Служба сертификации Active Directory (AD CS) является очень удобным и полезным инструментом в доменной сети. Данный компонент входит в состав Windows Server 2012 R2, позволяет бесплатно выдавать ssl-сертификаты внутри вашего домена и управлять ими. Такие сертификаты могут понадобиться при работе с почтовым сервером Microsoft Exchange, сеансами удаленных рабочих столов и т. д.

Службу AD CS не рекомендуется устанавливать на контроллер домена. В данной статье в качестве примера будут использоваться 3 сервера под управлением операционной системы Windows Server 2012 R2: DC-01 (контроллер домена), FS-01 (сервер, на который будет установлена служба AD CS) и TS-00 (сервер, для которого мы будем получать ssl-сертификат).

1. Заходим в Диспетчер серверов на сервере FS-01:

Выбираем пункт «Управление» и далее «Добавить роли и компоненты».

2. Откроется Мастер добавления ролей и компонентов. На вкладке «Тип установки» выбираем пункт «Установка ролей и компонентов»:

Нажимаем «Далее».

3. На вкладке «Выбор сервера» отмечаем пункт «Выберите сервер из пула серверов» и в области «Пул серверов» выбираем конечный сервер для установки Active Directory Certificate Services:

В моем случае это локальный сервер FS-01 с ip-адресом 192.168.1.22. Нажимаем «Далее».

4. На вкладке «Роли сервера» выбираем роль «Службы сертификатов Active Directory»:

В новом окне предстоит добавить компоненты, необходимые для Службы сертификатов Active Directory:

Ставим галочку напротив пункта «Включить средства управления (если применимо)» и нажимаем кнопку «Добавить компоненты». После этого вновь откроется Мастер добавления ролей и компонентов на вкладке «Роли сервера», где необходимо нажать кнопку «Далее».

5. На вкладке «Компоненты» оставляем все настройки по умолчанию и нажимаем «Далее»:

6. Информационная вкладка Службы сертификации Active Directory:

На данной вкладке представлены краткие сведения о Службах сертификации Active Directory. В частности сообщается о том, что нельзя менять имя и параметры домена компьютера, на котором установлена AD CS. После прочтения информации нажимаем «Далее».

7. На вкладке «Службы ролей» выбираем службу «Центр сертификации»:

Нажимаем «Далее».

8. На вкладке «Подтверждение» можно ознакомиться со списком всех служб ролей и компонентов, которые будут установлены на данном сервере:

Для изменения настроек воспользуйтесь кнопкой «Назад». Если все правильно, нажимаем кнопку «Установить». Перед установкой рекомендую активировать пункт «Автоматический перезапуск конечного сервера, если потребуется», чтобы при необходимости сервер смог автоматически перезагрузиться в процессе установки службы сертификации AD CS.

9. Начнется установка службы сертификации AD CS и других служб ролей и компонентов:



Дождитесь завершения установки. Данное окно можно закрыть.

10. Когда установка AD CS завершится, перейдите в Диспетчер серверов, нажмите на «флажок» с восклицательным знаком в желтом треугольнике и выберите пункт «Настроить службы сертификатов Active Directory»:

11. Откроется окно «Конфигурация службы сертификатов Active Directory». На вкладке «Учетные данные» укажите учетные данные пользователя для настройки служб роли:

Обратите внимание, что для установки служб ролей «Автономный центр сертификации», «Служба регистрации в центре сертификации через Интернет» и «Сетевой ответчик» пользователь должен быть членом локальный группы «Администраторы». Для установки служб ролей «Центр сертификации предприятия», «Веб-служба политик регистрации сертификатов», «Веб-служба регистрации сертификатов» и «Служба регистрации на сетевых устройствах» пользователь должен быть членом доменной группы «Администраторы предприятия». Выберите пользователя при помощи кнопки «Изменить» и нажмите «Далее».

12. Выбор службы роли для настройки (Центр сертификации):

На вкладке «Службы ролей» выбираем «Центр сертификации» и нажимаем «Далее». Обратите внимание, что необходимо сначала настроить службу роли «Центр сертификации», а затем другие службы, т. е. одновременный выбор нескольких служб на данной вкладке не поддерживается.

13. Вариант установки Центра сертификации:

На вкладке «Вариант установки» выберите пункт «ЦС предприятия» и нажмите «Далее».

14. Тип Центра сертификации:

На вкладке «Тип ЦС» выбираем пункт «Корневой ЦС» и нажимаем «Далее».

15. Тип закрытого ключа:

На вкладке «Закрытый ключ» выбираем пункт «Создать новый закрытый ключ» и нажимаем «Далее».

16. Параметры шифрования:

На вкладке «Шифрование» предлагаю параметры «Поставщик служб шифрования» (RSA#Microsoft Software Key Storage Provider) и «Длина ключа» (2048) оставить по умолчанию, а значение «Хэш-алгоритма для подписывания сертификатов, выдаваемых этим ЦС» указать «SHA256». Нажимаем «Далее».

17. Имя Центра сертификации:

На вкладке «Имя ЦС» можно указать общее имя для этого центра сертификации, суффикс различающегося имени и предпросмотр различающегося имени. В моем случае все значения остаются по умолчанию. Нажимаем «Далее».

18. Срок действия сертификата:

На вкладке «Срок действия» необходимо указать период действия сертификата для данного Центра сертификации. Обратите внимание, что срок действия сертификата для Центра сертификации должен превышать срок действия сертификатов, которые он будет выдавать. Нажимаем «Далее».

19. Расположение базы данных сертификатов:

На вкладке «База данных сертификатов» укажите расположение базы данных сертификатов и журнала базы данных сертификатов. В моем случае значения остаются по умолчанию. Нажимаем «Далее».

20 Подтверждение установки Центра сертификации:

На данной вкладке можно ознакомиться со всеми выбранными настройками и при необходимости их изменить, воспользовавшись кнопкой «Назад». Если все правильно, нажимаем «Настроить».

21. Настройка Центра сертификации выполнена успешно:

Если процесс завершился без ошибок, нажимаем кнопку «Закрыть».

22. Переходим в Диспетчер серверов:

Установка Службы сертификации Active Directory (AD CS) выполнена успешно.

Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.

Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.

Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).

Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

ЦС предприятия

• Требует наличия ActiveDirectory
• Автоматическое подтверждение сертификатов
• Автоматическое развертывание сертификатов
• Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание

Изолированный (автономный) ЦС

• Не требует наличия ActiveDirectory
• Ручное подтверждение сертификатов
• Отсутствие возможности автоматического развертывания
• Запрос сертификатов только через Web-интерфейс

Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.

Windows Server 2003

Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск - Управление данным сервером - Добавить или удалить роль .
В списке ролей выбираем роль Сервера приложений . В следующем окне устанавливаем галочку Включить ASP.NET , если IIS уже установлен данный шаг можно пропустить.

После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ - Установка компонентов Windows , где выбираем Службы сертификации .

Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.

Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.

Windows Server 2008 R2

В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера - Роли - Добавить роли , в списке ролей выбираем Службы сертификации Active Directory .

В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет . При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.

Проверка работы ЦС

Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации (Пуск - Администрирование - Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно:
Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv , где имя_сервера - имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL , затем или и сохраняем сертификат в любое удобное место.

Теперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат , откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации , теперь данный ПК будет доверять всем сертификатам выданным данным ЦС.

Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата - расширенный запрос сертификата - Создать и выдать запрос к этому ЦС . Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать .

При попытке создать запрос сертификата вы можете получить следующее предупреждение:

В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX.

Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи - Выдать .

Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата , вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить.

Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.

По окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.

Итак, мы имеем установленный и настроенный корневой центр сертификации. Теперь надо настроить подчиненный центр сертификации. Делать мы это будем не на контроллере домена, а на другой машине с установленной Windows Server 2008 R2 Enterprise и введенной в домен. Для этого в настройках корневого центра сертификации мы ставили crl вместо www, чтобы когда в сети появится веб-сервер, запросы шли на центр сертификации.

Перед тем, как что-то делать, надо сохранить сертификаты корневого СА на нашем будущем Enterprise CA. Заходим на сервер администратором, добавляем группу Enterprise Admins в локальные админы сервера, после чего заходим как Enterprise Admin. Итак, копируем с папки C:\WINDOWS\system32\certsrv\CertEnroll файлы с расширениями *.crl *.crt на наш центр сертификации, к примеру, в d:\certs. Далее, заходим на наш центр сертификации, открываем командную строку от администратора, и пришем:
cd d:\certs
certutil -addstore -f Root RootCACertificateFile.crt
certutil -addstore -f Root RootCACRLFile.crl
где RootCACertificateFile и RootCACRLFileимя файла сертификата и crl.
Теперь необходимо опубликовать сертификаты в AD:
certutil -dspublish -f RootCACertificateFile.crt RootCA
certutil -dspublish -f rootca.crl
(Если при выполнении последней команды Вам выдаст ошибку о том, что CRL невозможно опубликовать из-за того, что Вы не правильно ввели имя домена, то надо будет ввести на корневом центре сертификации такую команду:
certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=com
и перевыдать CRL. Проверено, так как сам наступил на эти грабли:))

Вот теперь точно приступаем к установке.
Для начала необходимо сделать файл c:\windows\CAPolicy.inf:

Signature="$Windows NT$"

Policies=BubnilaCPS

NOTICE=Horns And Hooves Team CPS
URL=http://crl.bubnila.org/CPS/CPStatement.asp

renewalkeylength=2048
RenewalValidityPeriodUnits=5
RenewalValidityPeriod=years

CRLPeriod=7
CRLPeriodUnits=days
CRLOverlapPeriod=4
CRLOverlapUnits=hours
CRLDeltaPeriod=24
CRLDeltaPeriodUnits=hours

Empty=True

Empty=True

Теперь можно приступать к установке.
1. Проверяем, что сервер введен в домен.
2. Проверяем корректность даты и времени.
3. Жмем Start, Administrative Tools, и кликаем Server Manager.
4. В секции Roles Summary, жмем Add Roles.
5. На странице Before You Begin, выбираем Skip This Page By Default, и жмем Next.
6. На странице Select Server Roles, выбираем Active Directory Certificate Services, жмем Next.
7. На странице Introduction To Active Directory Certificate Services жмем Next.
8. На странице Role Services, выбиваем Certification Authority, далее выбираем Certification Authority Web Enrollment.
9. В окне Add Roles Wizard, которое предлагает поставить Web Server (IIS) role,
нажимаем Add Required Role Services.
10. На странице Select Role Services жмем Next.
11. В Specify Setup Type выбираем Enterprise, и нажимаем Next.
12. В Specify CA Type выбираем Subordinate CA, нажимаем Next.
13. В окне Private Key нажимаем Create A New Private Key, нажимаем Next.
14. В Configure Cryptography For CA, выбиваем следующее, и жмем Next.
❑ Select a cryptographic service provider (CSP): RSA#Microsoft Software Key
Storage Provider
❑ Key character length: 2048
❑ Select the hash algorithm for signing certificates issued by this CA: sha256 (если корневой центр сертификации настроен под Windows 2003/2000, то надо выбрать sha1)
15. На странице Configure CA Name, вводим следующую информацию и жмем Next.
❑ Common name for this CA: Bubnila Enterprise CA (у каждого свое)
❑ Distinguished name suffix: DC=HornsAndHooves,DC=com
16. На странице Request Certificate From A Parent CA, выбираем Save a Certificate Request To File And Manually Send It Later To A Parent CA, подтверждаем имя по умолчанию, и жмем Next.
17. На странице Configure Certificate Database, вводим следующую информацию, и жмем Next:
❑ Certificate database: D:\CertDB
❑ Certificate database log: D:\CertLog
(Согласно M$ Best Practicies, эти папки должны находиться на разных физических дисках, но так как это все на виртуалке, то особой разницы нет...)
18. На странице Web Server (IIS) жмем Next.
19. В Select Role Services принимаем предложенный вариант установки и жмем Next.
20. После проверки правильности введенной информации на странице Confirm Installation Selections смело жмем Install.
21. На странице Installation Results, мы видим, что установка не завершена, так как сартификат данного сервера еще не подписан. Короче, жмем Close.
22. Открываем диск C:\.
23. Копируем FABINCCA03.fabrikam.com_Fabrikam Corporate Issuing CA.req (на самом деле, у Вас он будет называться по другому) на флешку, или по сети на root CA.

Следующие действия будем делать на RootCA:

1. Вставляем флешку в RootCA, или забираем файл по сети.
2. Из Start menu, Administrative Tools, заходим в Certification Authority.
3. В дереве консоли, right-click по Fabrikam Corporate Policy CA, выбираем All Tasks, после чего выбираем Submit New Request.
4. В диалоговом окне Open Request File, в File Name box, выбираем диск D:\, на котором выбираем файо FABINCCA03.fabrikam.com_Fabrikam Corporate Policy CA.req, и жмем Open.
5. В дереве консоли, разкрываем BubnilaRootCA, и кликаем Pending
Requests.
6. В правой панели, right-click по запросу, выбираем All Tasks, и выбираем
Export Binary Data.
7. В диалоговом окне Export Binary Data, в Columns That Contain Binary Data
необходимо выбрать из выпадающего списка Binary Request, и нажать OK.
8. Проверяем правильность запроса на сертификата:
❑ Verify that the subject name is Fabrikam Corporate Issuing CA.
Subject:
CN=Fabrikam Corporate Issuing CA
O=Fabrikam Inc.
C=US
❑ Ensure that public key length is 2048 bits.
Public Key Length: 2048 bits
❑ Ensure that the basic constraints indicate Subject Type=CA.
Basic Constraints
Subject type=CA
❑ Verify that the Signature Algorithm is SHA256RSA.
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
❑ Verify that the signature matches the public key.
Signature matches Public Key
9. Закрываем окно.
10. В правой части окна, right-click по ожидающему SubCA сертификату, выбираем All Tasks, и кликаем Issue.
11. В дереве консоли, кликаем Issued Certificates.
12. В правой части окна, double-click по выданному сертификату.
13. В диалоговом окне Certificate, выбираем вкладку Details.
14. На вкладке Details, жмем Copy To File.
15. В Certificate Export Wizard, жмем Next.
16. На странице Export File Format, кликаем Cryptographic Message Syntax Standard—
PKCS #7 Certificates (.P7B), выбираем чекбокс Include All Certificates In The Certification Path If Possible, и жмем Next.
17. На странице File To Export, в поле File Name пишем D:\issuingca.p7b, и жмем Next.
18. На странице Completing The Certificate Export Wizard жмем Finish.
19. В Certificate Export Wizard жмем OK.
20. В окне Certificate, жмем OK.
21. Закрываем консоль Certification Authority.
22. Копируем файл для переноса на флешку, или прямо на EnterpriseCA по сети.

Теперь, когда мы получили экспортированный сертификат, надо завершить установку нашего Enterprise CA, внедрив сертификат. Для этого надо:

1. Скопировать на сервер файл PKCS#7.
2. Из меню Start, click Administrative Tools, и click Certification Authority.
3. В дереве консоли, right-click Bubnila Issuing CA, выбрать All Tasks, и click Install CA Certificate.
4. В окне Select File To Complete CA Installation, в строке File Name, вводим
С:\issuingca.p7b, и click Open.
5. В дереве консоли, right-click Fabrikam Corporate Issuing CA, выбираем All Tasks, и click Start Service.

После того, как сервис запустился, установку можно считать законченой. Теперь можно переходить к настройке. Но это уже будет в следующей части.

Здравствуйте, друзья!

Одним из преимуществ ЛОЦМАН:ПГС является применение цифровых подписей достоверно подтверждающих личность и роль подписавшего документ. Для создания цифровых подписей необходимы сертификаты выданные удостоверяющим центром сертификации.

На этапе внедрения не всегда хватает опыта для установки и настройки центра сертификации, чтобы Вам не пришлось собирать крупицы информации по просторам интернета, мы предлагаем подробно рассмотреть установку и настройку центра сертификации.

В наших примерах мы будем использовать контроллер домена на Microsoft Windows Server 2008 и клиент Microsoft Windows 7.

1. Для начала нам нужно добавить роль (Службы сертификации Active Directory ) на контроллере домена. Откройте Server Manager и выполните команду «Add Role» («Добавить роли» ).
2. Откроется Add Roles Wizard (Мастер добавления ролей ). Нажмите Next .
   
   
3. Выберите роль Active Directory Certification Services (Службы сертификации Active Directory) . Нажмите Next .
   
   
4. Next .
   
   
5. Проверьте, что отмечена служба Certification Authority (Центр сертификации) .
   
   
6. Вариант установки должен быть указан «Enterprise» .
   
   
7. Тип центра сертификации Root CA (Корневой ЦС) .
   
   
8. Создайте новый приватный ключ.
   
   
9. Укажите параметры шифрования, например:
   
   
   Если Вы меняете параметры, рекомендуем Вам ознакомиться с советами компании Microsoft по безопасности в части выбираемой длины ключа.
10. Проверьте имя и суффиксы центра сертификации, например:
    
    
11. Задайте срок действия сертификата, например:
    
    
12. Next .
    
    
13. Install.
    
    
14. Процесс установки…
    
    
15. Установка завершена. Close .
    
    
    Центр сертификации установлен. Теперь нужно создать шаблон сертификатов.
16. Перейдите в Certificate Templates (Шаблоны сертификатов ) и выполните команду Duplicate Template (Скопировать шаблон ) на существующем шаблоне, например User .
    
    
17. Выберите версию Windows Server минимально поддерживаемую ЦС.
    
    
    Не выбирайте Windows Server 2008, иначе при подписании созданным сертификатом документов в программных продуктах использующих.NET Framework 4.0 Вы получите сообщение «Указан неправильный тип поставщика (mscorlib)». Иными словами Вы не сможете использовать сертификат.
18. В открывшихся свойствах шаблона укажите имя и отключите Publish certificate in Active Directory (Опубликовать сертификат в Active Directory ):
    
19. Перейдите на вкладку Request Handling (Обработка запроса ) и измените цель на «Signature» («Подпись» ).
    
20. Проверьте параметры на вкладке Subject Name (Имя субъекта ).
    
21. На вкладке Security (Безопасность ) для группы Authenticated Users (Прошедшие проверку ) разрешите Enroll (Заявка ).
    
22. На вкладке Extensions (Расширения ) скорректируйте Application Policies (Политика применения ) .
    Выберите Document Signing (Подписывание документа ).
    
    ОК.
    Шаблон сертификата создан, теперь необходимо его опубликовать.
23. Перейдите в Certificate Templates (Шаблоны сертификатов ) и выполните команду «New -> Certificate Template to Issue» («Новый -> Выдать шаблон сертификата» ).
    
    
24. Выберите ранее созданный шаблон. ОК.
    
    
    Установка и настройка шаблона сертификатов закончена. Перейдем на клиента и попробуем получить сертификат.
25. На клиенте запустите Certificate Manager Tool выполнив команду certmgr.msc .
    
    
26. Перейдите в Personal (Личное ) и создайте запрос на получение сертификата, выполнив Request New Certificate (Запросить новый сертификат ).
    
    
27. Next .
    
    
28. Выберите политику Active Directory. Next .
    
    
29. В типах сертификатов отметьте ранее созданный шаблон.
    
    
    Если планируется использование нескольких сертификатов для одного пользователя, желательно присвоить имя запрашиваемому сертификату. Откройте свойства заявки.
30. На вкладке General (Общие ) укажите Friendly name (Понятное имя ).
    
    Сохраните и закройте свойства.
31. Enroll.
    
    
32. Заявка успешно завершена, сертификат получен.
    
    
33. В Certificate Manager Tool можно посмотреть параметры сертификата.
    
    
    Мы получили сертификат только для одного пользователя, а когда пользователей много, такой способ не очень удобен. Для облегчения процесса давайте настроим автоматическую раздачу сертификатов групповой политикой.
34. Для начала необходимо изменить свойства, созданного ранее шаблона, сделать его доступным для автоматической выдачи. Найдите созданный шаблон в Server Manager и откройте свойства.
    
    
35. Перейдите на вкладку Security (Безопасность ) и для группы Authenticated Users (Прошедшие проверку ) разрешите Autoenroll (Автозаявка ).
    
36. Следующий шаг — настроить групповую политику автоматической регистрации сертификатов для домена. Можно изменить политику по-умолчанию, но лучше создать новую, так мы сможем ограничить круг пользователей, охватываемых политикой. На домене выполните команду Create a GPO in this domain, and Link it there… (Создать ОГП в документе и связать его… ).
    
    
37. Введите имя групповой политики, например:
    
38. Отредактируйте созданную политику.
    
    
39. Перейдите в раздел «User configuration — Policies — Widows Settings — Security Settings — Public Key Policies» (Конфигурация пользователя — Политики — Конфигурация Windows — Параметры безопасности — Политики открытого ключа ) и откройте свойства Certificate Services Client — Auto-Enrollment (Клиент службы сертификации — автоматическая регистрация ).
    
    
40. Включите автоматическую регистрацию сертификатов и флажки:
    • Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты;
    • Обновлять сертификаты, использующие шаблоны сертификатов.

    

41. Закройте редактор групповой политики и в Server Manager при необходимости ограничьте круг пользователей или компьютеров, на которые будет применена политика. Как пример, ниже показана политика, которая будет распространена только на ПК DOMAIN\COMPUTER.
    Групповая политика создана, проверим как она работает.
42. На клиенте откройте CMD.exe с правам администратора и выполните команду «gpupdate /force /boot /logoff» или перезапустите ПК.
    
    
43. Сертификат должен быть автоматически запрошен и получен. Полученный сертификат можно увидеть в Certificate Manager Tool (пункт 33) или в Control Panel — Internet Options , вкладка Content — Certificates — Personal (Панель управления — Свойства обозревателя, вкладка Содержание — Сертификаты — Личные ).
    
    
    Это всё, что мы хотели сказать про установку и настройку центра сертификации. Спасибо, что читаете наш блог, до свидания!

Установка центра сертификации

Установка AD CS в Windows Server 2008 R2

Для установки AD CS в Windows Server 2008 R2 вначале нужно выбрать сервер, который будет работать в качестве головного СА. Не забывайте о настоятельных рекомендациях, что это должен быть выделенный сервер, защищенный физически и выключенный большую часть времени для обеспечения целостности цепочки сертификатов.

После установки AD CS на сервере имя и доменный статус этого сервера изменять нель­зя. Например, его нельзя понизить с уровня контроллера домена или повысить до этого уровня, если это не так. Кроме того, нельзя изменять имя сервера, пока он выполняет функции СА.

1. Откройте Server Manager: Пуск-Все программы-Администрирование
2. В панели узлов выберите узел Roles (Роли), а затем щелкните на ссылке Add Roles (Создать роли) в панели задач.
3. На странице приветствия щелкните на кнопке Next (Далее).
4. На странице Select Server Roles (Выбор серверных ролей) установите флажок Active Directory Certificate Services (Служба сертификации Active Directory), а затем щелк­ните на кнопке Next.
5. На странице Introduction (Введение) просмотрите информацию об AD CS и щелкни­те на кнопке Next.
6. На странице Select Role Services (Выбор служб ролей), ука­жите нужные службы ролей. Для базовой установки нужна только роль Certificate Authority (Центр сертификации). Щелкните на кнопке Next.
7. На следующей странице укажите, нужно ли устанавливать центр сертификации пред­приятия (Enterprise СА), интегрированный с AD CS, или самостоятельный центр сертификации (Stand-alone СА). Щелкните на кнопке Next.
8. На странице Specify СА Туре (Укажите тип СА), выберите нужный тип СА. В данном случае мы устанавливаем на сервер головной СА (Root СА). Щелкните на кнопке Next.
9. На следующей странице Set Up Private Key (Создание секретного ключа) можно ука­зать либо создание нового секретного ключа с нуля, либо использование существую­щего ключа из предыдущей реализации СА. В данном примере мы создаем новый ключ. Щелкните на кнопке Next.
10. На странице Configure Cryptography for СА (Настройка криптографии для СА) вве­дите параметры шифрования секретным ключом. Обычно вполне годятся значения, предложенные по умолчанию, но бывают случаи, когда нужно изменить CSP, длину ключа и другие настройки. Щелкните на кнопке Next.
11. Выберите имя, которое будет использоваться для идентификации данного СА. Учтите, что это имя будет фигурировать на всех сертификатах, выпущенных данным СА. В на­шем примере мы ввели имя CompanyABC-CorpCA. Щелкните на кнопке Next.
12. Укажите срок годности сертификата, который будет установлен на данном сервере СА. Если это головной СА, сервер должен будет повторно выпустить цепочку серти­фикатов после истечения срока годности. Щелкните на кнопке Next.
13. Укажите место хранения базы данных сертификатов и местоположения для хране­ния журналов, а затем щелкните на кнопке Next.
14. На странице подтверждения просмотрите параметры предстоящей уста­новки и щелкните на кнопке Install (Установить).
15. После завершения работы мастера щелкните на кнопке Close (Закрыть).