4.3 Az Active Directory (AD)
7.2.6 Tanúsítványkezelés
A tanúsítványkezelés elvégezhető a kiszolgálókezelőből az Active Directory tanúsítványszolgáltatások szerepkör konzol részfa alatt, de akár a felügyeleti eszközök (Administrative Tools) alól is indítható a hitelesítésszol-gáltató (Certificate Authority) menüpont segítségével.
Ez utóbbit választva egy jobban áttekinthető, kevésbé zsúfolt konzolon ke-resztül adminisztrálható a hitelesítésszolgáltató, vagy tanúsítványkiszolgáló. A baloldalon található konzolfa alatt látható a helyi tanúsítványkiszolgáló, amely tanúsítványokat, kérelmeket és sablonokat tartalmazó mappákat tartalmaz. A tanúsítványkiszolgálóra jobb gombbal kattintva majd a megjelenő helyi menü-ből a tulajdonságokra (Properties) kattintva megjelenik a kiszolgáló beállításait tartalmazó adatlap, ahonnan a beállítások értékeiről lehet tájékozódni, illetve ahonnan meg lehet változtatni őket.
85. ábra: CA a kiszolgálókezelőben
A tanúsítványkiszolgáló alatt található mappák a következők: visszavont tanúsítványok (Revoked Certificates), kiállított tanúsítványok (Issued Certificates), várakozó kérelmek (Pending Requests), sikertelen kérelmek (Failed Requests) és a tanúsítványsablonok (Certificate Templates).
86. ábra: Új kiállítandó tanúsítványsablon
A tanúsítványsablonok mappában található sablonok segítségével lehet különböző típusú tanúsítványokat kiállítani. A listában felsorolt tanúsítvány típusoknál többet is támogat a kiszolgáló. Ha a kívánt sablon nincs a listában, érdemes lehet a lista egy üres területére a jobb gombbal kattintva egy új
kiállí-tandó tanúsítványsablont a listához illeszteni. A megjelenő listából további spe-ciális tanúsítványtípusok sablonjai jelennek meg. A megfelelőt kiválasztva, majd az OK gombra kattintva a kívánt sablon megjelenik a sablonok mappában.
87. ábra: Tanúsítványsablonok engedélyezése
A különböző jogosultságok megbolygatásának elkerülése végett érdemes lehet a tanúsítványsablonokat másolni, valamilyen szempontból egyedivé tenni, majd a megfelelő kör számára megadni rájuk az igénylés engedélyét. Ehhez szükség lesz a tanúsítványsablonok beépülő modult (Certirficate Snap-in) be-tölteni az felügyeleti konzolba (Microsoft Management Console – MMC), de elérhető a modul a kiszolgálókezelőből (Server Manager) is.
88. ábra: Beépülő modul hozzáadása a felügyeleti konzolhoz
Előbbihez el kell indítani a felügyeleti konzolt, amelynek parancsát (mmc) a legegyszerűbben a start menü legalsó, kereső mezőjébe kell beírni, majd En-ter-t ütni. Ezek után az elinduló konzol, fájl (File) menüjében a beépülő modul hozzáadása/eltávolítása (Add/Remove Snap-in) menüpontot kell választani. A bal oldali listában a megjelenő modulok közül ki kell választani a tanúsítvány-sablonok (Certificate Templates) modult, majd a hozzáadás (Add) gombra kell kattintani, mire a modul a jobb oldali kijelölt modulok listába kerül. A művelet végén az OK gombra kell kattintani.
89. ábra: Tanúsítványsablon duplikálása a kiszolgálókezelőből
Számos saját igénynek megfelelő, testre szabott felügyeleti konzol készíthető ezzel a módszerrel. A konzol vagy konzolok el is menthetők, parancsikonjuk a start menübe helyezhetők a könnyebb elérés végett.
A kiszolgáló kezelőben ugyanez a modul az Active Directory tanúsítvány-szolgáltatások konzol részfa alatt található tanúsítványsablonok (kiszolgáló-név) (Certificate Template (Server Name)) alatt található meg.
90. ábra: Az új tanúsítványsablon
A tanúsítványsablonok közül a megfelelőt kiválasztva, majd jobb gombbal kattintva, a helyi menüből a sablon duplikálást (Duplicate Template) kell válasz-tani. Ebben az esetben a Webkiszolgáló (Web Server) sablon kerül kiválasztás-ra. A duplikálás (Duplicate) menüpont kiválasztása után megjelenik a sablon duplikálása (Duplicate Template) ablak, ahol ki kell jelölni annak a Windows Servernek a verzióját, amelyik ezt a tanúsítványt használni fogja. Ebben az eset-ben ez a Windows Server 2008 lesz.
91. ábra: Az új sablon tulajdonságai
Kiválasztása után az OK gombra kell kattintani. Ezután a megjelenő új sab-lon tulajdonságai (Properties of New Template) adatlapon, az általános fülön a sablon megjelenítendő nevéhez (Template display name) a meg kell adni a másolt sablon nevét, amelynek nyilván különböznie kell az eredetitől. Legyen ez most Webkiszolgáló 2008 I, amely név alapján a sablon neve automatikusan létrejön. A többi beállítással az esetek nagy részében nem kell foglalkozni, hi-szen pont azért van a sablon lehetőség, hogy ne legyen a művelet túlbonyolítva.
92. ábra: Engedélyek beállítása
A tulajdonságok beállításánál van még egy beállítási opció, amely szüksé-ges a későbbi tanúsítványkérelmezéshez. A biztonság (Security) fülön a tanúsít-ványsablonhoz rendelt engedélyek (Permissions) látszódnak. Itt a hitelesített felhasználóknak meg kell adni az igénylés engedélyét.
93. ábra: Új kiállítandó tanúsítványsablon
Ha ez készen van, akkor a hitelesítésszolgáltató tanúsítványsablonok (Certificate Template) mappájának egy üres területén jobb gombbal kattintva, majd a helyi menüből az új kiállítandó tanúsítványsablon (New Certificate Template to Issue) menüpontra kattintva a már ismertetett módszer szerint az új tanúsítványsablont hozzá kell illeszteni a jelenlegi listához.
94. ábra: Az új, webkiszolgáló 2008 I. sablon engedélyezése
A tanúsítvány igénylése többféleképen történhet a népszerű webes felüle-ten keresztüli igényléstől, a tanúsítvány beépülő modulon keresztüli, valamint a parancssoros certreq eszközön keresztüli igénylésig. Itt most a beépülő modu-lon keresztüli igénylés kerül ismertetésre.
95. ábra: Tanúsítványok modul hozzáadása a felügyeleti konzolhoz A felügyeleti konzol (mmc) elindítása után be kell tölteni a konzolba a ta-núsítványok (Certificates) modult. A megjelenő párbeszédablakban ki kell vá-lasztani a számítógép fiókot (Computer Account), mivel a tanúsítvány egy web-kiszolgáló számítógéphez lesz hozzárendelve. A megjelenő konzolon a tanúsítványok (Certificates) alatt ki kell választani a személyes (Personal) map-pában található tanúsítványok mappát. A konzol jobb oldalán megjelenő listá-ban már kell lennie legalább egy vagy két tanúsítványnak, amelyek közül az egyik maga a legfelsőszintű tanúsítvány, a másik pedig a tartományvezérlő ne-véhez rendelt tanúsítvány. Az üres területre jobb gombbal kattintva a megjele-nő helyi menüben ki kell választani az összes feladat (All tasks) közül az új tanú-sítvány kérését (Request New Certificate).
96. ábra: Új tanúsítvány igénylése
A menüpont kiválasztásának hatására elindul a tanúsítvány igénylése (Certificate Enrollment) eszköz, ahol az alapismeretek elolvasása után a tovább (Next) gombra kell kattintani. A következő ablakban a tanúsítványházirend kivá-lasztása történik meg, itt az alapértelmezett, rendszergazda által beállított (Configured by your administrator) lehetőséget kell választani.
97. ábra: Tanúsítványházirend kiválasztása
A tovább gombra kattintva egy kis várakozás után megjelenik az Active Directory igénylési házirend (Active Directory Enrollment Policy) és a
jogosult-ságok alapján használható tanúsítványsablonok. Itt ki kell választani a listából a Webkiszolgáló 2008 I. tanúsítványsablont, azonban az igénylés addig nem foly-tatható, amíg további információk nem lesznek megadva a készülő tanúsítvány-nyal kapcsolatban.
98. ábra: A tanúsítványsablon kiválasztása
A hiányzó adatok megadásához a kattintson a beállítások konfigurálásá-hoz (Clicke here to configure settings) szövegre kell kattintani. Ekkor megjelenik a tanúsítvány tulajdonságai (Certificate Properties) adatlap, amelynek hiányos adatot tartalmazó fülén megjelenik egy kis sárga felkijáltójel. Ebben az esetben ez a tulajdonos (Subject) lap, itt is a tulajdonos neve mezőben kell adatot meg-adni. Ehhez a típus (Type) listából a köznapi nevet (Common Name) kell kivá-lasztani, értékének pedig a tanúsítványt igénylő webkiszolgáló teljes DNS-beli nevét (FQDN) kell megadni, amely itt www.vall.ceg.tld, majd a hozzáadás (Add) gombra, végül az OK gombra kell kattintani.
99. ábra: A tanúsítvány köznapi nevének megadása
Ekkor már kiválasztható lesz az igénylés (Enroll) gomb, rákattintva elindul a tanúsítványigénylés folyamat, melynek végén a befejezés (Finish) gombra kat-tintva, megjelenik a tanúsítványok listájában az új tanúsítvány. Ha ezen a kiszol-gáló számítógépen IIS webkiszolkiszol-gáló lenne telepítve, akkor ez a tanúsítvány pár kattintás segítségével máris használható lenne HTTPS, SSL alapú titkosított HTTP kommunikációra. Persze azt is fontos megjegyezni, hogy az adott névnek léteznie kell a DNS kiszolgálón.
100. ábra: Az igénylés befejezése