Наша взаимовыгодная связь https://banwar.org/
У нашому прикладі використовується наступна схема мережі:
Контролер домену має IP-адресу 192.168.137.2 і FQDN DNS-ім'я controller.dom.loc. Контролер домену забезпечує роботу домену dom.loc.
На сервері з FQDN DNS-ім'ям srv2.dom.loc (IP-адреса 192.168.137.5) розгорнуто кореневої ЦС dom.loc CA. Для цього, на сервері srv2.dom.loc встановлена і налаштована роль Служби сертифікатів AD з компонентами Центр сертифікації і Служба реєстрації в центрі сертифікації через Інтернет. Опис установки і настройки Служби сертифікатів AD виходить за рамки даної інструкції. Для настройки Служби сертифікатів AD зверніться до офіційної документації від Microsoft.
Пристрій Traffic Inspector Next Generation має IP-адресу 192.168.137.8 і FQDN DNS-ім'я tinga.dom.loc. В результаті налаштувань, на ньому буде розгорнуто субординований центр сертифікації tinga.dom.loc CA.
Призначений для користувача комп'ютер має IP-адресу 192.168.137.31 і FQDN DNS-ім'я comp1.dom.loc.
Після установки і настройки вищезазначених компонентів, веб-інтерфейс для виписки сертифікатів доступний за адресою:
Веб-інтерфейс пристрою TING доступний за адресою:
Для настройки, нам будуть потрібні програми putty і WinSCP .
Для конвертації між форматами зберігання сертифікатів та ключів знадобиться пакет OpenSSL, який встановлено на прилади TING або доступний в середовищі Cygwin для Windows.
Налаштуємо на пристрої TING видавництво tinga.dom.loc CA, яке буде субординованим по відношенню до кореневого доменному ЦС dom.loc CA.
- Створюємо запит на підпис сертифіката
З комп'ютера comp1.dom.loc заходимо програмою putty по SSH на tinga.dom.loc і виконуємо команду:
openssl req - new - newkey rsa: 2048 - nodes - keyout tinga. dom. loc_ca. key - out tinga. dom. loc_ca. csr
Відповідаємо на запитання аналогічно прикладу:
root @tinga: ~ # openssl req -new -newkey rsa: 2048 -nodes -keyout tinga.dom.loc_ca.key -out tinga.dom.loc_ca.csr Generating a 2048 bit RSA private key ........ ........ +++. +++ writing new private key to 'tinga.dom.loc_ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.' , The field will be left blank. ----- Country Name (2 letter code) [AU]: RU State or Province Name (full name) [Some - State]: MO Locality Name (eg, city) []: Kolomna Organization Name (eg, company) [Internet Widgits Pty Ltd]: Smart - Soft Organizational Unit Name (eg, section) []: Tech Support Common Name (e. g. server FQDN or YOUR name) []: tinga. dom. loc CA Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: root @tinga: ~ #
- Забираємо згенеровані файли з пристрою TING
З комп'ютера comp1.dom.loc заходимо програмою WinSCP по SFTP на tinga.dom.loc.
Викачуємо файл /root/tinga.dom.loc_ca.key. Це файл з секретним ключем, який будемо імпортувати в TING через веб-інтерфейс.
----- BEGIN PRIVATE KEY ----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQCgEHtIWaAccJbb / 1 Q9ORHM2SzfQbYMRmcwTro1P4iq32urIrL5C9Pi58nv4jbMggDGpmGqWHz5wFBo FcTYkMiWcstAc6LbwocKITd6Idrp15OxUT + WrqOt7JQo8NAFv5WE5MRKybBc4VGv SAvZTyS36f9v13foS2gBq0h1cZ5UWxTW5mGhShmZlYpd7ePY7SuSOsCkHqT3RLCz qDc5hSfx6SzLrBvgOLhBftml0z2EZacqH / wdao2xOQ1KDtf6j / 3 LX5wk3MfiXn + D ntIGQFmOyrjrNTKe3DE80mo8OOtQzh / 2 rwI9M1ShU4C + O9gCOuwEl6JNcfOCrvUR E3 + yD6DJAgMBAAECggEBAIUgEBkFidf9gEsrGfntfDN + sQZiVbHx4CLaZ56f3 + AW ACuOqYHe53SByX89Csyel1ygxvvxqsfhvj5DVLu1907B3PAW / O1 / 5 eZz5 / spKzRv + sNwSs3dI / 8 kk7lVR / 5 v8EBeMC / vfUJSmCiLaGdtnqFj + fIgJ / dIuBEjTxl2zPNk mFm5rFEU9kZJ / ECkzFSMOMvQdf2oKOutbMe4 + 3 ta6l4i6UWmhrif1BhyPhqz1qE5 YQypSzDka / 8 H1RBmCP9tbTaEBVCAuFRKeVWN8UKPXAz6kwZSBBUt5wfg8k3kl1rN yFZxmhctw / d0YdQHtUrtg / waMv4NNSZSpPiaVRLnh10CgYEA1JUMOmZal3IKqckr 1 xBXOUFdjdsGnJ0Rs0d5NO3UVD5DNIboDEd805u8Y4pD7nQu + yekiyakD0l17Zht dKJPu5zpRxcJG7bvd82islS + 1 k056Kgdrr + 1 LZvz / AWeYBvIh1RDjieYPeST BIZn qstd7vRpIPCWWcRLc0uL1xSPZKcCgYEAwMGEKFD4jqMQIfNiwVD0dJwqBbYV + jwo Zsu6hGLtiErMkwU51Q1fXt3y3MWY7kKwOEPxQd158sk6T2MgI6WL4E2 + 2 DNd8UpF 1 m3JZ9YPyj1XKFHo2iEctXCPLbEJS0 / mbbrDQmi1e7gFTvuWTmNvb1zPrfv / e2MF abgLX3RZzQ8CgYABPTUrCfmxNEr3nmKRCFlZzhW7g / FP7GJ0BxCfzFsWep5tqfOk Tq5dlWTNt7qZoze64wpEfV8rb6QuVFse + Os6DroVXf8BmFlg + 2 PdYj0ShrS1tHUn 1 Zo6v9P2PhokOUU79LPIGlb61WA + AIKOLk1H3UjXlk9qCojeDSytfkMvtQKBgAEY GBvyeba1jj3jF8hpIToYONTXd8B33vLWbTSbKyX + 5 rJe8TkYXlY3hE1kgb24ey + W kyQAkdSi98XDlkcdhXG8fzzS7dGUzlitPttsB6LqPjhoXp3 + Wh9diDKGMrtOtMwi p0EVPxJ4tO8B1pSTU + qZ6EPgjk6w / TLgbJAaJPhZAoGBAICPXmdriEAof / d9ARTd ziqWlYenYNRMJJaT9SD + FKL4n / B4aBjFjrEwBpDrXNALSH5P924W + hovPcmAohqZ 9 a5ppQ2k19l6o3cnM6QwXP7vQEWgRnnpcW4WFwsDQ6X0x1wdXk + 6 p3qon7CR1tcZ IDvPCAEymU4d4WgDPbyROYnd ----- END PRIVATE KEY -----
Викачуємо файл /root/tinga.dom.loc_ca.csr. Це запит на підпис сертифіката, який будемо використовувати при запиті до доменного ЦС.
----- BEGIN CERTIFICATE REQUEST ----- MIICuDCCAaACAQAwczELMAkGA1UEBhMCUlUxCzAJBgNVBAgMAk1PMRAwDgYDVQQH DAdLb2xvbW5hMRMwEQYDVQQKDApTbWFydC1Tb2Z0MRUwEwYDVQQLDAxUZWNoIFN1 cHBvcnQxGTAXBgNVBAMMEHRpbmdhLmRvbS5sb2MgQ0EwggEiMA0GCSqGSIb3DQEB AQUAA4IBDwAwggEKAoIBAQCgEHtIWaAccJbb / 1 Q9ORHM2SzfQbYMRmcwTro1P4iq 32 urIrL5C9Pi58nv4jbMggDGpmGqWHz5wFBoFcTYkMiWcstAc6LbwocKITd6Idrp 15 OxUT + WrqOt7JQo8NAFv5WE5MRKybBc4VGvSAvZTyS36f9v13foS2gBq0h1cZ5U WxTW5mGhShmZlYpd7ePY7SuSOsCkHqT3RLCzqDc5hSfx6SzLrBvgOLhBftml0z2E ZacqH / wdao2xOQ1KDtf6j / 3 LX5wk3MfiXn + DntIGQFmOyrjrNTKe3DE80mo8OOtQ zh / 2 rwI9M1ShU4C + O9gCOuwEl6JNcfOCrvURE3 + yD6DJAgMBAAGgADANBgkqhkiG 9 w0BAQsFAAOCAQEAYX8VsOLa6Y4 + P9NlIeQTDEt16K07y9XISiTjd / t7iOFXj4WE eO4I + SA0jC03XggVPnQ7GxtALT1EqA3WSI7qQq + yKY8VbcyWWpgsmygSRVH + 2 ZPD Wyw4jUN // 0 fxpmn7LFuBXRoQIpG7pkQgCcXu7XkzCSselxm0oUDb3fdmMngSxa3 + ZGFYho85iRCmPf8jR0o / b68Rx0EI / 3 IlkslCxaAwMgs + giUiokY7 / u70GGbcEacm WTlMgH7H5Iwi5PZWodxUfiU4rbwp1sibNdfX5V1gMfWF0OTiQvlM6uJe0GkFsRUr WsBJVR takNDsaUqGafq2Q6p4ytyrOBSwIjK2Hg == ----- END CERTIFICATE REQUEST -----
- Запитуємо видавничий сертифікат в доменному ЦС
На комп'ютері comp1.dom.loc в веб-браузері відкриваємо адресу https: //srv2.dom.loc/certsrv і вибираємо дію Запит сертифіката.
Вибираємо дію Розширений запиту сертифіката.
Вибираємо дію Видати запит, використовуючи base-64 шифрований файл PKCS # 10, або видати запит оновлення, використовуючи base-64 шифрований файл PKCS # 7. Натискаємо кнопку Видати.
Вставляємо в поле Base-64 шифрований запит сертифіката ... скопійоване вміст файлу tinga.dom.loc_ca.csr. В поле Шаблон сертифіката вибираємо значення Subordinate certification authority.
Підтвердіть, що Ви довіряєте веб-сайту здійснення операцій з сертифікатами від Вашого обличчя.
Встановіть радіокнопку Base64-шифрування і натисніть на кнопку Завантажити сертифікат (файл certnew.cer). Також, натисніть на кнопку Завантажити ланцюжок сертифікатів (certnew.p7b).
Скопіюйте вміст файлу certnew.cer:
----- BEGIN CERTIFICATE ----- MIIFRDCCBCygAwIBAgITaAAAAA / GKPDdMDAQfgAAAAAADzANBgkqhkiG9w0BAQsF ADA / MRMwEQYKCZImiZPyLGQBGRYDbG9jMRMwEQYKCZImiZPyLGQBGRYDZG9tMRMw EQYDVQQDEwpkb20ubG9jIENBMB4XDTE3MTAwMzExMzMxMVoXDTIyMDQxMDEwMzg1 NlowczELMAkGA1UEBhMCUlUxCzAJBgNVBAgTAk1PMRAwDgYDVQQHEwdLb2xvbW5h MRMwEQYDVQQKEwpTbWFydC1Tb2Z0MRUwEwYDVQQLEwxUZWNoIFN1cHBvcnQxGTAX BgNVBAMTEHRpbmdhLmRvbS5sb2MgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw ggEKAoIBAQCgEHtIWaAccJbb / 1 Q9ORHM2SzfQbYMRmcwTro1P4iq32urIrL5C9Pi 58 nv4jbMggDGpmGqWHz5wFBoFcTYkMiWcstAc6LbwocKITd6Idrp15OxUT + WrqOt 7 JQo8NAFv5WE5MRKybBc4VGvSAvZTyS36f9v13foS2gBq0h1cZ5UWxTW5mGhShmZ lYpd7ePY7SuSOsCkHqT3RLCzqDc5hSfx6SzLrBvgOLhBftml0z2EZacqH / wdao2x OQ1KDtf6j / 3 LX5wk3MfiXn + DntIGQFmOyrjrNTKe3DE80mo8OOtQzh / 2 rwI9M1Sh U4C + O9gCOuwEl6JNcfOCrvURE3 + yD6DJAgMBAAGjggIDMIIB / zAdBgNVHQ4EFgQU hCJAsS5zlZm114bjICXRo / E + y4YwHwYDVR0jBBgwFoAUqmv7NCBX8sXUWKyDD51Y vyXUGW4wgcMGA1UdHwSBuzCBuDCBtaCBsqCBr4aBrGxkYXA6Ly8vQ049ZG9tLmxv YyUyMENBLENOPXNydjIsQ049Q0RQL ENOPVB1YmxpYyUyMEtleSUyMFNlcnZpY2Vz LENOPVNlcnZpY2VzLENOPUNvbmZpZ3VyYXRpb24sREM9ZG9tLERDPWxvYz9jZXJ0 aWZpY2F0ZVJldm9jYXRpb25MaXN0P2Jhc2U / b2JqZWN0Q2xhc3M9Y1JMRGlzdHJp YnV0aW9uUG9pbnQwgboGCCsGAQUFBwEBBIGtMIGqMIGnBggrBgEFBQcwAoaBmmxk YXA6Ly8vQ049ZG9tLmxvYyUyMENBLENOPUFJQSxDTj1QdWJsaWMlMjBLZXklMjBT ZXJ2aWNlcyxDTj1TZXJ2aWNlcyxDTj1Db25maWd1cmF0aW9uLERDPWRvbSxEQz1s b2M / Y0FDZXJ0aWZpY2F0ZT9iYXNlP29iamVjdENsYXNzPWNlcnRpZmljYXRpb25B dXRob3JpdHkwGQYJKwYBBAGCNxQCBAweCgBTAHUAYgBDAEEwDwYDVR0TAQH / BAUw AwEB / zAOBgNVHQ8BAf8EBAMCAYYwDQYJKoZIhvcNAQELBQADggEBAJLn0BQ11a8x h6 / Dmfm1GBD2w9VgSsgJaVq55ZpaHeukbe0tm5PgRMSoL8RKcgZCm57dVemm8y5v 4 xkHR7ASd2FicdWPA29Aq42BNOJPhtzT0eMsDrd31isIYP8STheNE2eOtlueQyj9 8 TmD7GeO5Wo0A / gBlKpToPqejWDgUV4DoevOUUPFIIq / Tra9SYUXjHXG9dskmzXS bah0GEHxfHlRHfw9jCveA0aBoDpehYKeOLxa4Bq9OrOLz0NvCMh / vBiMejxuzchC OyhtA6uhEKQh + 2 GZnRDr8DojZvmbV4RvKuOsadhbxYY3u1MVBovNp0hF1IRR7v / C 2 MrDKpewxHE = ----- END CERTIFICATE --- -
- Налаштовуємо центр сертифікації tinga.dom.loc CA на пристрої TING
З комп'ютера comp1.dom.loc заходимо на веб-інтерфейс пристрою TING в розділ Система \ Довірені сертифікати \ Повноваження.
Натисніть на кнопку Додати або імпортувати CA. Заповніть поля наступним чином:
В поле Описове ім'я вкажіть tinga.dom.loc CA.
В поле Метод виберіть Імпортувати існуючий ЦС.
В поле Дані сертифіката скопіюйте дані сертифіката, виданого доменним ЦС (файл certnew.cer).
В поле Секретний ключ сертифіката (необов'язково) скопіюйте секретний ключ з файлу tinga.dom.loc_ca.key.
Натисніть кнопку Зберегти.
- Поширюємо ланцюжок видавничих сертифікатів на доменних комп'ютерах через GPO
Для того, щоб доменні машини могли довіряти сертифікатам, виданим ЦС tinga.dom.loc CA, сертифікат даного видавництва повинен бути встановлений на цих машинах.
Перенесіть файл certnew.p7b на комп'ютер controller.dom.loc. У нашому випадку, файл розташовується по шляху З: \ certnew.p7b.
Запустіть оснащення Управління груповою політикою і відкрийте на редагування об'єкт групової політики Default Domain Policy.
У редакторі управління груповими політиками пройдіть в розділ Конфігурація комп'ютера \ Конфігурація Windows \ Параметри безпеки \ Політики відкритого ключа \ Довірені кореневі центри сертифікації.
Викличте контекстне меню по вузлу Довірені кореневі центри сертифікації, клікніть Імпортувати та виберіть файл С: \ certnew.p7b.
При виборі сховища, в яке буде імпортована ланцюжок сертифікатів, вкажіть Довірені кореневі центри сертифікації.
Відкрийте командний рядок з привілеями адміністратора і виконайте команду:
Для попадання сертифікатів на доменні комп'ютери, їх, можливо, доведеться перезавантажити.
На комп'ютерах, які не входять до складу домену, видавничі сертифікати можуть бути встановлені вручну з файлу certnew.p7b в сховище Довірені кореневі центри сертифікації. Тут особливо доречним буде те, що certnew.p7b містить ланцюжок сертифікатів, а не тільки лише один сертифікат ЦС tinga.dom.loc CA.
Перевірити наявність видавничих сертифікатів на комп'ютерах користувачів можна за допомогою оснастки консолі MMC.
На комп'ютері comp1.dom.loc створіть оснащення для роботи з сертифікатами. Для цього, в меню Виконати (викликається після натискання Win + R) наберіть mmc і натисніть Enter.
В консолі MMC, виберіть Файл -> Додати або видалити оснащення .... З шпальти Доступні оснастки вибираємо Сертифікати і натискаємо кнопку Додати, у вікні Оснащення диспетчера сертифікатів вибираємо немає облікового запису комп'ютера, натискаємо Далі, Далі, ОК. Дайте файлу, що консолі MMC ім'я certmgr.
Після синхронізації з контролером домену, сертифікати видавництв dom.loc CA і tinga.dom.loc CA повинні бути присутніми в сховище Сертифікати (локальний комп'ютер) \ Довірені кореневі центри сертифікації.
Видання сертифікатів для серверних служб TING з використанням субординованого ЦС
За допомогою субординованого ЦС можна виписувати різні end entity сертифікати, для використання в таких функціях:
- захищений доступ до веб-інтерфейсу TING
- SSL Bump (перехоплення / дешифрування HTTPS-з'єднань)
- OpenVPN
- IPSec VPN
Продемонстіруем генерацію серверного сертифіката для потреб захищеного доступу до веб-інтерфейсу TING.
З комп'ютера comp1.dom.loc заходимо на веб-інтерфейс пристрою TING в розділ Система \ Довірені сертифікати \ Сертифікати і натискаємо кнопку Додати або імпортувати сертифікат.
У вікні вказуємо налаштування за аналогією з прикладом:
Метод Створити внутрішній сертифікат Описове ім'я Web GUI certificate Центр сертифікації tinga.dom.loc CA Тип Сертифікат сервера Довжина ключа 2048 Алгоритм дайджесту SHA256 Час існування 365 Код країни RU Штат або область MO Місто Kolomna Організація Smart-Soft Ел. пошта info @example .org Стандартне ім'я tinga.dom.loc
Натисніть на кнопку Зберегти.
У веб-інтерфейсі пройдіть в розділ Система -> Налаштування -> Адміністрування і в поле Сертифікат SSL виберіть раніше створений сертифікат Web GUI certificate. Натисніть на кнопку Зберегти.
Через кілька секунд веб-інтерфейс управління буде доступний вже з новим сертифікатом.
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
