Центр сертификации microsoft ca

Центр сертификации microsoft ca

Пошаговая инструкция по установке и настройке центра сертификации

Сергей Вессарт | Опубликовано 29.10.2013 в рубрике Новые возможности

Одним из преимуществ ЛОЦМАН:ПГС является применение цифровых подписей достоверно подтверждающих личность и роль подписавшего документ. Для создания цифровых подписей необходимы сертификаты выданные удостоверяющим центром сертификации.

На этапе внедрения не всегда хватает опыта для установки и настройки центра сертификации, чтобы Вам не пришлось собирать крупицы информации по просторам интернета, мы предлагаем подробно рассмотреть установку и настройку центра сертификации.

В наших примерах мы будем использовать контроллер домена на Microsoft Windows Server 2008 и клиент Microsoft Windows 7.

  1. Для начала нам нужно добавить роль Active Directory Certification Services (Службы сертификации Active Directory) на контроллере домена. Откройте Server Manager и выполните команду «Add Role» («Добавить роли»).
  2. Откроется Add Roles Wizard (Мастер добавления ролей). Нажмите Next.
  3. Выберите роль Active Directory Certification Services(Службы сертификации Active Directory). Нажмите Next.
  4. Next.
  5. Проверьте, что отмечена служба Certification Authority(Центр сертификации).
  6. Вариант установки должен быть указан «Enterprise».
  7. Тип центра сертификации Root CA(Корневой ЦС).
  8. Создайте новый приватный ключ.
  9. Укажите параметры шифрования, например:

    Если Вы меняете параметры, рекомендуем Вам ознакомиться с советами компании Microsoft по безопасности в части выбираемой длины ключа.
  10. Проверьте имя и суффиксы центра сертификации, например:
  11. Задайте срок действия сертификата, например:
  12. Next.
  13. Install.
  14. Процесс установки…
  15. Установка завершена. Close.

    Центр сертификации установлен. Теперь нужно создать шаблон сертификатов.
  16. Перейдите в Certificate Templates (Шаблоны сертификатов) и выполните команду Duplicate Template (Скопировать шаблон) на существующем шаблоне, например User.
  17. Выберите версию Windows Server минимально поддерживаемую ЦС.

    Не выбирайте Windows Server 2008, иначе при подписании созданным сертификатом документов в программных продуктах использующих .NET Framework 4.0 Вы получите сообщение «Указан неправильный тип поставщика (mscorlib)». Иными словами Вы не сможете использовать сертификат.
  18. В открывшихся свойствах шаблона укажите имя и отключите Publish certificate in Active Directory (Опубликовать сертификат в Active Directory):
  19. Перейдите на вкладку Request Handling (Обработка запроса) и измените цель на «Signature» («Подпись»).
  20. Проверьте параметры на вкладке Subject Name (Имя субъекта).
  21. На вкладке Security (Безопасность) для группы Authenticated Users (Прошедшие проверку) разрешите Enroll (Заявка).
  22. На вкладке Extensions (Расширения) скорректируйте Application Policies (Политика применения) .

    Выберите Document Signing (Подписывание документа).

    ОК.

    Шаблон сертификата создан, теперь необходимо его опубликовать.
  23. Перейдите в Certificate Templates (Шаблоны сертификатов) и выполните команду «New -> Certificate Template to Issue» («Новый -> Выдать шаблон сертификата»).
  24. Выберите ранее созданный шаблон. ОК.

    Установка и настройка шаблона сертификатов закончена. Перейдем на клиента и попробуем получить сертификат.
  25. На клиенте запустите Certificate Manager Tool выполнив команду certmgr.msc.
  26. Перейдите в Personal (Личное) и создайте запрос на получение сертификата, выполнив Request New Certificate (Запросить новый сертификат).
  27. Next.
  28. Выберите политику Active Directory. Next.
  29. В типах сертификатов отметьте ранее созданный шаблон.

    Если планируется использование нескольких сертификатов для одного пользователя, желательно присвоить имя запрашиваемому сертификату. Откройте свойства заявки.
  30. На вкладке General (Общие) укажите Friendly name (Понятное имя).

    Сохраните и закройте свойства.
  31. Enroll.
  32. Заявка успешно завершена, сертификат получен.
  33. В Certificate Manager Tool можно посмотреть параметры сертификата.

    Мы получили сертификат только для одного пользователя, а когда пользователей много, такой способ не очень удобен. Для облегчения процесса давайте настроим автоматическую раздачу сертификатов групповой политикой.
  34. Для начала необходимо изменить свойства, созданного ранее шаблона, сделать его доступным для автоматической выдачи. Найдите созданный шаблон в Server Manager и откройте свойства.
  35. Перейдите на вкладку Security (Безопасность) и для группы Authenticated Users (Прошедшие проверку) разрешите Autoenroll (Автозаявка).
  36. Следующий шаг — настроить групповую политику автоматической регистрации сертификатов для домена. Можно изменить политику по-умолчанию, но лучше создать новую, так мы сможем ограничить круг пользователей, охватываемых политикой. На домене выполните команду Create a GPO in this domain, and Link it there… (Создать ОГП в документе и связать его…).
  37. Введите имя групповой политики, например:
  38. Отредактируйте созданную политику.
  39. Перейдите в раздел «User configuration — Policies — Widows Settings — Security Settings — Public Key Policies» (Конфигурация пользователя — Политики — Конфигурация Windows — Параметры безопасности — Политики открытого ключа) и откройте свойства Certificate Services Client — Auto-Enrollment (Клиент службы сертификации — автоматическая регистрация).
  40. Включите автоматическую регистрацию сертификатов и флажки:
    • Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты;
    • Обновлять сертификаты, использующие шаблоны сертификатов.

  41. Закройте редактор групповой политики и в Server Manager при необходимости ограничьте круг пользователей или компьютеров, на которые будет применена политика. Как пример, ниже показана политика, которая будет распространена только на ПК DOMAINCOMPUTER.

    Групповая политика создана, проверим как она работает.
  42. На клиенте откройте CMD.exe с правам администратора и выполните команду «gpupdate /force /boot /logoff» или перезапустите ПК.
  43. Сертификат должен быть автоматически запрошен и получен. Полученный сертификат можно увидеть в Certificate Manager Tool (пункт 33) или в Control Panel — Internet Options, вкладка Content — Certificates — Personal (Панель управления — Свойства обозревателя, вкладка Содержание — Сертификаты — Личные).

    Это всё, что мы хотели сказать про установку и настройку центра сертификации. Спасибо, что читаете наш блог, до свидания!
  44. Читайте также:  Загрузочная флешка с драйверами usb

    9 комментариев

    Сергей, спасибо большое. Очень нужная статья.

    Выпуск wildcard сертификата в Windows Certification Authority

    Выпуск wildcard сертификата в Windows Certification Authority

    Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами произвели настройку сети в CentOS 7.4. В сегодняшней публикации я разберу ситуацию, когда вам необходимо выпустить на вашем Windows центре сертификации, сертификат вида Wildcard. Мы поговорим, где применяется такой сертификат. Думаю, что данная информация найдет своего читателя.

    Что такое Wildcard сертификат

    Ранее я вам рассказывал, что из себя представляют SSL сертификаты и там я описывал принцип работы wildcard, давайте я напомню его определение. Wildcard (Подстановочный сертификат) — это цифровой сертификат, который применяется к домену и всем его поддоменам. Обозначение подстановочного знака состоит из звездочки и точки (*.) перед доменным именем. Сертификаты Secure Sockets Layer ( SSL ) часто используют подстановочные знаки для расширения шифрования SSL для поддоменов. Обычный SSL-сертификат работает на одном домене, например root.pyatilistnik.org. Wildcard SSL сертификат для * .pyatilistnik.org также защищает mail.pyatilistnik.org, vpn.pyatilistnik.org, payment.pyatilistnik.org и т.д.

    Распространение одного сертификата на субдомены вместо покупки отдельных сертификатов может сэкономить деньги и упростить администрирование. Недостатком, однако, является то, что если сертификат должен быть отозван на одном поддомене, он должен быть отозван и на всех остальных. Например, если поддомен, такой как payment.pyatilistnik.org, скомпрометирован, то это касается и поддоменов mail и vpn . Приобретение отдельных сертификатов может стоить немного больше и потребовать больше администрирования, но это также гарантирует, что каждый поддомен индивидуально защищен.

    Очень часто я встречал использование Wildcard сертификата на разных сайтах, развернутых на IIS, в системах внутреннего документооборота.

    Как выпустить Wildcard SSL сертификат в Active Directory

    И так у вас есть развернутый домен Active Directory, внутри домена есть инфраструктура по выпуску сертификатов, через Windows роль "Центр Сертификации". Поступила задача выпустить для вашего домена Wildcard SSL сертификат, чтобы использовать его на разных проектах предприятия. Что вы делаете, открываете окно "Выполнить" и пишите там слово mmc.

    У вас откроется окно для добавления оснасток mmc. Нажмите меню "Файл — Добавить или удалить оснастку".

    Находим в левом разделе "Доступные оснастки" запись "Сертификаты" и нажимаем "Добавить".

    Выбираем пункт "Учетной записи компьютера" и нажимаем далее.

    Оставляем, эта оснастка управляет "Локальным компьютером" и нажимаем готово.

    Видим, что в корень консоли был добавлен пункт "Сертификаты", нажимаем "Ok".

    Следующим шагом, переходим в раздел "личное — Сертификаты" и щелкаем по ним правой кнопкой мыши, из контекстного меню выбираем пункт "Все задачи (All Tasks) — Дополнительные операции (Advanced Options) — Создать настраиваемый запрос (Create Custom Request)"

    У вас откроется мастер регистрации сертификатов, на первом экране просто нажимаем "Далее".

    В выборе политики регистрации сертификатов выбираем пункт "Продолжить без политики регистрации (roceed without enrolment Policy)".

    В шаблоне выставляем "Старый ключ (без шаблона)", формат записи "PKCS#10" и нажимаем далее.

    Раскрываем подробности и щелкаем по кнопке "Свойства".

    У вас откроется дополнительная форма со свойствами запрашиваемого сертификата. В понятном имени задаем, как будет вам удобно идентифицировать ваш сертификат, я подпишу его *.root.pyatilistnik.org, в описании можете задать Wildcard SSL сертификат для домена root.pyatilistnik.org.

    Переходим на вкладку "Субъект", это самое важное в настройке Wildcard сертификата. Тут задается с какими доменными именами будет работать SSL, его поля. Задаваемые поля:

    • Общее имя (Common Name) — Наименование сертификата. Это поле используется для идентификации сертификата. Добавление * перед именем домена указывает на подстановочный сертификат для этого домена. Я пропишу *.root.pyatilistnik.org.

    • Страна (Country) — пишем RU и добавляем на право
    • Подразделение (Organizational Unit) — например, пишем IT
    • Область (State) — Я пишу Moscow
    • Размещение (Location) — Я пишу Moscow
    • Организация (Organization) — Я пишу Pyatilistnik Inc

    Переходим на вкладку "Расширения (Extensions)", тут мы зададим под, что мы будем использовать ваш Wildcard SSL сертификат, так называемые OID (Оиды). Раскрываем пункт "Использование ключа", из левой панели переносим вот такие пункты:

    • Цифровая подпись (Digital Signature)
    • Шифрование ключей (Key encipherment)

    Так же при необходимости можете открыть "Расширенное использование ключа", тут много дополнительных возможностей:

    • Проверка подлинности сервера
    • Проверка подлинности клиента
    • Подписание кода
    • Защищенная электронная почта
    • Установка метки времени
    • Подписывание списка доверия (Microsoft)
    • Установка метки времени (Microsoft)
    • Конечная система IP-безопасности
    • Окончание туннеля IP-безопасности
    • Пользователь IP-безопасности
    • Шифрующая файловая система (EFS)
    • Проверка драйверов оборудования Windows
    • Проверяет системные компоненты Windows
    • Проверка системных компонентов OEM Windows
    • Встроенная проверка системных компонентов Windows
    • Лицензии пакета ключей
    • Проверка сервера лицензий
    • Вход со смарт-картой
    • Цифровые права
    • Квалифицированное подчинение
    • Восстановление ключа
    • Подписывание документа
    • IKE-посредник IP-безопасности
    • Восстановление файлов
    • Подпись корневого списка
    • Все политики применения
    • Почтовая репликация службы каталогов
    • Агент запроса сертификата
    • Агент восстановления ключей
    • Архивация закрытого ключа
    • Бессрочная подписка
    • Подписание OCSP
    • Любая цель
    • Проверка подлинности центра распространения ключей
    • Подписание кода режима ядра
    • Использование списка доверия сертификатов
    • Автор подписки списка отозванных сертификатов
    • Ранний запуск антивредного драйвера
    • Список запрещенных
    • Расширение HAL
    • Сертификат ключа подтверждения
    • Сертификат платформы
    • Сертификат ключа удостоверения аттестации
    • Компонент наборов средств Windows
    • Проверка Windows RT
    • Нестрогая проверка защищенного процесса
    • Компонент TCB Windows
    • Проверка защищенного процесса
    • Магазин Windows
    • Генератор динамического ключа
    • microsoft Publisher
    • Сторонний компонент приложения для Windows
    • Проверка программного расширения Windows
    • Подпись предварительной сборки
    • Аттестационная проверка Драйверов оборудования Windows
    • Многое другое
    Читайте также:  Обновление для часового пояса windows 7

    Переходим на вкладку "закрытый ключ (private key)". В разделе "Параметры ключа" выставите его размер, у меня это будет 4096 байт, обязательно поставьте галку "Сделать закрытый ключ экспортируемым (Make private key exportable)"

    При необходимости вы можете задать тип ключа в вашем Wildcard SSL. Тут будет два варианта:

    • Обмен (Exchange) — относится к обмену ключами шифрования. С помощью S/MIME отправитель шифрует электронную почту с помощью открытого ключа получателя, а получатель расшифровывает сообщение своим закрытым ключом. Exchange = шифровать ключи сессии
    • Подпись (Signature) — означает подтверждение личности отправителя. Само сообщение не зашифровано, однако, если сообщение подделано во время передачи, оно делает недействительной подпись. Для наших целей нам необходимо подтвердить свою личность на удаленном сервере, поэтому мы будем использовать Подпись . Signature = создать цифровую подпись

    Достаточно будет оставить значение по умолчанию (Подпись), второй режим часто используют в VPN построениях. Нажимаем "Ok"

    В окне сведения о сертификате нажимаем далее.

    Вас попросят указать имя файла и где его сохранить, оставляем формат файла в виде "base 64". Base 64 — это метод кодирования, разработанный для использования с безопасными/многоцелевыми расширениями почты Интернета (S/MIME), который является популярным, стандартным методом для передачи двоичных вложений через Интернет.

    Двоичные данные — DER (отличительные правила кодирования) для ASN.1, как определено в Рекомендации X.509, может использоваться центрами сертификации, которые не работают на компьютерах под управлением Windows Server 2003, поэтому он поддерживается для обеспечения совместимости. Файлы сертификатов DER используют расширение .cer.

    В результате вы получите с вашим CSR запросом. Откройте данный файл с помощью любого текстового редактора и скопируйте его содержимое. Далее вы переходите в веб интерфейс вашего центра сертификации по адресу:

    Выбираете пункт " Request a certificate ".

    Далее нажимаем "advanced certificate request"

    В поле "Base-64-encoded certificate request (CMC or PKCS #10 or PKCS #7):" вставляем ваш CSR запрос, выбираем шаблон в поле "Certificate Template" я выбираю "Web Server". После чего нажимаем "Submit".

    Скачиваем ваши сертификат, это пункт "Download certificate", так же можете скачать цепочку в формате p7b, если нужно чтобы еще были корневые сертификаты.

    Далее в оснастке сертификаты, открываем раздел "Личное — Сертификаты", щелкаем по ним правым кликом и выбираем пункт "Все задачи — импорт"

    В мастере импорта просто нажимаем далее

    Через кнопку "Обзор" укажите ваш сертификат в формате cer.

    Помещаем его в личное

    В итоге вы увидите, что импорт успешно выполнен.

    Далее у вас появится ваш сертификат, щелкаем по нему правым кликом и экспортируем его. Ставим, что будем экспортировать, для этого выставите галку "да, экспортировать закрытый ключ". На выходе вы получите pfx архив со всеми ключами, который потом можно использовать.

    очень легко без установки вы можете просматривать состав вашего pfx архива в keytool или KeyStore Explore

    Технический блог специалистов ООО"Интерфейс"

    • Главная
    • Windows Server. Создание автономного центра сертификации.

    Windows Server. Создание автономного центра сертификации.

    • Автор: Уваров А.С.
    • 19.11.2010

    Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.

    Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.

    Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.

    Читайте также:  Как удалить тему в группе в одноклассниках

    Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).

    Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

    ЦС предприятия

    • Требует наличия ActiveDirectory
    • Автоматическое подтверждение сертификатов
    • Автоматическое развертывание сертификатов
    • Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание

    Изолированный (автономный) ЦС

    • Не требует наличия ActiveDirectory
    • Ручное подтверждение сертификатов
    • Отсутствие возможности автоматического развертывания
    • Запрос сертификатов только через Web-интерфейс

    Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.

    Windows Server 2003

    Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск — Управление данным сервером — Добавить или удалить роль.
    В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.

    После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ — Установка компонентов Windows, где выбираем Службы сертификации.

    Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.

    Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.

    Windows Server 2008 R2

    В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера — Роли — Добавить роли, в списке ролей выбираем Службы сертификации Active Directory.

    В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

    Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.

    Проверка работы ЦС

    Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации (Пуск — Администрирование — Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно:
    Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv, где имя_сервера — имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
    Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL, затем Загрузка сертификата ЦС или Загрузка сертификата ЦС и сохраняем сертификат в любое удобное место.

    Теперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат, откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации, теперь данный ПК будет доверять всем сертификатам выданным данным ЦС.

    Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата — расширенный запрос сертификатаСоздать и выдать запрос к этому ЦС. Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать.

    При попытке создать запрос сертификата вы можете получить следующее предупреждение:

    В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX.

    Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи — Выдать.

    Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата, вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить.

    Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.

    По окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.

    Ссылка на основную публикацию
    Хороший ламповый усилитель для дома
    Почти у каждого ненормального с гитарой (а иногда даже и без нее) появляется навязчивая идея принести домой фанерный ящик с...
    Файлы mdi чем открыть
    Если вы не смогли открыть файл двойным нажатием на него, то вам следует скачать и установить одну из программ представленных...
    Файлы mdx чем открыть
    MDX - это формат образов дисков, который был создан разработчиками программы DAEMON Tools. Это формат был создан в результате усовершенствования...
    Хороший переводчик английского языка
    Оцените наш проект! Правильный переводчик онлайн позволяет довольно качественно и оперативно выполнять следующие операции: - изучать один либо одновременно несколько...
    Adblock detector