Меню Рубрики

Установка active directory certificate services 2012

Retifff’s Blog

Мой ИТ блог

Рубрики

Календарь

Апрель 2012

Пн Вт Ср Чт Пт Сб Вс
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30

Архив

Метки

Сертификаты

  • Админские блоги

    Сайты

    Форумы

    IRC-канал сисадминов

    irc.forestnet.org
    #sysadminz.ru:6667 (6662, 6669, 5190)
    Обязательна регистрация:
    /ns register e-mail пароль
    Кодировка UTF-8

    Установка Active Directory Certificate Services (AD CS)

    Этой небольшой статьей я планирую начать цикл статей, посвященных настройке Windows Server 2008 R2. Планируется несколько статей — пошаговых мануалов, таких как миграция с Exchange 2003 на Exchange 2010, публикация сервисов Exchange на TMG, настройка Remote Desktop Services и опять же публикация их на TMG и т.п.

    Мы рассмотрим установку служб сертификации Active Directory (AD CS), так как они мне понадобятся во всех последующих статьях.

    Исходные данные: как всегда, имеется в наличии домен testcompany.local, контроллер домена dc01 под управлением Windows Server 2008 R2, единственный, для тестовой среды достаточно.

    Будет рассматриваться упрощенная модель развертывания служб сертификации, достаточная для большинства небольших и средних организаций, с установкой единственного центра сертификации с типом Enterprise. Для развертывания инфраструктуры с подчиненными центрами сертификации эта статья не подходит. Впрочем, если всё же захочется, в Microsoft Technet всё есть, дерзайте. Также можно ознакомиться со статьей на сайте Вадима Поданса: Обсуждение схем иерархии Certification Authority.

    В тестовой среде я буду устанавливать службы сертификации (AD CS) на контроллер домена, dc01, в реальной же сети, есть варианты. Если поставить на контроллер домена, то корневой сертификат автоматом распространится на все компьютеры домена без каких-либо усилий с вашей стороны. На отдельном сервере придется публиковать его в AD. Редакцию лучше выбрать Windows Server 2008 R2 Enterprise Edition, в которой можно будет создавать свои шаблоны сертификатов, а также там присутсвуют другие возможности, недоступные в редакции Standard. Различия можно увидеть по этой ссылке: http://technet.microsoft.com/en-us/library/cc755071.aspx. Не всем это правда будет нужно, но тем не менее, всегда лучше иметь больше возможностей, чем меньше 🙂

    Запускаем Server Manager > Roles > Add Roles. Запустится визард, в нем на шаге Select Server Roles ставим галку напротив строчки Active Directory Certificate Services и нажимаем кнопку Next:

    На следующем шаге Introduction to Active Directory Certificate Services внимательно читаем, что там написано и нажимаем Next.

    На шаге Select Role Services дополнительно ставим галку Certification Authory Web Enrollment, остальные компоненты нам пока не понадобятся:

    Появится окно с компонентами, которые необходимо добавить для этой роли, в нем нажимаем Add Required Role Services:

    Следующий шаг — Specify Setup Type — выбор типа Certificate Authority, выбираем Enterprise, как планировали выше и нажимаем Next:

    Следующий шаг — Specify CA Type — выбор корневого или подчиненного CA, выбираем корневой естественно, нажимаем Next:

    Далее на шагах Setup Privat Key и Criptography соглашаемся с значениями по умолчанию и переходим к шагу Configure CA Name. Здесь задаем понятное имя нашего корневого центра сертификации, в данном случае TestCompany Root CA:

    На шаге Set Validate Period задаем срок действия сертификата корневого CA, в моем примере можно согласиться с значением по умолчанию в 5 лет, в производственной среде можно сделать побольше, лет 10-15:

    На всех дальнейших шагах соглашаемся с значениями по умолчанию, нажимаем везде Next и на последнем шаге Install:

    Всё, службы сертификации установлены, для того, чтобы в этом убедиться, можете зайти в Administrative Tools > Certification Authority:

    Также можно проверить работу Web-сайтa Certification Authority, для этого нужно в браузере зайти по ссылке: http://dc01/certsrv/

    На этом установка AD CS закончена, можно переходить к более сложным вещам 🙂

    источник

    Active Directory Certificate Services Migration Gu >08/31/2016

  • 6 minutes to read
  • —>

    Applies To: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

    About this guide

    This document provides guidance for migrating a certification authority (CA) to a server that is running Windows Server 2012 R2 from a server that is running Windows Server 2012, Windows Server 2008 R2, Windows ServerВ 2008, Windows ServerВ 2003В R2, or Windows ServerВ 2003.

    Target audience

    Administrators or IT operations engineers responsible for planning and performing CA migration.

    Administrators or IT operations engineers responsible for the day-to-day management and troubleshooting of networks, servers, client computers, operating systems, or applications.

    IT operations managers accountable for network and server management.

    IT architects responsible for computer management and security throughout an organization.

    Supported migration scenarios

    Supported operating systems

    This guide supports migrations from source servers running the operating system versions and service packs listed in the following table. All migrations described in this document assume that the destination server is running Windows Server 2012 R2 as specified in the following table.

    Source server operating system

    Destination server operating system

    Destination server processor

    Windows Server 2012 R2, Server with a GUI only (not Server Core or Minimal Server Interface)

    Windows Server 2012 R2 or Windows Server 2012, Server with a GUI only (not Server Core or Minimal Server Interface)

    Windows Server 2012 R2or Windows Server 2012, Server with a GUI only (not Server Core or Minimal Server Interface) or Windows ServerВ 2008В R2, both full and Server Core installation options

    Windows Server 2012 R2or Windows Server 2012, Server with a GUI only (not Server Core or Minimal Server Interface) or Windows ServerВ 2008В R2, both full and Server Core installation options

    Windows Server 2012 R2or Windows Server 2012, Server with a GUI only (not Server Core or Minimal Server Interface) or Windows ServerВ 2008В R2, both full and Server Core installation options

    WindowsВ ServerВ 2003 with ServiceВ PackВ 2

    Windows Server 2012 R2or Windows Server 2012, Server with a GUI only (not Server Core or Minimal Server Interface) or Windows ServerВ 2008В R2, both full and Server Core installation options

    In-place upgrades directly from Windows Server 2003 with Service Pack 2 or Windows Server 2003 R2 to Windows Server 2012 R2 are not supported. If you are running an x64-based computer, you can upgrade the CA role service from Windows Server 2003 with Service Pack 2 or Windows Server 2003 R2 to Windows Server 2008 or Windows Server 2008 R2 first and then upgrade to Windows Server 2012 R2 or Windows Server 2012.

    What this guide does not provide

    Procedures to upgrade to Windows Server 2012 R2, Windows Server 2012, or Windows ServerВ 2008В R2

    Procedures to migrate additional server roles

    Procedures to migrate additional ADВ CS role services

    In general, migration is not required for the following ADВ CS role services. Instead, you can install and configure these role services on computers running Windows ServerВ 2008В R2 or Windows Server 2012 by completing the role service installation procedures. For information about the impact of CA migration on other ADВ CS role services, see Impact of migration on other computers in the enterprise.

    CA migration overview

    Certification authority (CA) migration involves several procedures, which are covered in the following sections.

    During the migration procedure, you are asked to turn off your existing CA (either the computer or at least the CA service). You are asked to name the destination CA with the same name that you used for the original CA. The computer name, (hostname or NetBIOS name), does not have to match that of the original CA. However, the destination CA name must match that of the source CA. Further, the destination CA name must not be identical to the destination computer name.

    It is possible to install a new PKI hierarchy while still leveraging an existing PKI hierarchy. However, doing so requires designing a new PKI, which is not covered in this guide. For an informal overview of how a dual PKI could work for an organization, see the following Ask DS blog post: Moving Your Organization from a Single Microsoft CA to a Microsoft Recommended PKI.

    Preparing to migrate

    Migrating the certification authority

    Verifying the migration

    Post-migration tasks

    Impact of migration

    Impact of migration on the source server

    The CA migration procedures described in this guide include decommissioning the source server after migration is completed and CA functionality on the destination server has been verified. If the source server is not decommissioned, then the source server and destination server must have different names. Additional steps are required to update the CA configuration on the destination server if the name of the destination server is different from the name of the source server.

    Impact of migration on other computers in the enterprise

    During migration, the CA cannot issue certificates or publish CRLs.

    To ensure that revocation status checking can be performed by domain members during CA migration, it is important to publish a CRL that is valid beyond the planned duration of the migration.

    Because the authority identification access and CRL distribution point extensions of previously issued certificates may reference the name of the source CA, it is important to either continue to publish CA certificates and CRLs to the same location or provide a redirection solution. For an example of configuring IIS redirection, see Redirecting Web Sites in IIS 6.0.

    Permissions required to complete the migration

    To install an enterprise CA or a standalone CA on a domain member computer, you must be a member of the Enterprise Admins group or Domain Admins group in the domain. To install a standalone CA on a server that is not a domain member, you must be a member of the local Administrators group. Removal of the CA role service from the source server has the same group membership requirements as installation.

    Estimated duration

    The simplest CA migration can typically be completed within one to two hours. The actual duration of CA migration depends on the number of CAs and the sizes of CA databases.

    источник

    Установка центра сертификации Install the Certification Authority

    Область применения: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

    Эту процедуру можно использовать для установки служб сертификатов Active Directory (AD CS), чтобы можно было зарегистрировать сертификат сервера на серверах, на которых выполняется сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или оба. You can use this procedure to install Active Directory Certificate Services (AD CS) so that you can enroll a server certificate to servers that are running Network Policy Server (NPS), Routing and Remote Access Service (RRAS), or both.

    • Перед установкой служб Active Directory сертификатов необходимо присвоить компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену. Before you install Active Directory Certificate Services, you must name the computer, configure the computer with a static IP address, and join the computer to the domain. Дополнительные сведения о выполнении этих задач см. в разделе сетевого руководствапо Windows Server 2016 Core. For more information on how to accomplish these tasks, see the Windows Server 2016 Core Network Guide.
    • Для выполнения этой процедуры компьютер, на котором устанавливается AD CS, должен быть присоединен к домену, где установлена служба домен Active Directory Services (AD DS). To perform this procedure, the computer on which you are installing AD CS must be joined to a domain where Active Directory Domain Services (AD DS) is installed.

    Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры. Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

    Чтобы выполнить эту процедуру с помощью Windows PowerShell, откройте Windows PowerShell и введите следующую команду и нажмите клавишу ВВОД. To perform this procedure by using Windows PowerShell, open Windows PowerShell and type the following command, and then press ENTER.

    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

    После установки AD CS введите следующую команду и нажмите клавишу ВВОД. After AD CS is installed, type the following command and press ENTER.

    Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

    Установка служб сертификатов Active Directory To install Active Directory Certificate Services

    Если вы хотите использовать Windows PowerShell для установки служб Active Directory Certificate Services, см. раздел Install-адксцертификатионаусорити для командлетов и необязательных параметров. If you want to use Windows PowerShell to install Active Directory Certificate Services, see Install-AdcsCertificationAuthority for cmdlets and optional parameters.

    Войдите в систему как член группы «Администраторы предприятия» и группу «Администраторы домена корневого домена». Log on as a member of both the Enterprise Admins group and the root domain’s Domain Admins group.

    Откройте диспетчер серверов, щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты. In Server Manager, click Manage, and then click Add Roles and Features. Откроется мастер добавления ролей и компонентов. The Add Roles and Features Wizard opens.

    На странице Перед началом работы нажмите кнопку Далее. In Before You Begin, click Next.

    Страница Перед началом работы мастера добавления ролей и компонентов не отображается, если при предыдущем запуске мастера был установлен флажок Пропустить эту страницу по умолчанию. The Before You Begin page of the Add Roles and Features Wizard is not displayed if you have previously selected Skip this page by default when the Add Roles and Features Wizard was run.

    На странице Выбор типа установки убедитесь, что выбрана Установка ролей или компонентов, затем нажмите кнопку Далее. In Select Installation Type, ensure that Role-Based or feature-based installation is selected, and then click Next.

    На странице Выбор целевого сервера убедитесь, что выбран пункт Выберите сервер из пула серверов. In Select destination server, ensure that Select a server from the server pool is selected. На странице Пул серверов проверьте, что выбран локальный компьютер. In Server Pool, ensure that the local computer is selected. Нажмите кнопку Далее. Click Next.

    В окне Выбор ролей серверав списке роливыберите Active Directory службы сертификации. In Select Server Roles, in Roles, select Active Directory Certificate Services. Когда появится запрос на добавление необходимых компонентов, щелкните Добавить компоненты, а затем нажмите кнопку Далее. When you are prompted to add required features, click Add Features, and then click Next.

    В окне Выбор компонентовнажмите кнопку Далее. In Select features, click Next.

    В Active Directory службах сертификациипрочтите предоставленные сведения и нажмите кнопку Далее. In Active Directory Certificate Services, read the provided information, and then click Next.

    На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить. In Confirm installation selections, click Install. Не закрывайте мастер в процессе установки. Do not close the wizard during the installation process. После завершения установки щелкните настроить Active Directory службы сертификатов на целевом сервере. When installation is complete, click Configure Active Directory Certificate Services on the destination server. Откроется мастер настройки служб сертификатов Active Directory. The AD CS Configuration wizard opens. Прочтите учетные данные и при необходимости укажите учетные данные для учетной записи, которая является членом группы «Администраторы предприятия». Read the credentials information and, if needed, provide the credentials for an account that is a member of the Enterprise Admins group. Нажмите кнопку Далее. Click Next.

    В службах ролейщелкните центр сертификации, а затем нажмите кнопку Далее. In Role Services, click Certification Authority, and then click Next.

    На странице тип установки убедитесь, что выбран параметр ЦС предприятия , и нажмите кнопку Далее. On the Setup Type page, verify that Enterprise CA is selected, and then click Next.

    На странице Укажите тип страницы ЦС убедитесь, что выбран параметр корневой ЦС , и нажмите кнопку Далее. On the Specify the type of the CA page, verify that Root CA is selected, and then click Next.

    На странице Указание типа закрытого ключа убедитесь, что выбран параметр создать новый закрытый ключ , а затем нажмите кнопку Далее. On the Specify the type of the private key page, verify that Create a new private key is selected, and then click Next.

    На странице шифрование для центра сертификации сохраните параметры по умолчанию для CSP (поставщик хранилища ключей RSA) и алгоритм хэширования (SHA2) и определите максимальную длину символов ключа для развертывания. On the Cryptography for CA page, keep the default settings for CSP (RSA#Microsoft Software Key Storage Provider) and hash algorithm (SHA2), and determine the best key character length for your deployment. Большие ключевые длины символов обеспечивают оптимальную безопасность; Однако они могут повлиять на производительность сервера и могут быть несовместимы с устаревшими приложениями. Large key character lengths provide optimal security; however, they can impact server performance and might not be compatible with legacy applications. Рекомендуется использовать значение по умолчанию 2048. It is recommended that you keep the default setting of 2048. Нажмите кнопку Далее. Click Next.

    На странице имя ЦС сохраните Предлагаемое общее имя ЦС или измените имя в соответствии с вашими требованиями. On the CA Name page, keep the suggested common name for the CA or change the name according to your requirements. Убедитесь, что имя ЦС совместимо с соглашениями об именовании и целями, так как вы не можете изменить имя ЦС после установки служб AD CS. Ensure that you are certain the CA name is compatible with your naming conventions and purposes, because you cannot change the CA name after you have installed AD CS. Нажмите кнопку Далее. Click Next.

    На странице срок действия в поле Укажите срок действиявведите число и выберите значение времени (годы, месяцы, недели или дни). On the Validity Period page, in Specify the validity period, type the number and select a time value (Years, Months, Weeks, or Days). Рекомендуется использовать значение по умолчанию, равное пяти годам. The default setting of five years is recommended. Нажмите кнопку Далее. Click Next.

    На странице база данных ЦС в поле укажите расположения базы данныхукажите расположение папки для базы данных сертификатов и журнала базы данных сертификатов. On the CA Database page, in Specify the database locations, specify the folder location for the certificate database and the certificate database log. Если указаны расположения, отличные от расположений по умолчанию, убедитесь, что папки защищены с помощью списков управления доступом (ACL), которые не позволяют неавторизованным пользователям или компьютерам получать доступ к базе данных и файлам журналов ЦС. If you specify locations other than the default locations, ensure that the folders are secured with access control lists (ACLs) that prevent unauthorized users or computers from accessing the CA database and log files. Нажмите кнопку Далее. Click Next.

    В окне Подтверждениенажмите кнопку настроить , чтобы применить параметры, а затем нажмите кнопку Закрыть. In Confirmation, click Configure to apply your selections, and then click Close.

    источник

    Читайте также:  Установка кулера thermaltake contac 21

    Добавить комментарий