Обновление сертификата Certificate Renewal

Срок действия зарегистрированного клиентского сертификата истекает после периода использования. The enrolled client certificate expires after a period of use. Срок действия сертификата указывается сервером. The expiration date of the certificate is specified by the server. Чтобы обеспечить непрерывный доступ к корпоративным приложениям, Windows поддерживает процесс обновления сертификатов, инициированный пользователем. To ensure continuous access to enterprise applications, Windows supports a user-triggered certificate renewal process. Пользователю предложено предоставить текущий пароль для корпоративной учетной записи, а клиент регистрации получает новый клиентский сертификат с сервера регистрации и удаляет старый сертификат. The user is prompted to provide the current password for the corporate account, and the enrollment client gets a new client certificate from the enrollment server and deletes the old certificate. Клиент создает новую пару закрытых и общедоступных ключей, создает запрос PKCS#7 и подписывает запрос PKCS#7 с существующим сертификатом. The client generates a new private/public key pair, generates a PKCS#7 request, and signs the PKCS#7 request with the existing certificate. В Windows также поддерживается автоматическое обновление клиентского сертификата MDM. In Windows, automatic MDM client certificate renewal is also supported.

Убедитесь, что EntDMID в поставщике служб конфигурации DMClient задан до запуска запроса на продление сертификата. Make sure that the EntDMID in the DMClient configuration service provider is set before the certificate renewal request is triggered.

В этом разделе In this topic

Автоматический запрос на продление сертификата Automatic certificate renewal request

Помимо обновления сертификата вручную, Windows включает поддержку автоматического обновления сертификата, также известного как Renew On Behalf of (ROBO), которое не требует взаимодействия с пользователем. In addition to manual certificate renewal, Windows includes support for automatic certificate renewal, also known as Renew On Behalf Of (ROBO), that does not require any user interaction. Для автоматического обновления клиент регистрации использует существующий клиентский сертификат MDM для выполнения клиентской безопасности транспортного слоя (TLS). For auto renewal, the enrollment client uses the existing MDM client certificate to perform client Transport Layer Security (TLS). Маркер безопасности пользователя не нужен в загонах SOAP. The user security token is not needed in the SOAP header. В результате сервер регистрации сертификата MDM необходим для поддержки клиентской TLS для проверки подлинности клиента на основе сертификатов для автоматического обновления сертификата. As a result, the MDM certificate enrollment server is required to support client TLS for certificate based client authentication for automatic certificate renewal.

Продление сертификата сертификата регистрации через ROBO поддерживается только с помощью Microsoft PKI. Certificate renewal of the enrollment certificate through ROBO is only supported with Microsoft PKI.

Автоматическое обновление сертификата является единственным поддерживаемым методом обновления клиентского сертификата MDM для устройства, которое регистрируется с помощью проверки подлинности WAB (это означает, что authPolicy задан федерацией). Auto certificate renewal is the only supported MDM client certificate renewal method for the device that is enrolled using WAB authentication (meaning that the AuthPolicy is set to Federated). Это также означает, что если сервер поддерживает проверку подлинности WAB, сервер регистрации сертификата MDM также должен поддерживать клиентскую TLS для обновления клиентского сертификата MDM. It also means if the server supports WAB authentication, the MDM certificate enrollment server MUST also support client TLS in order to renew the MDM client certificate.

Для устройства, зарегистрированного с помощью метода проверки подлинности OnPremise, для обратной совместимости метод обновления по умолчанию — обновление сертификата вручную. For the device that is enrolled with the OnPremise authentication method, for backward compatibility, the default renewal method is user manual certificate renewal. Однако для устройств Windows на этапе регистрации клиентского сертификата MDM или в разделе управление MDM сервер регистрации или сервер MDM могли настроить устройство для поддержки автоматического обновления клиентского сертификата MDM через узел ROBOSupport CSP в CertificateStore/My/WSTEP/Renew URL-адрес. However, for Windows devices, during the MDM client certificate enrollment phase or during MDM management section, the enrollment server or MDM server could configure the device to support automatic MDM client certificate renewal via CertificateStore CSP’s ROBOSupport node under CertificateStore/My/WSTEP/Renew URL. Дополнительные сведения о параметрах конфигурации, связанных с обновлением, обратитесь к поставщику служб конфигурации CertificateStore. For more information about Renew related configuration settings, refer to the CertificateStore configuration service provider.

В отличие от ручного обновления сертификата, где для контента сообщений PKCS#7 есть дополнительная кодировки b64, с автоматическим обновлением содержимое сообщений PKCS#7 не закодировано отдельно. Unlike manual certificate renewal where there is an additional b64 encoding for PKCS#7 message content, with automatic renewal, the PKCS#7 message content isn’t b64 encoded separately.

В процессе автоматического обновления сертификата, если корневому сертификату не доверяет устройство, проверка подлинности будет неуверенной. During the automatic certificate renewal process, if the root certificate isn’t trusted by the device, the authentication will fail. Убедитесь, что с помощью одного из предварительно установленных корневых сертификатов устройства или предоставления корневого сертификата на сеансе DM с помощью поставщика служб конфигурации CertificateStore. Make sure using one of device pre-installed root certificates or provision the root cert over a DM session via CertificateStore Configuration Service Provider.

Во время автоматического обновления сертификата устройство будет отключать запрос на перенаправление HTTP с сервера, если только это не тот URL-адрес перенаправления, который явно был принят пользователем во время начального процесса регистрации MDM. During the automatic certificate renew process, the device will deny HTTP redirect request from the server unless it is the same redirect URL that the user explicitly accepted during the initial MDM enrollment process.

В следующем примере показаны сведения об автоматическом запросе на обновление. The following example shows the details of an automatic renewal request.

Конфигурация расписания обновления сертификатов Certificate renewal schedule configuration

В Windows период обновления можно установить только на этапе регистрации MDM. In Windows, the renewal period can only be set during the MDM enrollment phase. Windows поддерживает период обновления сертификата и повторное восстановление сбоя, которые можно настроить как на сервере регистрации MDM, так и на сервере управления MDM с помощью узлов RenewPeriod и RenewInterval CSP в CertificateStore. Windows supports a certificate renewal period and renewal failure retry to be configurable by both MDM enrollment server and later by the MDM management server using CertificateStore CSP’s RenewPeriod and RenewInterval nodes. Устройство может повторно повторить автоматическое обновление сертификата несколько раз до истечения срока действия сертификата. The device could retry automatic certificate renewal multiple times until the certificate expires. Для обновления сертификата вручную вместо того, чтобы напоминать пользователю только один раз, устройство Windows будет напоминать пользователю с помощью оперативного диалогового окна в любое время повторного обновления до истечения срока действия сертификата. For manual certificate renewal, instead of only reminding the user once, the Windows device will remind the user with a prompt dialog at every renewal retry time until the certificate is expired.

Дополнительные сведения о параметрах см. в справке к поставщику служб конфигурации CertificateStore. For more information about the parameters, see the CertificateStore configuration service provider.

В отличие от ручного обновления сертификата, устройство не будет выполнять автоматическое обновление клиентского сертификата MDM, если срок действия сертификата истек. Unlike manual certificate renewal, the device will not perform an automatic MDM client certificate renewal if the certificate is already expired. Чтобы у устройства было достаточно времени для автоматического обновления, рекомендуется установить период обновления за пару месяцев (40-60 дней) до истечения срока действия сертификата и установить интервал повторного обновления каждые несколько дней, например каждые 4-5 дней, а не каждые 7 дней (еженедельно), чтобы увеличить вероятность подключения устройства в разные дни недели. To make sure that the device has enough time to perform an automatic renewal, we recommend that you set a renewal period a couple months (40-60 days) before the certificate expires and set the renewal retry interval to be every few days such as every 4-5 days instead every 7 days (weekly) to increase the chance that the device will a connectivity at different days of the week.

Для компьютеров, которые ранее были зарегистрированы в MDM в Windows 8.1, а затем обновлены до Windows 10, для сертификата регистрации запускается обновление. For PCs that were previously enrolled in MDM in Windows 8.1 and then upgraded to Windows 10, renewal will be triggered for the enrollment certificate. После этого обновление будет происходить с установленным интервалом ROBO. Thereafter, renewal will happen at the configured ROBO interval. Для устройств Windows Phone 8.1, обновленных до Windows 10 Mobile, обновление будет происходить в настроенном внутреннем ROBO. For Windows Phone 8.1 devices upgraded to Windows 10 Mobile, renewal will happen at the configured ROBO internal. Это ожидается и по проекту. This is expected and by design.

Ответ на обновление сертификата Certificate renewal response

При обновлении RequestType веб-служба проверяет следующее (в добавок к начальной регистрации): When RequestType is set to Renew, the web service verifies the following (in additional to initial enrollment):

• Подпись PKCS#7 BinarySecurityToken является правильной The signature of the PKCS#7 BinarySecurityToken is correct
• Сертификат клиента находится в периоде обновления The client’s certificate is in the renewal period
• Сертификат был выдан службой регистрации The certificate was issued by the enrollment service
• Запрашиватель такой же, как и запрашиватель начальной регистрации. The requester is the same as the requester for initial enrollment
• Для запроса стандартного клиента клиент не был заблокирован For standard client’s request, the client hasn’t been blocked

После завершения проверки веб-служба извлекает содержимое PKCS#10 из PKCS#7 BinarySecurityToken. After validation is completed, the web service retrieves the PKCS#10 content from the PKCS#7 BinarySecurityToken. Остальное то же самое, что и первоначальная регистрация, за исключением того, что XML подготовка должна иметь только новый сертификат, выданный ЦС. The rest is the same as initial enrollment, except that the Provisioning XML only needs to have the new certificate issued by the CA.

Ответ HTTP-сервера не должен быть ломким; оно должно быть отправлено в качестве одного сообщения. The HTTP server response must not be chunked; it must be sent as one message.

В следующем примере показаны сведения о ответе на обновление сертификата. The following example shows the details of an certificate renewal response.

Клиент получает новый сертификат вместо обновления начального сертификата. The client receives a new certificate, instead of renewing the initial certificate. Администратор управляет шаблоном сертификата, который должен использовать клиент. The administrator controls which certificate template the client should use. Шаблоны могут быть разными во время обновления, чем начальное время регистрации. The templates may be different at renewal time than the initial enrollment time.

Поставщики служб конфигурации, поддерживаемые во время регистрации mDM и обновления сертификатов Configuration service providers supported during MDM enrollment and certificate renewal

Следующие поставщики служб конфигурации поддерживаются в процессе регистрации mDM и обновления сертификатов. The following configuration service providers are supported during MDM enrollment and certificate renewal process. Подробные описания каждого поставщика служб конфигурации см. в справке к поставщику услуг конфигурации. See Configuration service provider reference for detailed descriptions of each configuration service provider.

• CertificateStore CertificateStore
• w7 APPLICATION w7 APPLICATION
• DMClient DMClient
• EnterpriseAppManagement EnterpriseAppManagement

—>

Как обновить все сертификаты windows

На данный момент работа через защищённое соединение c устройств Apple не поддерживается.

На данный момент работа через защищённое соединение c Android-устройств не поддерживается.

Установка сертификатов — для Windows 10 (Vista, 7, 8)

Шаг 1. Загрузите сертификаты КриптоПро CSP

ssl.croinform.cer [1,1 кБ] — (обновлен 21 сентября 2020 г.) основной сертификат, необходим для устранения ошибки сертификата безопасности для веб-узла croinform .ru .

cacer.p7b [4 кБ] — (обновлен 29 сентбяря 2020 г.) контейнер с сертификатами удостоверяющего центра ООО КРИПТО-ПРО, необходимыми для функционирования сертификата ssl.croinform.cer.

Шаг 2. Установка основного сертификата ssl.croinform.cer

Для установки сертификата веб-узла ssl.croinform.ru выполните следующие действия. Щелкните правой клавишей мыши по файлу ssl.croinform.cer. В открывшемся контекстном меню выберите команду «Установить сертификат».

При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».

Откроется окно «Мастер импорта сертификатов».

В последующих шагах установки нажимайте на кнопку «Далее», не меняя параметров установки. После завершения установки, на экран будет выведено окно оповещения.

Нажмите на кнопку «ОК», окно будет закрыто. Поздравляем! Вы установили основной сертификат ssl.croinform.cer.

Шаг 3. Установка сертификатов из контейнера cacer.p7b

Щелкните правой клавишей мыши по файлу cacer.p7b. В открывшемся контекстном меню выберите команду «Установить сертификат».

При запуске может быть открыто окно предупреждения системы безопасности. Нажмите кнопку «Открыть».

Откроется окно «Мастер импорта сертификатов».

Нажмите кнопку «Далее». Мастер перейдет к выбору хранилища для размещения сертификатов

Установите переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор». Появится окно «Выбор хранилища сертификатов».

Выберите в списке пункт «Доверенные корневые центры сертификации» и нажмите кнопку «ОК». Окно «Выбор хранилища сертификатов» будет закрыто, и Вы вернетесь в окно «Мастер импорта сертификатов». В поле «Хранилище сертификатов» появится выбранное хранилище сертификатов.

Нажмите кнопку «Далее». Окно «Мастер импорта сертификатов» откроется на шаге «Завершение мастера импорта сертификатов».

Нажмите кнопку «Готово». На экране появится окно предупреждения системы безопасности.

Нажмите на кнопку «ОК», кно будет закрыто. Во всех последующих окнах предупреждения системы безопасности (они будут аналогичны первому) также нажмите кнопку «ОК». После завершения установки всех сертификатов на экран будет выведено окно оповещения.