Конфигуриране на CryptoPro Winlogon в домейн на Windows с помощта на CryptoPro UC
Препис
1 Конфигуриране на CryptoPro Winlogon в домейн на Windows с помощта на CryptoPro UC
2 РЕЗЮМЕ Този документ съдържа описание на процедурите за конфигуриране на софтуер и издаване на сертификати с помощта на CryptoPro CA за използване на CryptoPro Winlogon в домейн на Windows. Информация за разработчика: Crypto-Pro LLC, Москва, ул. Сушевски вал, 16, сграда 5 Телефон: (495) Факс: (495)
4 1. Общи изисквания CryptoPro Winlogon трябва да бъде конфигуриран правилно за работната станция за влизане, домейн и домейн контролери. Домейнът трябва да се доверява на сертифициращия орган (CA), за да удостоверява потребителите, използвайки сертификатите на този CA. Контролерите за работна станция за вход и домейн трябва да имат правилно конфигурирани сертификати. Както при всяко внедряване на PKI, всички участници трябва да се доверят на основния CA, който е подписал сертификата за издаване на CA. Контролерите на домейни и работните станции трябва да се доверят на root CA за влизане. Инсталирането на софтуера и необходимите настройки, за да отговори на тези изисквания, са описани в следващите раздели. 4
11 от всички CA компоненти посочва необходимостта от специална обработка на заявката и сертификата. При създаване на заявка UPN се поставя в заявката в разширението CertTemplate, а след това CA премества съдържанието на това разширение в полето subjectaltname на сертификата Шаблон за сертификат Сертификат на домейн контролер (winlogon) За удобство при издаване на сертификати на контролер на домейн на администраторската работна станция, шаблонът за сертификат е включен в CA. Сертификатът за домейн контролер (winlogon) ... Шаблонът дефинира необходимите EKU за удостоверяване на клиента и удостоверяване на сървъра. Администраторът на Регистрационния център трябва да предостави на привилегирования потребител на CR, отговорен за издаването на такива сертификати чрез работната станция на администратора, правото да издава сертификати с тези стойности на EKU, както и с разширението Име на шаблон на сертификат. За да направите това, трябва: В политиката за обработка на неподписани заявки (разширения) добавете разширението o (OID) към списъка с разрешени разширения на сертификат, името на шаблона за сертификат. В политиката за обработка на неподписани заявки (подобрен ключ) добавете следните стойности към списъка с разрешени употреби на сертификати: o (OID) CryptoPro UC, контролер на домейн (winlogon); o (OID) удостоверяване на клиента; o (OID) удостоверяване на сървъра. Сертификатът на контролера на домейн трябва да има поле subjectaltname, което трябва да включва GUID на домейн контролера и напълно квалифицирано DNS име. За да издаде такъв сертификат, шаблонът включва и специален CryptoPro UC EKU, Domain Controller (winlogon). Този EKU във всички CA компоненти показва необходимостта от специална обработка на заявката и сертификата. Когато се създаде заявка, GUID и DNS името се поставят в заявката в разширението CertTemplate, а след това CA премества съдържанието на това разширение в полето subjectaltname на сертификата. единадесет
12 5. Конфигуриране на домейн контролери За всички контролери на домейни е необходимо да се издават сертификати за публичен ключ, които ще се използват от контролерите за удостоверяване и защита на връзката. За да издадете сертификат и да инсталирате сертификат на домейн контролер, изпълнете следните стъпки: 1. Намерете DNS името и GUID на домейн контролера. За да направите това, на контролера на домейн в контролния панел на компютъра стартирайте панела CryptoPro CSP и в раздела Winlogon щракнете върху бутона Експортиране. Необходимата информация ще бъде поставена в клипборда. Запазете тези данни, например, в текстов файл и отидете на работната станция на администратора. 2. В работната станция на администратора на CryptoPro UC създайте потребител, който ще съответства на контролера на домейна. Посочете допълнителни параметри DNSname и GUID за този потребител (възел Properties в контекстното меню). 3. В работната станция на администратора на CryptoPro UC създайте HTML форма за автономна работа на потребителя, съответстваща на контролера на домейна (възел Всички задачи Създайте HTML форма за автономна работа в контекстното меню). Посочете Сертификат за контролер на домейни (winlogon) като тип заявка за сертификат. Моля, обърнете внимание, че във формуляра трябва да се използва CryptoPro CSP. 4. Прехвърлете създадената HTML-форма на компютъра на домейн контролера и я стартирайте. За да работи формулярът правилно, трябва да разрешите показването на активно съдържание в настройките на Internet Explorer. Създайте заявка за сертификат във формуляра (вижте фигура 5). Не е необходимо да поставяте отметки в квадратчето Подпишете заявката. 12