Изначально наши условия таковы, что к PKI доступ должен быть как изнутри, так и “снаружи” организации.
Из этого следует, что публиковать сертификаты и списки отзывов будем на серверах ws1 и ws2 используя NLB.
Веб-сервера будут расположены в DMZ, а контент (сертификаты, списки отзывов и прочее) хранится на отказоустойчивой DFS шаре \lab.kagarlickij.compki
Описание развертывания DFS выходит за рамки цикла статей о PKI, тем более что это достаточно простой вопрос.
На шару \lab.kagarlickij.compki добавим права Modify для Cert Publishers
Установим IIS и NLB на сервера ws1 и ws2:
Install-WindowsFeature Web-WebServer -IncludeManagementTools
Install-WindowsFeature NLB,RSAT-NLB
Затем добавим в DNS А запись о нашем NLB pki.lab.kagarlickij.com и проверим резолв этого имени в адрес:
Настроим NLB кластер:
Скопируем сертификат и список отзыва RootCA в папку \lab.kagarlickij.compki
На обеих веб серверах для DefaultWebSite укажем в качестве Physical Path \lab.kagarlickij.compki (но можно удалить DefaultWebSite и создать новый сайт) а в качестве Physical Path Credentials учетную запись администратора LABAdministrator (в реальной среде следует создать отдельную учетную запись и дать ей права на шару) .
В IIS Manager на обеих серверах, перейдем в раздел Request Filtering (на уровне Default Web Site), на вкладке File Name Extensions нажмем Edit Feature Settings и включим чекбокс Allow Double Escaping (Разрешение двойного преобразования необходимо в случае публикации разностных CRL в IIS ввиду того, что файл разностных CRL содержит символ “+” – подробнее тут).
Для Default Web Site анонимную аутентификацию будем выполнять не от имени учетки, а от имени пула:
Создадим файл cps.txt в \lab.kagarlickij.compki , для тестирования текст можно взять из RFC – http://www.ietf.org/rfc/rfc3647.txt
Перезапустим IIS: iisreset
Проверим доступность .crt, .crl, cps как с обеими, так и с каждой нодой по отдельности.
Если все хорошо – двигаемся дальше.
PS В качестве более простого варианта, можно предложить размещение веб-серверов в домене и создание между ними DFS Namespace и Replication.