Руководство по развертыванию локального доверия к ключу
В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:
Требования
Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование развертывания Windows Hello для бизнеса .
Перед началом работы убедитесь, что выполнены следующие требования:
Шаги развертывания
После выполнения предварительных требований развертывание Windows Hello для бизнеса состоит из следующих шагов.
Настройка и проверка инфраструктуры открытых ключей
Windows Hello для бизнеса должна иметь инфраструктуру открытых ключей (PKI) при использовании моделей доверия к ключам или сертификатам . Контроллеры домена должны иметь сертификат, который служит корнем доверия для клиентов. Сертификат гарантирует, что клиенты не будут взаимодействовать с контроллерами домена изгоев.
Развертывание центра сертификации предприятия
В этом руководстве предполагается, что у большинства предприятий существует инфраструктура открытых ключей. Windows Hello для бизнеса зависит от корпоративной PKI, на котором выполняется роль служб сертификатов Windows Server Active Directory .
Если у вас нет PKI, ознакомьтесь с руководством по центру сертификации , чтобы правильно спроектировать инфраструктуру. Затем ознакомьтесь с руководством по лаборатории тестирования: развертывание AD CS Two-Tier иерархии PKI , чтобы узнать, как настроить PKI с помощью сведений из сеанса проектирования.
PKI на основе лабораторий
Следующие инструкции можно использовать для развертывания простой инфраструктуры открытых ключей, подходящей для лабораторной среды.
Войдите с использованием учетных данных, эквивалентных администратору предприятия , на сервере Windows Server, где требуется установить центр сертификации (ЦС).
Примечание.
Никогда не устанавливайте центр сертификации на контроллере домена в рабочей среде.
- Открытие командной строки Windows PowerShell с повышенными привилегиями
- Используйте следующую команду, чтобы установить роль служб сертификатов Active Directory.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
- Используйте следующую команду, чтобы настроить ЦС с помощью базовой конфигурации центра сертификации.
Install-AdcsCertificationAuthority
Настройка корпоративной PKI
Настройка сертификатов контроллера домена
Клиенты должны доверять контроллерам домена, и лучший способ включить доверие — убедиться, что у каждого контроллера домена есть сертификат проверки подлинности Kerberos . Установка сертификата на контроллерах домена позволяет центру распространения ключей (KDC) подтвердить свое удостоверение другим членам домена. Сертификаты предоставляют клиентам корень доверия за пределами домена, а именно корпоративный центр сертификации.
Контроллеры домена автоматически запрашивают сертификат контроллера домена (если он опубликован) при обнаружении добавления корпоративного ЦС в Active Directory. Сертификаты, основанные на шаблонах сертификатов проверки подлинности контроллера домена и контроллера домена, не включают идентификатор объекта проверки подлинности KDC (OID), который позже был добавлен в kerberos RFC. Поэтому контроллеры домена должны запрашивать сертификат на основе шаблона сертификата проверки подлинности Kerberos .
По умолчанию ЦС Active Directory предоставляет и публикует шаблон сертификата проверки подлинности Kerberos . Конфигурация шифрования, включенная в шаблон, основана на более старых и менее производительных API-интерфейсах шифрования. Чтобы убедиться, что контроллеры домена запрашивают соответствующий сертификат с наилучшим доступным шифрованием, используйте шаблон сертификата проверки подлинности Kerberos в качестве базового плана для создания обновленного шаблона сертификата контроллера домена.
Важно.
Сертификаты, выданные контроллерам домена, должны соответствовать следующим требованиям:
- Расширение точки распространения списка отзыва сертификатов (CRL) должно указывать на допустимый список отзыва сертификатов или расширение доступа к информации центра (AIA), которое указывает на ответчик протокола OCSP.
- При необходимости раздел certificate Subject может содержать путь к каталогу серверного объекта (различающееся имя).
- Раздел "Использование ключа сертификата" должен содержать цифровую подпись и шифрование ключа.
- При необходимости раздел "Основные ограничения сертификата" должен содержать:
[Subject Type=End Entity, Path Length Constraint=None]
- Раздел расширенного использования ключа сертификата должен содержать проверку подлинности клиента (
1.3.6.1.5.5.7.3.2
), проверку подлинности сервера (1.3.6.1.5.5.7.3.1
) и проверку подлинности KDC (1.3.6.1.5.2.3.5
). - Раздел "Альтернативное имя субъекта сертификата" должен содержать dns-имя.
- Шаблон сертификата должен иметь расширение со значением
DomainController
, закодированным как BMPstring. Если вы используете Центр сертификации Windows Server Enterprise, это расширение уже включено в шаблон сертификата контроллера домена. - Сертификат контроллера домена должен быть установлен в хранилище сертификатов локального компьютера.
Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору домена .
Откройте консоль управления центра сертификации
Щелкните правой кнопкой мыши управление шаблонами сертификатов >
В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон Проверки подлинности Kerberos в области сведений и выберите дублировать шаблон.
Используйте следующую таблицу, чтобы настроить шаблон:
Имя вкладки Конфигурации Совместимость - Снимите флажок Показывать результирующие изменения
- Выберите Windows Server 2016 в списке центров сертификации
- Выберите Windows 10 или Windows Server 2016 в списке получателей сертификации.
Общее - Укажите отображаемое имя шаблона, например проверку подлинности контроллера домена (Kerberos)
- Задайте для срока действия требуемое значение.
- Запишите имя шаблона для последующего использования, которое должно совпадать с отображаемым именем шаблона минус пробелы.
Имя субъекта - Выберите Сборка из этих сведений Active Directory.
- Выберите Нет в списке Формат имени субъекта .
- Выберите DNS-имя из списка Включить эту информацию в альтернативный субъект .
- Очистка всех остальных элементов
Cryptography - Задайте для категории поставщиковзначение Поставщик хранилища ключей.
- Задайте для значения имя алгоритмаRSA.
- Задайте для минимального размера ключазначение 2048.
- Задайте для хэша запроса значение SHA256.
Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон.
Закрытие консоли
Замена существующих сертификатов контроллера домена
Контроллеры домена могут иметь существующий сертификат контроллера домена. Службы сертификатов Active Directory предоставляют шаблон сертификата по умолчанию для контроллеров домена, называемых сертификатом контроллера домена. Более поздние выпуски Windows Server предоставляли новый шаблон сертификата под названием сертификат проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которую указывалось, что центры распространения ключей (KDCs), выполняющие проверку подлинности сертификата, должны включать расширение проверки подлинности KDC .
Шаблон сертификата проверки подлинности Kerberos — это самый актуальный шаблон сертификата, предназначенный для контроллеров домена, который должен быть развернут на всех контроллерах домена.
Функция автоматической регистрации позволяет заменить сертификаты контроллера домена. Используйте следующую конфигурацию, чтобы заменить старые сертификаты контроллера домена новыми, используя шаблон сертификата проверки подлинности Kerberos .
Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .
- Откройте консоль управления центра сертификации
- Щелкните правой кнопкой мыши управление шаблонами сертификатов >
- В консоли шаблонов сертификатов щелкните правой кнопкой мыши шаблон Проверка подлинности контроллера домена (Kerberos) (или имя шаблона сертификата, созданного в предыдущем разделе) в области сведений и выберите Свойства.
- Перейдите на вкладку Заменяемые шаблоны . Выберите Добавить.
- В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата контроллера домена и нажмите кнопку ОК > Добавить.
- В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата проверки подлинности контроллера домена и нажмите кнопку ОК.
- В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата проверки подлинности Kerberos и нажмите кнопку ОК.
- Добавьте все другие корпоративные шаблоны сертификатов, которые ранее были настроены для контроллеров домена, на вкладку Замененные шаблоны
- Нажмите кнопку ОК и закройте консоль шаблоны сертификатов .
Шаблон сертификата настроен для замены всех шаблонов сертификатов, указанных в списке замененных шаблонов .
Однако шаблон сертификата и замена шаблонов сертификатов не будут активны, пока шаблон не будет опубликован в одном или нескольких центрах сертификации.
Примечание.
Сертификат контроллера домена должен быть привязан к корню в хранилище NTAuth. По умолчанию корневой сертификат центра сертификации Active Directory добавляется в хранилище NTAuth. Если вы используете ЦС, отличный от Майкрософт, это может быть не сделано по умолчанию. Если сертификат контроллера домена не привязан к корню в хранилище NTAuth, проверка подлинности пользователя завершится ошибкой. Чтобы просмотреть все сертификаты в хранилище NTAuth, используйте следующую команду:
Certutil -viewstore -enterprise NTAuth
Настройка шаблона сертификата внутреннего веб-сервера
Клиенты Windows взаимодействуют с AD FS по протоколу HTTPS. Чтобы удовлетворить эту потребность, сертификат проверки подлинности сервера должен быть выдан всем узлам в ферме AD FS. Локальные развертывания могут использовать сертификат проверки подлинности сервера , выданный корпоративным PKI. Необходимо настроить шаблон сертификата проверки подлинности сервера , чтобы узлы AD FS могли запрашивать сертификат.
Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору домена .
Откройте консоль управления центра сертификации
Щелкните правой кнопкой мыши управление шаблонами сертификатов >
В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон веб-сервера в области сведений и выберите Дублировать шаблон.
Используйте следующую таблицу, чтобы настроить шаблон:
Имя вкладки Конфигурации Совместимость - Снимите флажок Показывать результирующие изменения
- Выберите Windows Server 2016 в списке центров сертификации
- Выберите Windows 10 или Windows Server 2016 в списке получателей сертификации.
Общее - Укажите отображаемое имя шаблона, например внутренний веб-сервер
- Задайте для срока действия требуемое значение.
- Запишите имя шаблона для последующего использования, которое должно совпадать с отображаемым именем шаблона минус пробелы.
Обработка запросов Выберите Разрешить экспорт закрытого ключа. Имя субъекта Выберите Пункт Поставки в запросе. Безопасность Добавление компьютеров домена с доступом к регистрации Cryptography - Задайте для категории поставщиковзначение Поставщик хранилища ключей.
- Задайте для значения имя алгоритмаRSA.
- Задайте для минимального размера ключазначение 2048.
- Задайте для хэша запроса значение SHA256.
Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон.
Закрытие консоли
Отмена публикации устаревших шаблонов сертификатов
Центр сертификации выдает только сертификаты на основе опубликованных шаблонов сертификатов. Для обеспечения безопасности рекомендуется отменить публикацию шаблонов сертификатов, для выдачи которых ЦС не настроен, включая предварительно опубликованные шаблоны из установки роли и любые заменяемые шаблоны.
Созданный шаблон сертификата проверки подлинности контроллера домена заменяет предыдущие шаблоны сертификатов контроллера домена. Следовательно, необходимо отменить публикацию этих шаблонов сертификатов во всех выдающих центрах сертификации.
Войдите в ЦС или рабочую станцию управления с учетными данными, эквивалентными администратору предприятия .
- Откройте консоль управления центра сертификации
- Разверните родительский узел из области > навигации Шаблоны сертификатов
- Щелкните правой кнопкой мыши шаблон сертификата контроллера домена и выберите Удалить. Выберите Да в окне Отключить шаблоны сертификатов .
- Повторите шаг 3 для шаблонов сертификатов проверки подлинности контроллера домена и проверки подлинности Kerberos.
Публикация шаблонов сертификатов в ЦС
Центр сертификации может выдавать сертификаты только для шаблонов сертификатов, опубликованных в нем. Если у вас несколько ЦС и вы хотите, чтобы несколько центров сертификации выдали сертификаты на основе шаблона сертификата, необходимо опубликовать шаблон сертификата для них.
Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .
- Откройте консоль управления центра сертификации
- Развертывание родительского узла из области навигации
- Выберите Шаблоны сертификатов в области навигации
- Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите Новый > шаблон сертификата для выдачи
- В окне Включить шаблоны сертификатов выберите шаблоны Проверки подлинности контроллера домена (Kerberos) и Внутренний веб-сервер , созданные на предыдущих шагах. Нажмите кнопку ОК , чтобы опубликовать выбранные шаблоны сертификатов в центре сертификации.
- Если вы опубликовали шаблон сертификата проверки подлинности контроллера домена (Kerberos), отмените публикацию шаблонов сертификатов, включенных в список замененных шаблонов.
- Чтобы отменить публикацию шаблона сертификата, щелкните правой кнопкой мыши шаблон сертификата, который требуется отменить, и выберите команду Удалить. Выберите Да , чтобы подтвердить операцию.
- Закрытие консоли
Настройка и развертывание сертификатов в контроллерах домена
Настройка автоматической регистрации сертификатов для контроллеров домена
Контроллеры домена автоматически запрашивают сертификат из шаблона сертификата контроллера домена . Однако контроллеры домена не знают о новых шаблонах сертификатов или замененных конфигурациях в шаблонах сертификатов. Чтобы контроллеры домена автоматически регистрировать и продлевать сертификаты, настройте объект групповой политики для автоматической регистрации сертификатов и свяжите его с подразделением контроллеров домена .
- Откройте консоль управления групповыми политиками (gpmc.msc)
- Разверните домен и выберите узел Объект групповой политики в области навигации.
- Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
- Введите автоматическую регистрацию сертификата контроллера домена в поле имя и нажмите кнопку ОК.
- Щелкните правой кнопкой мыши объект групповой политики "Автоматическая регистрация сертификатов контроллера домена " и выберите изменить.
- В области навигации разверните узел Политики в разделе Конфигурация компьютера.
- Разверните раздел Параметры > Windows Параметры безопасности Политики открытых > ключей
- В области сведений щелкните правой кнопкой мыши Клиент служб сертификатов — автоматическая регистрация и выберите Свойства.
- Выберите Включено в списке Модель конфигурации .
- Установите флажок Обновить сертификаты с истекшим сроком действия, обновить ожидающие сертификаты и удалить отозванные сертификаты .
- Установите флажок Обновить сертификаты, использующие шаблоны сертификатов .
- Нажмите кнопку ОК.
- Закрытие редактора управления групповыми политиками
Развертывание объекта групповой политики автоматической регистрации сертификатов контроллера домена
Войдите в контроллер домена или рабочие станции управления с учетными данными, эквивалентными администратору домена .
- Запустите Консоль управления групповыми политиками (gpmc.msc).
- В области навигации разверните домен и узел с доменным именем Active Directory. Щелкните правой кнопкой мыши подразделение контроллеров домена и выберите Связать существующий объект групповой политики...
- В диалоговом окне Выбор объекта групповой политики выберите Автоматическая регистрация сертификатов контроллера домена или имя созданного ранее объекта групповой политики регистрации сертификата контроллера домена.
- Нажмите кнопку ОК.
Проверка конфигурации
Windows Hello для бизнеса — это распределенная система, которая на первый взгляд кажется сложной и затруднительной в настройке. Ключом к успешному развертыванию является проверка этапов работы перед переходом к следующему этапу.
Убедитесь, что контроллеры домена регистрируют правильные сертификаты, а не заменяемые шаблоны сертификатов. Убедитесь, что каждый контроллер домена завершил автоматическую регистрацию сертификата.
Использование журналов событий
Войдите в контроллер домена или рабочие станции управления с учетными данными, эквивалентными администратору домена .
- С помощью средства просмотра событий перейдите к журналу событий Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System
- Найдите событие, указывающее на регистрацию нового сертификата (автоматическая регистрация):
- Сведения о событии включают шаблон сертификата, на котором был выдан сертификат.
- Имя шаблона сертификата, используемого для выдачи сертификата, должно соответствовать имени шаблона сертификата, включенного в событие.
- Отпечаток сертификата и EKU для сертификата также включаются в событие.
- EKU, необходимый для правильной проверки подлинности Windows Hello для бизнеса, — это проверка подлинности Kerberos, в дополнение к другим EKU, предоставляемым шаблоном сертификата.
Сертификаты, заменяемые новым сертификатом контроллера домена, создают архивное событие в журнале событий. Событие архивации содержит имя шаблона сертификата и отпечаток сертификата, который был заменен новым сертификатом.
Диспетчер сертификатов
Можно использовать консоль диспетчера сертификатов для проверки, что у контроллера домена есть правильно зарегистрированный сертификат на основе правильного шаблона сертификата с соответствующими EKU. Используйте certlm.msc, чтобы посмотреть сертификат в хранилище сертификатов на локальном компьютере. Разверните хранилище Личные для просмотра сертификатов, зарегистрированных на компьютере. Архивные сертификаты не отображаются в диспетчере сертификатов.
Certutil.exe
Вы можете использовать certutil.exe
команду для просмотра зарегистрированных сертификатов на локальном компьютере. Certutil показывает зарегистрированные и архивные сертификаты для локального компьютера. В командной строке с повышенными привилегиями выполните следующую команду:
certutil.exe -q -store my
Чтобы просмотреть подробные сведения о каждом сертификате в хранилище и проверить автоматическую регистрацию сертификатов, зарегистрировав соответствующие сертификаты, используйте следующую команду:
certutil.exe -q -v -store my
Диагностика
Windows включает автоматическую регистрацию сертификатов для компьютера во время загрузки и при обновлениях групповой политики. Можно обновить групповую политику из командной строки с повышенными привилегиями с помощью команды gpupdate.exe /force
.
Кроме того, вы можете принудительно запустить автоматическую регистрацию сертификатов с помощью команды certreq.exe -autoenroll -q
из командной строки с повышенными привилегиями.
Используйте журналы событий для мониторинга регистрации и архивации сертификатов. Проверьте конфигурацию, например публикацию шаблонов сертификатов в центре сертификации и разрешение на автоматическую регистрацию.
Проверка раздела и дальнейшие действия
Прежде чем перейти к следующему разделу, убедитесь, что выполнены следующие действия.
- Настройка шаблонов сертификатов контроллера домена и веб-сервера
- Замена существующих сертификатов контроллера домена
- Отмена публикации устаревших шаблонов сертификатов
- Публикация шаблонов сертификатов в ЦС
- Развертывание сертификатов на контроллерах домена
- Проверка конфигурации контроллеров домена