Embedded Files
Intraneti projekti idee on sisevõrgu loomine ning muuta sise internetiks. Peamine funktsioonid on DNS serverid, SSL sertifikaadid ja IIS veebiserverid.
Projekti raames on intraneti operatsioonisüsteemiks valitud Windows Server 2022/2025 Standard Edition.
DNS root: hari.intra
DNS kliendid: site01.hari.intra, ca-hariduse.hari.intra, site02.hari.intra
Monitoorimiseks kasutan Splunk Serverit, mis on paigaldatud ja haldatud Windows Serveris.
Pilt: ca-hariduse.hari.intra certsrv enrollimise veebileht. Tähtis tähelepanek lukkule, mis identifitseerib SSL/HTTPS krüpteerimis ühendust. Antud tehnoloogia, töötab järgmisena:
HTTPS tekkib siis kui mõlemad nii DNS klient kui Serveri vaheline ühendus on usaldatud (Trusted). Klient seadmel on sertifikaat (Client/Server Authentication), mis valideerib turvalist ühendust serveri ja kliendi vahel.
DNS klient: site01.hari.intra. Serveris on installitud IIS veebiserver. Sertifikaadi installimine käib läbi AutoEnroll funktsiooni. Sertifikaadi allalaadimiseks tuleb avada Powershell ning sisesta käsk gpupdate /force.
DNS klient: ca-hariduse.hari.intra
certsrv manager (SubOnline CA) server, mis jagab sertifikaadi templeite Active Directory'se. Active Directory Jagab sertifikaate domeeni arvutitele või domeeni serveritele.
Antud hetkel on paigaldatud, allkirjastatud ja jagatud "Veebiserver SSL" ja "Client-Server Autentimine". Jagamise staatust saab näha "Issued Certificates"
LDAP over SSL
Navigeeru CA-hariduse.hari.intra, logi sisse HARI\Administratori kontoga. (Kontol peab olema õigused nagu Domain Admins, Enterprise Admins).
Tee lahti Certification Authority, Certificate Template, Parema klickiga vali "Certificate Templates".
Antud sertifikaadi templetidest vali "Kerberos Authentication". Nimeks pane "LDAP over SSL".
Security - Lisa õigused (ENTERPRISE DOMAIN CONTROLLER, Domain Controller, Enterprise Read-only Domain Controller) : Read, Write, Enroll, Autoenroll.
!!!Enterprise Read-Only Domain Controller lisa enroll, autoenroll õigused!!!
Request Handling - "Signature and Encryption", "Allow Private Key to be Exported"
Subject Name - "Build from this Active Directory information", Subject name format "DNS name", "Service Principal Name SPN"
Navigeeru tagasi Certification Authority (Local) > "Certificate Templates". Parema klickiga vali "New" > "Certificate Template to Issue"
Vali "LDAP over SSL" sertifikaadi template.
DNS server: hari.intra
Ava Powershell ning sisesta käsk: "gpupdate /force"
Seejärel peaks sertifikaat ilmuma domeeni kontrolleri usaldatud sertifikaadite hoidlasse
Page updated
Google Sites
Report abuse