Wasz głos: PKI w oparciu o Windows Server 2008 R2


Mam przyjemność powrócic do dobrej tradycji oddawania mojego bloga ludziom, którzy mają równiez sporo do powiedzenia o oprogramowaniu Microsoft (nie koniecznie tylko z dobrej strony). Mój gość - jako specjalista IT - w swojej pracy wykorzystał oprogramowanie Microsoft.

Całość wypowiedzi została przygotowana przez Jarka i jedyne, co pozwoliłem sobie zrobić samemu to wytłuścić pewne rzeczy – reszta to w 100% niecenzurowana 😉 wypowiedź mojego gościa.

To kontynuacja cyklu "Wasz głos". Więcej tego typu wypowiedzi jest również dostępna na moim blogu pod tagiem "Wasz głos". Całość inspirowana jest programem IT Pro Momentum, w którym uczestnicy poza dostępem do oprogramowania Microsoft dostają również darmowe wsparcie techniczne.

A Jarek za swój opis zmagań z Windows Server 2008 R2 i infrastrukturą PKI dostanie ode mnie miły upominek, w postaci książki "Windows 7 - Vademecum Administratora". Jeśli i Wy macie ochotę opisać Wasze wrażenia z wdrożeń - to zachęcam do odezwania się.

Oddaję już głos Jarkowi

Nazywam się Jarek Mikołajczyk. Pracuję w dziale serwisu firmy Unizeto Technologies SA, dostawcy podpisu elektronicznego, producenta i integratora oprogramowania (w tym także oprogramowania Microsoftu).

Jakie były cele ?

Zbudowanie infrastruktury PKI, z możliwością logowania kartą SmartCard przez użytkownika na stacjach klienckich, będących w różnych domenach (niezaufanych ze sobą) i lokalizacjach.

Całość oparta miałaby być o system serwerowy Windows Server 2008 R2 oraz o systemy klienckie Windows 7 i XP.

I tutaj niezastąpiony jest program IT Pro Momentum, dzięki któremu mam dostęp do niezbędnego oprogramowania, także pomocy technicznej z której, korzystałem przy realizacji tego projektu (wielkie dzięki Mariusz za umożliwienie mi udziału w tym programie).

A więc do roboty..

Zgodnie z wcześniejszymi wytycznymi, został zbudowany dwupoziomowy urząd certyfikacji, składający się z głównego urzędu (Root- będący w trybie offline) oraz podrzędnego (Intermediate CA-będący w trybie online). Całość została posadowiona w głównej siedzibie firmy.

Od tego momentu zaczął się prawdziwy test możliwości jakie daje nam Windows Server 2008 R2 oraz Windows 7.

Na pierwszy rzut oka może się wydawać no tak... urząd został postawiony w jednym miejscu, w jednej domenie, a lokalizacji mamy dwie i tak samo domeny.

I tutaj pojawia się nowość w serwerze Windows Server 2008 R2: Certificate Enrollment Policy Web Service oraz Certificate Enrollment Web Service, które umożliwiły stworzenie takiej konfiguracji, jaka była w założeniach. Usługi zostały zainstalowane na dodatkowym serwerze, skonfigurowane zgodnie z dokumentacją i zaleceniami Microsoftu, oczywiście wcześniej zostały też skonfigurowane policy domenowe, dla klientów, przygotowane szablony certyfikatów w urzędzie certyfikacji oraz wystawione odpowiednie certyfikaty bez, których cel jaki został ustalony nie zostałby zrealizowany.

Testy od strony klientów czas zacząć...

Oczywiście, nie wszystko wyglądało tak różowo. Na samym początku okazało się, że do uzyskania certyfikatów na kartę, z urzędu znajdującego się w innej domenie (brak zaufania pomiędzy domenami), nie nadaje się stacja z systemem Windows XP! Niestety system ten nie posiada w przystawce MMC odpowiednich składników, dzięki którym możemy wygenerować żądania certyfikatów. Dlatego tym samym zrezygnowałem z tego systemu wykorzystując tylko system Windows 7.

Spod systemu Windows 7, nie było problemu z wygenerowaniem żądania, i otrzymania certyfikatu na kartę. Jedynie czego mi w tym wszystkim brakuje to generowania takich żądań poprzez stronę www (tak jak jest w Windowsach 2003), a nie przez przystawkę. Moim zdaniem zdecydowanie lepiej by to wyglądało i w jakimś stopniu uprościło generowanie żądań.

Jako, że od serwera Windows 2008 została wprowadzona usługa OCSP, postanowiłem i ją wykorzystać w tym projekcie i zainstalować. Usługa ta zdecydowanie rozwiązuje problem z opóźnionym działaniem nowych list CRL i tym samym umożliwia szybkie zweryfikowania ważności certyfikatu.

Co daje nam nowy system Windows Server 2008 R2? A no to, że nie musimy już instalować dodatkowych urzędów certyfikacji (tak było w Windows 2003 i 2008) w każdej lokalizacji jaką mamy, tym samym oszczędzamy pieniądze na zakup dodatkowego sprzętu jak i licencji oraz mamy pełną kontrolę z wydawanymi certyfikatami 🙂 Ot to takie moje doświadczenie z CA w nowym Windows Server 2008 R2.

Sam program IT Pro Momentum, jest idealnym rozwiązaniem dla ludzi, którzy chcą zbudować coś z niczego, dostając niezliczona ilość oprogramowania jak również dostęp do pomocy technicznej.

--

Masz ochotę napisać o swoich wrażeniach (z punktu widzenia specjalisty IT) z wdrożeń technologii Microsoft? I chcesz napisać zarówno o plusach jak i minusach? Napisz do mnie: mariusz.kedziora@microsoft.com a opublikuję Twój opis w moim blogu.

Comments (3)

  1. Gienek says:

    Mariusz, na początku ubiegłego roku zapowiadałeś na forum WSS pojawienie się serii artykułów na TechNecie o PKI. Minął rok. Niedawno ktoś również na to zwrócił uwagę – bez odpowiedzi. Co z tym?

  2. jarek says:

    Nawet się niespodziewałem, że jeszcze jakiś prezent dostanę 🙂 Dzięki Mariusz 🙂

  3. jarek says:

    Nawet się niespodziewałem, że jeszcze jakiś prezent dostanę 🙂 Dzięki Mariusz 🙂

Skip to main content