ИТ-архитектура от А до Я: Комплексное решение. Первое издание. Вадим Алджанов
Читать онлайн книгу.СХД (C02), Сетевой Инфраструктуры (C03) и служб Активного Каталога и DNS (P01).
Мощности
Текущая модель позволяет обслуживать порядка 1000 объектов.
Масштабирование
Масштабирование сервиса возможно двумя путями: Повысить вычислительные мощности серверов или добавить дополнительные сервера.
Отказоустойчивость и восстановление
Сервера построены по схеме отказоустойчивости. Корневой сервер уникальный, его восстановление возможно только из резервной копии или реплики резервного сайта.
Отказоустойчивость двух других компонентов обеспечивается использованием средств балансировки нагрузки или построением кластера между парами серверов раздающими сертификаты и проверяющими сертификаты. Виртуальные машины располагаются на различных хостах платформы виртуализации. Отказоустойчивость на уровне сайтов обеспечивается дополнительными серверами.
Роли и ответственности
Административная роль «Adm_PKI_Administrator» для конфигурирования серверов. Сервисная роль для запуска серверов не предусмотрена. Для разворачивания Сервера «Subordinate Domain Integrated Issue CA» необходимо использовать права «Enterprise Administrator» корневого домена леса. Данный пользователь добавляется в группу локальную «Administrators» на сервере PKI-PDC-IS01. За работу сервиса отвечает «системный администратор».
Установка
Установка серверов (PKI-PDC-CA, PKI-PDC-IS01, PKI-PDC-OCSR01)
Сервер PKI-PDC-CA:
•Добавление роли Active Directory Certificate Services – Certificate Authority
•Настройка CA (с правами локального администратора, Standalone CA, Root CA,)
•Создаем новый ключ (RSA # Microsoft Software Key Storage Provider, Key length = 4096, Hash algorithm = SHA256)
•Указываем имя CA:
Common Name: HOLDING-PKI-ROOT-CA
Distinguish Name Prefix: DC=HOLDING, DC=local
Preview Distinguish Name: CN=HOLDING-PKI-ROOT-CA, DC=HOLDING, DC=local
Период действия = 5 лет. (Если период действия 20 лет, то необходимо изменить значение регистра: KLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CAName
•Так как CA Offline, то добавляем две команды PowerShell (чтобы проверка CRL и AIA была на сервере PKI-PDC-OCSR01. Добавляет в регистр значения для alias проверки):
certutil. exe -setreg ca\DSConfigDN «CN=configuration, DC=MYCOMPANY, DC=local»
certutil. exe -setreg ca\DSDomainDN «DC=MYCOMPANY, DC=local»
•Настройки Extensions CA certificate (PKI-ROOT-CA -> Properties -> Extensions). Удаляем все записи и добавляем:
CRL Distribution Point (CDP): http://pki.mycompany.local/cdp/<CaName><CRLNameSuffix>.CRL
•Check: Include in CDP extension of issue certificates
Authority Information Access (AIA): http://pki.mycompany.local/aia/<CaName><CertificateName>.CRT
•Check: Include in the AIA extension of issue certificates
•Перезапуск сервиса
•Меняем период публикации CRL publication interval to 5 years (Revoked Certificate -> Properties ->)
•Публикуем Certificate Revocation List (CRL)
По умолчанию CRL и AIA располагаются в директории: c:\Windows\system32\CertSrv\CertEnroll
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.