تكوين خادم Microsoft CA لنشر قوائم إبطال الشهادات ل ISE
المحتويات
المقدمة
يصف هذا المستند تكوين خادم Microsoft Certificate Authority (CA) الذي يقوم بتشغيل خدمات معلومات الإنترنت (IIS) لنشر تحديثات قائمة إبطال الشهادات (CRL). وهو يشرح أيضا كيفية تكوين محرك خدمات الهوية (ISE) من Cisco (الإصدارات 3.0 والإصدارات الأحدث) لاسترداد التحديثات لاستخدامها في التحقق من صحة الشهادة. يمكن تكوين ISE لاسترداد CRLs لشهادات جذر CA المختلفة التي يستخدمها في التحقق من صحة الشهادة.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
Cisco Identity Services Engine، الإصدار 3.0
-
نظام التشغيل Microsoft Windows® Server® 2008 R2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
إنشاء مجلد وتكوينه على المرجع المصدق لتضمين ملفات CRL
تتمثل المهمة الأولى في تكوين موقع على خادم CA لتخزين ملفات CRL. بشكل افتراضي، يقوم خادم Microsoft CA بنشر الملفات إلى C:\Windows\system32\CertSrv\CertEnroll\
بدلا من إستخدام مجلد النظام هذا، قم بإنشاء مجلد جديد للملفات.
- على خادم IIS، أختر موقعا على نظام الملفات وقم بإنشاء مجلد جديد. في هذا المثال، يتم إنشاء المجلد C:\CRLDistribution.
2. لكي يتمكن المرجع المصدق من كتابة ملفات CRL إلى المجلد الجديد، يجب تمكين المشاركة. انقر بزر الماوس الأيمن فوق المجلد الجديد، واختر خصائص، وانقر فوق علامة التبويب مشاركة، ثم انقر فوق مشاركة متقدمة.
3. لمشاركة المجلد، حدد خانة الاختيار مشاركة هذا المجلد ثم قم بإضافة علامة الدولار ($) إلى نهاية اسم المشاركة في حقل اسم المشاركة لإخفاء المشاركة.
4. انقر فوق أذون (1)، وانقر فوق إضافة (2)، وانقر فوق أنواع الكائن (3)، وحدد خانة الاختيار أجهزة الكمبيوتر (4).
5. للعودة إلى إطار تحديد المستخدمين أو أجهزة الكمبيوتر أو حسابات الخدمات أو المجموعات، انقر فوق موافق. في الحقل إدخال أسماء الكائنات لتحديد، أدخل اسم الكمبيوتر لخادم CA في هذا المثال: WIN0231PNBS4IPH وانقر فوق التحقق من الأسماء. إذا كان الاسم الذي تم إدخاله صالحا، فإن الاسم يتم تحديثه ويظهر تحته خط. وانقر فوق OK.
6. في حقل المجموعة أو أسماء المستخدمين، أختر حاسب CA. حدد السماح بالتحكم الكامل لمنح الوصول الكامل إلى المرجع المصدق.
وانقر فوق OK. انقر فوق موافق مرة أخرى لإغلاق نافذة "المشاركة المتقدمة" والرجوع إلى نافذة "خصائص".
7. من أجل السماح ل CA بكتابة ملفات CRL إلى المجلد الجديد، قم بتكوين أذونات الأمان المناسبة. انقر فوق علامة التبويب تأمين (1)، وانقر فوق تحرير (2)، وانقر فوق إضافة (3)، وانقر فوق أنواع الكائن (4)، وحدد خانة الاختيار أجهزة الكمبيوتر (5).
8. في الحقل إدخال أسماء الكائنات لتحديد، أدخل اسم الكمبيوتر لخادم CA، وانقر فوق التحقق من الأسماء. إذا كان الاسم الذي تم إدخاله صالحا، فإن الاسم يتم تحديثه ويظهر تحته خط. وانقر فوق OK.
9. أختر كمبيوتر المرجع المصدق في حقل "المجموعة" أو "أسماء المستخدمين" ثم تحقق من السماح بالتحكم الكامل لمنح حق الوصول الكامل إلى المرجع المصدق. انقر فوق موافق ثم انقر فوق إغلاق لإكمال المهمة.
إنشاء موقع في IIS لكشف نقطة توزيع CRL الجديدة
لتمكين ISE من الوصول إلى ملفات CRL، أجعل الدليل الذي يضم ملفات CRL يمكن الوصول إليه عبر IIS.
-
في شريط مهام خادم IIS، انقر فوق بدء. أختر أدوات إدارية > إدارة خدمات معلومات الإنترنت (IIS).
-
في الجزء الأيسر (المعروف باسم شجرة وحدة التحكم)، قم بتوسيع اسم خادم IIS ثم قم بتوسيع المواقع.
3. انقر بزر الماوس الأيمن فوق موقع ويب الافتراضي واختر إضافة دليل ظاهري، كما هو موضح في هذه الصورة.
4. في حقل الاسم المستعار، أدخل اسم موقع لنقطة توزيع CRL. في هذا مثال، دخلت CRLD.
5. انقر فوق البيضاوي (. . .) إلى يمين حقل المسار الفعلي واستعرض إلى المجلد الذي تم إنشاؤه في القسم 1. حدد المجلد وانقر فوق موافق. انقر فوق موافق" لإغلاق الإطار "إضافة دليل ظاهري".
6. يجب إبراز اسم الموقع الذي تم إدخاله في الخطوة 4 في الجزء الأيسر. إذا لم تكن كذلك، فعليك باختياره الآن. في الجزء الأوسط، انقر نقرا مزدوجا فوق إستعراض الدليل.
7. في الجزء الأيمن، انقر فوق تمكين لتمكين إستعراض الدليل.
8. في الجزء الأيسر، أختر اسم الموقع مرة أخرى. في الجزء الأوسط، انقر نقرا مزدوجا فوق محرر التكوين.
9. في القائمة المنسدلة "القسم"، أختر system.webServer/security/requestFiltering. في القائمة المنسدلة allowDoubleEscape، أختر True. في اللوحة اليمنى، انقر فوق تطبيق، كما هو موضح في هذه الصورة.
يجب الوصول إلى المجلد الآن عبر IIS.
تكوين خادم Microsoft CA لنشر ملفات CRL إلى نقطة التوزيع
الآن بعد تكوين مجلد جديد لتضمين ملفات CRL وتم عرض المجلد في IIS، قم بتكوين خادم Microsoft CA لنشر ملفات CRL إلى الموقع الجديد.
-
في شريط مهام خادم CA، انقر فوق بدء. أختر أدوات إدارية > المرجع المصدق.
-
في اللوح الأيسر، انقر بزر الماوس الأيمن على اسم المرجع المصدق. أختر خصائص ثم انقر على علامة التبويب الملحقات. لإضافة نقطة توزيع CRL جديدة، انقر فوق إضافة.
3. في حقل الموقع، أدخل المسار إلى المجلد الذي تم إنشاؤه ومشاركته في القسم 1. في المثالفي القسم 1، يكون المسار:
\\WIN-231PNBS4IPH\CRLDistribution$
4. مع تعبئة حقل الموقع، أختر <CaName> من القائمة المنسدلة المتغير ثم انقر فوق إدراج.
5. من القائمة المنسدلة "متغير"، أختر <CRLNameSuffix>ثم انقر فوق إدراج.
6. في حقل الموقع، إلحاق .crl بنهاية المسار. في هذا المثال، الموقع:
\\WIN-231PNBS4IPH\CRLDistribution$\<CaName><CRLNameSuffix>.crl
7. انقر فوق موافق للعودة إلى علامة التبويب الملحقات. حدد خانة الاختيار نشر قوائم التحكم في الوصول (CRL) إلى هذا الموقع ثم انقر فوق موافق لإغلاق نافذة "الخصائص".
تظهر مطالبة للحصول على إذن لإعادة تشغيل خدمات شهادات Active Directory. طقطقة نعم.
8. في الجزء الأيسر، انقر بزر الماوس الأيمن فوق الشهادات الملغاة. أختر كل المهام > نشر. تأكد من تحديد CRL جديد ثم انقر فوق موافق.
يجب أن يقوم خادم Microsoft CA بإنشاء ملف .crl جديد في المجلد الذي تم إنشاؤه في القسم 1. إذا تم إنشاء ملف CRL الجديد بنجاح، فلن يكون هناك مربع حوار بعد النقر فوق "موافق". إذا تم إرجاع خطأ بخصوص مجلد نقطة التوزيع الجديدة، فقم بتكرار كل خطوة في هذا القسم بعناية.
التحقق من وجود ملف CRL وإمكانية الوصول إليه عبر IIS
تحقق من وجود ملفات CRL الجديدة ومن إمكانية الوصول إليها عبر IIS من محطة عمل أخرى قبل بدء هذا القسم.
-
على خادم IIS، افتح المجلد الذي تم إنشاؤه في القسم 1. يجب أن يكون هناك ملف .crl واحد موجود مع النموذج <CANAME>.crl حيث <CANAME> هو اسم خادم CA. في هذا المثال، اسم الملف هو:
abtomar-win-231PNBS4IPH-CA.crl
2. من محطة عمل على الشبكة (بشكل مثالي على نفس الشبكة مثل عقدة إدارة ISE الأساسية)، افتح مستعرض ويب واستعرض إلى http://<SERVER>/<CRLSITE> حيث يكون <SERVER> هو اسم خادم خادم خادم خادم IIS الذي تم تكوينه في القسم 2 ويكون <CRLSITE> هو اسم الموقع الذي تم إختياره لنقطة التوزيع في القسم 2. في هذا المثال، عنوان URL:
http://win-231pnbs4iph/CRLD
يعرض فهرس الدليل، والذي يتضمن الملف الملاحظ في الخطوة 1.
تكوين ISE لاستخدام نقطة توزيع CRL الجديدة
قبل تكوين ISE لاسترداد CRL، حدد الفاصل الزمني لنشر CRL. تتجاوز إستراتيجية تحديد هذا الفاصل الزمني نطاق هذا المستند. القيم المحتملة (في Microsoft CA) هي من ساعة واحدة إلى 411 سنة، شاملة. القيمة الافتراضية هي 1 أسبوع. بمجرد تحديد الفاصل الزمني المناسب لبيئة عملك، قم بتعيين الفاصل الزمني باستخدام التعليمات التالية:
-
في شريط مهام خادم CA، انقر فوق بدء. أختر أدوات إدارية > المرجع المصدق.
-
في الجزء الأيسر، قم بتوسيع المرجع المصدق. انقر بزر الماوس الأيمن على مجلد الشهادات الملغاة واختر خصائص.
-
في حقول الفاصل الزمني لنشر CRL، أدخل الرقم المطلوب واختر الفترة الزمنية. انقر فوق موافق" لإغلاق الإطار وتطبيق التغيير. في هذا المثال، تم تكوين فاصل زمني للنشر لمدة 7 أيام.
4. أدخل الأمر certutil -getreg ca\clock* لتأكيد قيمة ClockSkew. القيمة الافتراضية هي 10 دقائق.
مثال الإخراج:
Values: ClockSkewMinutes REG_DWORS = a (10) CertUtil: -getreg command completed successfully.
5. أدخل الأمر certutil -getreg ca\CRLov* للتحقق مما إذا كان قد تم تعيين CRLOverlapPeriod يدويا. بشكل افتراضي تكون قيمة CRLOverlapUnit هي 0، وهو ما يشير إلى أنه لم يتم تعيين أي قيمة يدوية. إذا كانت القيمة قيمة غير 0، فقم بتسجيل القيمة والوحدات.
مثال الإخراج:
Values: CRLOverlapPeriod REG_SZ = Hours CRLOverlapUnits REG_DWORD = 0 CertUtil: -getreg command completed successfully.
6. أدخل الأمر certutil -getreg ca\CRLpe* للتحقق من CRLPeriod، الذي تم تعيينه في الخطوة 3.
مثال الإخراج:
Values: CRLPeriod REG_SZ = Days CRLUnits REG_DWORD = 7 CertUtil: -getreg command completed successfully.
7. حساب فترة سماح CRL على النحو التالي:
أ. إذا تم تعيين CRLOverlapPeriod في الخطوة 5: التداخل = CRLOverlapPeriod، بالدقائق؛
غير ذلك: التداخل = (CrlpEriod / 10)، بالدقائق
ب. إذا كان تداخل > 720 ثم تداخل = 720
c. إذا كان التداخل < (1.5 * ClockSkewMinutes) ثم التداخل = (1.5 * ClockSkewMinutes)
د. إذا تداخل > CrlpEriod، في دقائق ثم تداخل = CrlpEriod في دقائق
هـ. فترة السماح = تداخل + ClockSkewMinutes
Example: As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set.
a. OVERLAP = (10248 / 10) = 1024.8 minutes b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes e. Grace Period = 720 minutes + 10 minutes = 730 minutes
فترة السماح المحسوبة هي مقدار الوقت بين وقت نشر CRL التالي وتاريخ انتهاء صلاحية CRL الحالي. يلزم تكوين ISE لاسترداد قوائم التحكم في الوصول (CRLs) وفقا لذلك.
8. قم بتسجيل الدخول إلى عقدة إدارة ISE الأساسية واختر إدارة > نظام > شهادات. في الجزء الأيسر، حدد الشهادة الموثوق بها
9. حدد خانة الاختيار المجاورة لشهادة CA التي ترغب في تكوين قوائم التحكم في الوصول إلى CRLs لها. انقر فوق تحرير.
10. بالقرب من أسفل النافذة، حدد خانة الاختيار تنزيل CRL.
11. في حقل عنوان URL الخاص بتوزيع CRL، أدخل المسار إلى نقطة توزيع CRL، والتي تتضمن ملف .crl، الذي تم إنشاؤه في القسم 2. في هذا المثال، عنوان URL:
http://win-231pnbs4iph/crld/abtomar-WIN-231PNBS4IPH-CA.crl
12. يمكن تكوين ISE لاسترداد CRL على فترات زمنية منتظمة أو استنادا إلى انتهاء الصلاحية (الذي هو أيضا، بصفة عامة، فاصل زمني منتظم). عندما يكون الفاصل الزمني لنشر CRL ثابتا، يتم الحصول على تحديثات CRL أكثر ملاءمة عند إستخدام الخيار الأخير. انقر زر انتقاء آلي.
13. قم بتعيين قيمة الاسترداد إلى قيمة أقل من فترة السماح المحسوبة في الخطوة 7. إذا كانت مجموعة القيمة أطول من فترة السماح، فإن ISE يتحقق من نقطة توزيع CRL قبل أن يقوم CA بنشر CRL التالية. في هذا المثال، يتم حساب فترة السماح على أنها 730 دقيقة، أو 12 ساعة و 10 دقائق. سيتم إستخدام قيمة 10 ساعات للاسترداد
14. تعيين الفاصل الزمني لإعادة المحاولة على أنه مناسب لبيئتك. إذا تعذر على ISE إسترداد قائمة التحكم في الوصول (CRL) في الفترة التي تم تكوينها في الخطوة السابقة، فسيعيد المحاولة في هذه الفترة الأقصر.
15. حدد خانة الاختيار تجاوز التحقق من CRL إذا لم يتم إستلام CRL للسماح بالمصادقة المستندة إلى الشهادة بالمتابعة بشكل طبيعي (وبدون فحص CRL) إذا لم يتمكن ISE من إسترداد CRL لهذا المرجع المصدق في محاولة التنزيل الأخيرة. في حالة عدم تحديد خانة الاختيار هذه، ستفشل كافة المصادقة المستندة إلى الشهادة مع الشهادات التي تم إصدارها من قبل المرجع المصدق هذا في حالة تعذر إسترداد قائمة التحكم في الوصول (CRL).
16. حدد خانة الاختيار تجاهل أن CRL غير صالح أو منتهية الصلاحية للسماح ل ISE باستخدام ملفات CRL منتهية الصلاحية (أو غير صالحة بعد) كما لو كانت صحيحة. إذا لم يتم تحديد خانة الاختيار هذه، فإن ISE يعتبر قائمة التحكم في الوصول (CRL) غير صالحة قبل تاريخ السريان الخاص بهم وبعد أوقات التحديث التالية الخاصة بهم. انقر فوق حفظ لإكمال التكوين.
1. Microsoft. "تكوين نقطة توزيع CRL للشهادات." http://technet.microsoft.com/en-us/library/ee649260%28v=ws.10%29.aspx، 7 أكتوبر/تشرين الأول 2009 [18 ديسمبر/كانون الأول 2012]
2. Microsoft. "نشر قائمة إلغاء الشهادة يدويا." http://technet.microsoft.com/en-us/library/cc778151%28v=ws.10%29.aspx، 21 يناير/كانون الثاني 2005 [ديسمبر/كانون الأول 2012]
3. Microsoft. "تكوين فترات تداخل CRL و Delta CRL." http://technet.microsoft.com/en-us/library/cc731104.aspx، APR 11، 2011 [ديسمبر 18، 2012]
4. MS2065 [MSFT]: "ما مدى فعالية التاريخ (هذا التحديث) و NextUpdate و NextCRLPublish". http://blogs.technet.com/b/pki/archive/2008/06/05/how-effectivedate-thisupdate-nextupdate-and-nextcrlpublish-are-calculated.aspx، 4 يونيو 2008 [ديسمبر 18، 2012]
التعليقات