Внедрение PKI на платформе Windows Server 2012: настройка Web Server

Изначально наши условия таковы, что к PKI доступ должен быть как изнутри, так и “снаружи” организации.

Из этого следует, что публиковать сертификаты и списки отзывов будем на серверах ws1 и ws2 используя NLB.

Веб-сервера будут расположены в DMZ, а контент (сертификаты, списки отзывов и прочее) хранится на отказоустойчивой DFS шаре \lab.kagarlickij.compki

Описание развертывания DFS выходит за рамки цикла статей о PKI, тем более что это достаточно простой вопрос.

На шару \lab.kagarlickij.compki добавим права Modify для Cert Publishers 

Screen Shot 2014-09-15 at 4.59.01 PM

Установим IIS и NLB на сервера ws1 и ws2:

Install-WindowsFeature Web-WebServer -IncludeManagementTools

Install-WindowsFeature NLB,RSAT-NLB

Затем добавим в DNS А запись о нашем NLB pki.lab.kagarlickij.com и проверим резолв этого имени в адрес:

Screen Shot 2014-09-08 at 2.24.42 PM

Screen Shot 2014-09-15 at 2.54.49 PM

Настроим NLB кластер:

Screen Shot 2014-09-08 at 2.39.40 PM

Скопируем сертификат и список отзыва RootCA в папку \lab.kagarlickij.compki

На обеих веб серверах для DefaultWebSite укажем в качестве Physical Path  \lab.kagarlickij.compki  (но можно удалить DefaultWebSite и создать новый сайт) а в качестве Physical Path Credentials учетную запись администратора LABAdministrator (в реальной среде следует создать отдельную учетную запись и дать ей права на шару) .

Screen Shot 2014-09-15 at 5.05.52 PM

В IIS Manager на обеих серверах,  перейдем в раздел Request Filtering (на уровне Default Web Site), на вкладке File Name Extensions нажмем Edit Feature Settings и включим чекбокс Allow Double Escaping (Разрешение двойного преобразования необходимо в случае публикации разностных CRL в IIS ввиду того, что файл разностных CRL содержит символ “+” – подробнее тут).

Screen Shot 2014-09-15 at 3.12.21 PM

Для Default Web Site анонимную аутентификацию будем выполнять не от имени учетки, а от имени пула:

Screen Shot 2014-09-15 at 3.12.56 PM

Создадим файл cps.txt в \lab.kagarlickij.compki , для тестирования текст можно взять из RFC – http://www.ietf.org/rfc/rfc3647.txt

Перезапустим IIS: iisreset

Проверим доступность .crt, .crl, cps  как с обеими, так и с каждой нодой по отдельности.

Screen Shot 2014-09-08 at 6.21.36 PM

Если все хорошо – двигаемся дальше.

PS В качестве более простого варианта, можно предложить размещение веб-серверов в домене и создание между ними DFS Namespace и Replication.

=> Оглавление цикла статей о PKI