содержит достаточно сведений об идентификации, чтобы IPsec могли соответствовать сертификату как учетным записям пользователей, так и устройств.

CS AD автоматически гарантирует, что сертификаты, выданные CAs, доверяются устройствам клиента, помещая сертификаты ЦС в правильное хранилище на каждом устройстве члена домена.

Использование коммерчески приобретенного сертификата для устройств с Windows

Вы можете импортировать сертификаты вручную на каждое устройство, если количество устройств относительно небольшое. Для развертывания нескольких устройств используйте групповую политику.

Сначала необходимо скачать корневой сертификат ЦС поставщика, а затем импортировать его в GPO, который развертывает его в хранилище локального компьютера\Доверенные корневые органы сертификации на каждом устройстве, которое применяет GPO.

Необходимо также импортировать приобретенный сертификат в GPO, который развертывает его в локальном хранилище Computer\Personal на каждом устройстве, которое применяет GPO.

Использование коммерчески приобретенного сертификата для устройств с Windows операционной системой

Если вы устанавливаете сертификаты в операционной системе, не Windows, см. документацию по этой операционной системе.

Настройка IPsec для использования сертификатов

Если у клиентов и серверов есть доступные сертификаты, можно настроить правила безопасности IPsec и подключения, чтобы включить эти сертификаты в качестве допустимого метода проверки подлинности. Метод проверки подлинности требует имени субъекта сертификата, например: DC=com, DC=woodgrovebank, CN=CorporateCertServer. Дополнительно выберите **** включить сопоставление учетных записей сертификата для поддержки использования этих учетных данных для ограничения доступа к пользователям или устройствам, которые являются членами авторизованных групп в решении изоляции сервера.

Начиная с Windows Server 2012, можно настроить критерии выбора сертификата, чтобы выбранный сертификат был выбран и/или проверен. Можно настроить расширенные критерии использования ключей (EKU), а также ограничения имен и отпечатки пальцев сертификата. Это настраивается с помощью кнопки Advanced при выборе сертификатов для метода проверки подлинности в пользовательском интерфейсе или Windows PowerShell.

Далее: документировать зоны