воскресенье, 12 июля 2009 г.

Выдача сертификатов для инфраструктуры VMware (Часть I)

Использование Инфраструктуры Открытых Ключей (Public Key Infrastructure - PKI) обеспечивает дополнительный уровень безопасности вашей виртуальной инфраструктуры путем проверки подлинности пользователей и сервера, а также шифрования передаваемых данных. Одной из рекомендаций компании VMware при развертывании виртуальной инфраструктуры является замена самоподписанных сертификатов, генерируемых при установке ESX/ESXi, Virtual Center Server и View Manager на сертификаты общедоступных Центров Сертификации (ЦС, например: Verisign, GoDaddy, Thawte), либо вашего собственного корпоративного ЦС.



В данной статье я рассмотрю пример использования ЦС, входящего в состав Microsoft Windows Server 2003, для выдачи и замены самоподписанных сертификатов VMware. В первой части я опишу процесс развертывания ЦС в организации. Вторая и третья части будут посвящены вопросам замены сертификатов для ESX, Virtual Center и View Manager, соответственно.

Подготовка к установке
Если в вашей организации уже развернут Центр Сертификации на базе Windows Server, вы можете пропустить первую часть и сразу перейти к установке и работе с OpenSSL. Для остальных я опишу последовательность шагов по установке Корневого Центра Сертификации уровня Предприятия (Enterprise Root CA).

Для корректной работы Enterprise Root CA на Windows Server 2003 требуется:
  • Наличие доменной инфраструктуры Active Directory.
  • Наличие хотя бы одного контроллера домена на базе Windows Server 2003 (это не обязательное условие, однако, при наличии только контроллеров на Windows 2000 Server, вам предварительно потребуется расширить схему Active Directory при помощи утилиты ADPREP, используя дистрибутив Windows Server 2003).
  • Установленная на сервере ЦС служба Internet Information Services 6.0 с дополнительным компонентом Active Server Pages (для запросов и выдачи сертификатов через Web-интерфейс).

Примечание: если вы планируете устанавливать Центр Сертификации с возможностью выдачи сертификатов через Web-интерфейс, будьте внимательны. По-умолчанию, служба Vmware Virtual Center Server занимает порт TCP 80, в результате чего сайт Default Web Site сервера IIS, расположенный на том же порту, не сможет стартовать, и установщик ЦС не сможет создать необходимые виртуальные директории. Решить эту проблему можно разными способами, например, поменяв текущий номер порта в настройках Virtual Center: Administration -> VirtualCenter Management Server Configuration... -> Web Service -> Ports -> HTTP на другой доступный порт. Однако, я бы рекомендовал устанавливать Центр Сертификации на отдельный сервер, например на контроллер домена.

Установка Центра Сертификации
Процесс установки ЦС включает в себя следующие шаги:
Запустите Мастер Установки/Удаления Компонентов Windows из Start -> Control Panel -> Add or Remove Programs.

В открывшемся окне выберите Add/Remove Windows Components.

Отметьте компонент Application Server и нажмите Next, чтобы начать установку.

После завершения установки в том же мастере компонентов отметьте Certificate Services. Появится предупреждение о том, что после установки ЦС недопустимо будет менять имя данной машины, либо выводить ее из домена. Нажмите Yes, а затем Next, чтобы продолжить.

На странице CA Type, убедитесь, что выбрано Enterprise Root CA. Если вам требуется настроить длину ключа, либо выбрать другой криптопровайдер для генерации корневого сертификата, можете выбрать пункт User custom settings to generate the key pair and CA certificate. Нажмите Next, чтобы продолжить.

На странице CA Identifying Information в поле Common name for this CA введите имя ЦС, которое будет отображаться в каждом выданном сертификате. Также здесь вы можете задать срок действия сертификата (по-умолчанию: 5 лет). Нажмите Next, чтобы продолжить.

На станице Certificate Database Settings вы можете задать пути к папкам, в которых будут располагаться база и файлы журналов для ЦС. Нажмите Next. Появится предупреждение, что для продолжения установки служба IIS должна быть на время приостановлена. Нажмите Yes.

Появится окно с уведомлением о необходимости включения Active Server Pages (ASPs). Нажмите Yes, чтобы продолжить.

На последней странице нажмите Finish, чтобы закончить установку.

Теперь откройте оснастку службы (Start -> Control Panel -> Administrative Tools -> Services) и убедитесь, что служба Certificate Services запущена (started).

Откройте оснастку управления IIS (Start -> Control Panel -> Administrative Tools -> Internet Information Services (IIS Manager)), раскройте дерево local computer -> Web Sites -> Default Web Site и убедитесь, что виртуальные директории CertSrv, CertControl и CertEnroll присутствуют.

Примечание: если вы начали установку ЦС до того, как установить IIS, то в Default Web Site не будут созданы необходимые виртуальные директории. Исправить это можно запустив из консоли CMD следующую команду: certutil -vroot

Проверьте, что журналы событий (Start -> Control Panel -> Administrative Tools -> Event Viewer) для приложений и системы не содержат ошибок. На этом установка ЦС завершена. Продолжение статьи в части II.

Комментариев нет:

Отправить комментарий