Seriál: Nasazujeme Direct Access – automatická distribuce klientských certifikátů (část 3.)


Prvním a nejjednodušším procesem je vystavování počítačových certifikátů pro klienty. Pokud již nemáte nastaveno automatické vystavování certifikátů přes službu ActiveDirectory, je nutné jej donastavit.

K automatickému vystavování využijeme služeb Active Directory. Nejdříve je nutné se přesvědčit, zda máme publikován tzv. Certificate Template pro tento druh certifikátů a zda máme nastavena oprávnění pro automatickou distribuci. Otevřeme si tedy konzolu od certifikační autority. Na položce Certificate Templates pod kontextovým menu zvolíme Manage.

da3_1

V následující obrazovce vyhledáme Template Computer, v kontextovém menu zvolíme Properties a na záložce Security ověříme, že Domain Computers mají povoleno Enroll (Allow enroll). Tímto jsme ověřili, že Domain computers mají právo na vystavení certifikátu.

da3_2

Dalším krokem, je vytvoření doménové politiky, kterou zařídíme automatické vydání certifikátů pro všechny klienty DirectAccess. Otevřeme si konzolu na správu doménových politik. Přejdeme na záložku Group Policy Objects.

da3_3

V kontextovém menu zvolíme New a politiku pojmenujeme dle vašich jmenných konvencí. V tomto případě DA_NastaveniKlientu.

clip_image008

V GPO nastavíme automatické vydávání certifikátů pro klienty. Přejdeme tedy na vytvořenou politiku a z kontextového menu zvolíme Edit. V následující MMC konzoli vyhledáme Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies -> Automatic Certificate Request Settings.

da3_4

V kontextovém menu vybereme New Automatic Certificate Request a Next. V dalším okně průvodce vybereme předem připravený Certificate Template Computer a zvolíme Next a v posledním okně průvodce Finish.

clip_image012 clip_image014

V politice dále nakonfigurujeme položku Auto-Enrollment Properties. Obdobně jako na následujícím obrázku.

clip_image016

Tímto máme tuto část politiky hotovou a konzolu můžeme uzavřít. Dále nastavíme ještě základní parametry aplikace GPO. Politiku označíme a v pravé části se nám zobrazí detaily k naší vytvořené politice. V nastavení politiky provedeme dvě změny. Na záložce Scope v části security Filtering odebereme Authenticated Users a přidáme skupinu, kterou jsme si pro tento účel dříve připravili.

clip_image018

Dále na záložce Details vybereme z kontextové nabídky „User configuration settings disabled“ (vybereme proto, že v této politice nebude nic v uživatelských nastavení).

clip_image020

Posledním krokem je nastavení aplikace této politiky. V mém případě tuto politiku aplikuji na celou doménu, ale můžete ji připojit na některé níže položené OU. Na konkrétním OU z kontextového menu zvolíme Link existing GPO a vybereme naší připravenou politiku. Tímto zajistíme její aplikaci.

Vytvoření nového template

Dále je nutné vygenerovat certifikát pro NLS (Network Location Server). Pro tento certifikát je nutné vytvořit nový Template. Spustíme konzolu od certifikační autority, vybereme Certificate Template a z kontextového menu vybereme Manage. V seznamu vybereme Template Web Server a z kontextového menu vybereme Duplicate Template. Z následujícího výběru vybereme Windows Server 2008 Enterprise.

clip_image022

Duplikovaný Template pojmenujeme opět dle vašich jmenných konvencí, v tomto případě ji pojmenujeme DAWebServer.

clip_image024

Na záložce Request Handling zaškrtneme volbu „Allow private to be exported“.

clip_image026

Poslední nastavení, které je nutné změnit je na záložce Security. Povolíme Enroll pro Authenticated Users. Potvrdíme OK a okno Certificate Template Console můžeme zavřít.

clip_image028

Nyní povolíme Certificate Template, který jsme v předchozím kroku vytvořili. Vybereme Certificate Templates a z kontextového menu vybereme New -> Certificate template to issue. Ze seznamu vybereme náš vytvořený template.

clip_image030

 

- Jan Slavík

Další díly seriálu:
Seriál: Nasazujeme Direct Access - příprava a konfigurace DirectAccess Connectivity Assistant (část 6. - poslední) (vychází 24. 6. 2010)
Seriál: Nasazujeme Direct Access - nastavení firewallu (část 5.) (vychází 25. 6. 2010)
Seriál: Nasazujeme Direct Access - vygenerování certifikátů na DirectAccess Serveru (část 4.)
Seriál: Nasazujeme Direct Access - instalace WS 2008 R2 (část 2.)
Seriál: Nasazujeme Direct Access - úvod a požadavky (část 1.)

Comments (0)

Skip to main content