Выдача сертификата для домена при помощи Службы сертификации Active Directory

Тема в разделе "Windows Server 2012 R2", создана пользователем Fox, 24 Март 2017.

  1. Fox

    Fox Администратор

    Регистрация:
    18 Январь 2016
    Сообщения:
    79
    Пол:
    Мужской
    Адрес:
    Москва
    Оценки:
    +7 / 0 / -0
    В предыдущей статье «Узел сеансов удаленных рабочих столов в Windows Server 2012 R2» было рассказано о настройке удаленных рабочих столов на основе сеансов. В этом случае клиенту необходимо зайти на страницу веб-доступа по защищенному протоколу https.

    По умолчанию веб-сервер IIS создает самозаверенный сертификат, которому другие компьютеры доменной сети не доверяют, в результате чего при открытии страницы веб-доступа отображается следующая ошибка:
    Ошибка сертификата.jpg

    Чтобы https-страница открывалась без упоминаний об ошибке сертификата, необходимо на сервере с установленной ролью веб-доступа получить ssl-сертификат. Сделать этого можно абсолютно бесплатно при помощи Службы сертификации Active Directory, про установку которой было написано в статье «Установка Службы сертификации Active Directory (AD CS)».

    Напомню, о каких серверах пойдет речь: FS-01 (сервер со службой сертификации AD CS) и TS-00 (сервер с ролью веб-доступа служб удаленных рабочих столов).

    1. Настройка Центра сертификации

    На сервере FS-01 открываем оснастку «Центр сертификации»:
    Центр сертификации.jpg

    Выбираем центр сертификации (в моем случае с названием sektor-gaza-FS-01-CA-2), кликаем правой кнопкой мыши на разделе «Шаблоны сертификации» и далее выбираем пункт «Управление»:
    Центр сертификации (Управление).jpg

    Откроется Консоль шаблонов сертификатов:
    Консоль шаблонов сертификатов.jpg

    В области «Отображаемое имя шаблона» кликаем правой кнопкой мыши на «Веб-сервер» и далее из контекстного меню выбираем пункт «Свойства»:
    Вход в свойства шаблона Веб-сервер.jpg

    В окне «Свойства: Веб-сервер» переходим на вкладку «Безопасность» и для группы «Прошедшие проверку» ставим галочку «Разрешить» напротив пункта «Заявка»:
    Свойства шаблона Веб-сервер.jpg
    Таким образом, мы разрешаем данной группе безопасности подавать заявки на запрос сертификатов. При необходимости можно добавить другую группу безопасности и выполнить данную настройку для нее, а для группы "Прошедшие проверку" оставить разрешение только на "Чтение".

    2. Настройка веб-сервера IIS

    На сервере TS-00 открываем оснастку «Диспетчер служб IIS»:
    Диспетчер служб IIS.jpg

    Нажимаем на названии сервера и двойным кликом левой кнопкой мыши запускаем «Сертификаты сервера»:
    Вход в Сертификаты сервера.jpg

    В данном окне отображаются все сертификаты для локального сервера. Как видим, тут присутствует только самозаверенный сертификат, который создается автоматически:
    Сертификаты сервера.jpg
    Чтобы создать ssl-сертификат, которому будут доверять другие клиенты вашей доменной сети, в области «Действия» выберите пункт «Создать сертификат домена».

    Откроется окно создания сертификата домена:
    Окно создания сертификата домена.jpg
    Заполните все доступные поля и нажмите «Далее». Поскольку это будет ваш внутренний сертификат от Центра сертификации AD CS, то в качестве значений можно использовать любые данные. Но в поле «Полное имя» лучше указать название вашего сайта (мой сайт доступен по адресу http://ts-00/ , и в качестве имени я указал «TS-00»), т. к. в противном случае браузер может возвращать ошибку о несоответствии имени сайта, на который выдан сертификат.

    Выбор Центра сертификации:
    Выбор Центра сертификации.jpg
    В этом окне в поле «Локальный центр сертификации» необходимо указать имя вашего Центра сертификации AD CS и имя сервера (с установленной Службой сертификации), а в поле «Понятное имя» укажите простое и короткое имя Центра сертификации. После нажимаем кнопку «Готово». Обратите внимание, что в первом поле присутствует символ «\», разделяющий имя центра сертификации и имя сервера. Также можно воспользоваться кнопкой «Выбрать» и далее указать необходимый Центр сертификации, но данная кнопка не всегда бывает доступной.

    Через несколько секунд ssl-сертификат будет создан, и откроется окно «Сертификаты сервера»:
    ssl-сертификат создан успешно.jpg
    Теперь здесь отображается только что созданный сертификат. Как видим, его поставщиком является Центр сертификации AD CS sektor-gaza-FS-01-CA-2, т. е. все прошло успешно.

    Переходим на сервер FS-01 в оснастку «Центр сертификации» и открываем раздел «Выданные сертификаты»:
    Выданные сертификаты.jpg
    Здесь также можно увидеть созданный ssl-сертификат для сервера TS-00.

    Возвращаемся на сервер TS-00 в оснастку «Диспетчер служб IIS», открываем список «Сайты, нажимаем на названии нашего сайта (в моем случае это «Default Web Site») и в области «Действия» выбираем пункт «Привязки»:
    Вход в Приявязки сайта.jpg

    В окне «Привязки сайта» выбираем протокол «https» и нажимаем кнопку «Изменить»:
    Привязки сайта.jpg

    В окне «Изменение привязки сайта» открываем раскрывающий список «SSL-сертификат» и выбираем наш созданный сертификат (в моем случае это «FS-01-CA-2»):
    Изменение привязки сайта.jpg
    Нажимаем «ОК» и в окне «Привязки сайта» выбираем «Закрыть».

    Теперь необходимо перезапустить веб-сайт:
    Перезапуск веб-сайта.jpg
    Кликаем правой кнопкой мыши на названии нашего сайта, из контекстного меню выбираем пункт «Управление веб-сайтом» и далее нажимаем «Перезапустить».

    3. Проверка правильности установки ssl-сертификата

    Чтобы проверить, правильно ли установлен ssl-сертикат, можно зайти на страницу веб-доступа (в моем случае это https://ts-00/rdweb):
    Проверка правильности установки ssl-сертификата.jpg
    Никаких ошибок в адресной строке, связанных с сертификатами, быть не должно. У меня на скриншоте ошибки отсутствуют.

    Теперь можно посмотреть краткую информацию о сертификате:
    Краткая информация о сертификате.jpg
    Если у вас браузер Internet Explorer, в адресной нажмите на «замок», после чего откроется всплывающее окошко с названием Центра сертификации и названием сайта, которому данный сертификат выдан. Для просмотра подробной информации о сертификате, нажмите ссылку «Просмотр сертификатов».

    Подробная информация о сертификате (Общие):
    Подробная информация о сертификате (Общие).jpg
    На вкладке «Общие» отображается название Центра сертификации, название сайта, которому выдан данный сертификат, а также указывается срок действия сертификата.

    Подробная информация о сертификате (Состав):
    Подробная информация о сертификате (Состав).jpg
    На вкладке «Состав» доступны исчерпывающие данные о сертификате: издатель, алгоритм подписи, версия, серийный номер, открытый ключ, отпечаток и др.

    Подробная информация о сертификате (Путь сертификации):
    Подробная информация о сертификате (Путь сертификации).jpg
    На вкладке «Путь сертификации» можно посмотреть путь сертификации и состояние сертификата.
     
    Последнее редактирование: 24 Март 2017

Поделиться этой страницей