Содержание

Установка оснастки «Шаблоны сертификатов»
Создание сертификатов программного обеспечения с помощью диспетчера сертификатов Create software certificates with Certificate Manager
Создание шаблона профиля сертификата программного обеспечения в диспетчере сертификатов MIM 2016 Create a software certificate Profile Template in MIM 2016 Certificate Manager
Создание шаблона профиля Create the Profile Template
Настройка шаблонов сертификатов для требований PEAP и EAP Configure Certificate Templates for PEAP and EAP Requirements
Минимальные требования к сертификатам сервера Minimum server certificate requirements
Минимальные требования к сертификатам клиента Minimum client certificate requirements

Установка оснастки «Шаблоны сертификатов»

Оснастка «Шаблоны сертификатов» позволяет просматривать и управлять критической информацией по всем шаблонам сертификатов в домене.

Важные поля в оснастке «Шаблоны сертификатов»:

Отображаемое имя шаблона

Минимально поддерживаемые ЦС. Настраиваемые параметры шаблонов сертификатов Windows зависят от версии операционной системы. Поэтому не все шаблоны сертификатов поддерживаются всеми ЦС на основе Windows Server.

Версия. Если конфигурации шаблонов сертификатов развиваются с течением времени, становится важно отслеживать сведения о версии для совместимости и поддержки .

Необходимо быть локальным администратором, чтобы установить оснастку «Шаблоны сертификатов», и членом группыАдминистраторы домена, чтобы пользоваться оснасткой «Шаблоны сертификатов». Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы установить оснастку «Шаблоны сертификатов»

Нажмите кнопку Пуск, выберите пункт Выполнить и затем введите mmc.

В меню Файл выберите команду Добавить или удалить оснастку.

В диалоговом окне Добавление и удаление оснастки дважды щелкните оснастку Шаблоны сертификатов для добавления ее к списку. Нажмите кнопку ОК.

Оснастка «Шаблоны сертификатов» по умолчанию устанавливается автоматически при установке ЦС на сервере. Оснастку «Шаблоны сертификатов» можно установить на другом сервере, используя диспетчер сервера для установки средств служб сертификатов Active Directory (AD CS).

Для установки средств удаленного администрирования сервера необходимо быть локальным администратором. Необходимо быть членом группы Администраторы домена, чтобы получить доступ и администрировать шаблоны сертификатов для домена. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы администрировать шаблоны сертификатов с удаленного сервера

Откройте диспетчер сервера.

В группе Сводка функций выберите команду Добавить функции.

Разверните Средства удаленного администрирования сервера и Средства администрирования ролей.

Установите флажок Службы сертификации Active Directory, нажмите кнопку Далее и затем кнопку Установить.

Когда процесс установки завершится, нажмите кнопку Закрыть.

Нажмите кнопку Пуск, выберите пункт Выполнить и затем введите mmc и нажмите клавишу ВВОД.

В меню Файл выберите команду Добавить или удалить оснастку.

Выберите оснастку Шаблоны сертификатов, нажмите кнопку Добавить, проверьте, что выбран контроллер домена, где размещены шаблоны сертификатов, которыми требуется управлять, и нажмите кнопку ОК.

Оснастку «Шаблоны сертификатов» можно использовать для управления шаблонами сертификатов в другом домене.

Необходимо быть администратором домена или предприятия для этого другого домена, чтобы выполнить эту процедуру. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы управлять шаблонами сертификатов в другом домене

Щелкните правой кнопкой мыши оснастку Шаблоны сертификатов и выберите команду Подключиться к другому контроллеру домена, доступному для записи.

Чтобы ввести имя другого домена, нажмите кнопку Сменить. Чтобы выбрать другой контроллер домена для существующего домена, нажмите кнопку Выбрать контроллер домена, доступный для записи.

Если предварительно выбран альтернативный контроллер домена, можно вернуться к первоначальному контроллеру домена, нажав кнопку Контроллер домена, доступный для записи, по умолчанию.

Создание сертификатов программного обеспечения с помощью диспетчера сертификатов Create software certificates with Certificate Manager

Для регистрации и обновления сертификатов программного обеспечения права администратора и виртуальная смарт-карта не нужны. To enroll and renew software certificates you don’t have to be an administrator and you don’t need a virtual smart card. Обратите внимание, что на определенном этапе вам будет предложено разрешить операцию с сертификатом — это нормально. It’s worth noting that at some point you will be prompted to allow a certificate operation and this is normal.

Создание шаблона профиля сертификата программного обеспечения в диспетчере сертификатов MIM 2016 Create a software certificate Profile Template in MIM 2016 Certificate Manager

Создайте шаблон сертификата, который вы будете запрашивать для виртуальной смарт-карты. Create a template for the certificate that you will request for the virtual smart card. Откройте консоль MMC. Open the mmc.

В меню Файл выберите команду Добавить или удалить оснастку. Click File, and then click Add/Remove Snap-in.

В списке доступных оснасток выберите Шаблоны сертификатов, а затем нажмите кнопку Добавить. In the available snap-ins list, click Certificate Templates, and then click Add.

Шаблоны сертификатов теперь расположены в корне консоли MMC. Certificate Templates is now located under Console Root in the MMC. Дважды щелкните его, чтобы увидеть все доступные шаблоны сертификатов. Double-click it to view all the available certificate templates.

Щелкните правой кнопкой мыши Пользовательский шаблон и выберите пункт Скопировать шаблон. Right-click the User template, and click Duplicate Template.

На вкладке Совместимость в разделе «Центр сертификации» выберите Windows Server 2008, а в разделе «Получатель сертификата» — Windows 8.1 или Windows Server 2012 R2. On the Compatibility tab under Certification Authority Select Windows Server 2008 and under Certificate Recipient select Windows 8.1 / Windows Server 2012 R2.

На вкладке Общие в поле отображаемого имени введите Шаблон архива сертификатов. On the General tab, in the display name field type Archived Certificate Template.

б. b. На вкладке Обработка запроса On the Request Handling tab

для параметра Цель установите значение «Подпись и шифрование». Set the Purpose to Signature and encryption.

Установите флажок Включить симметричные алгоритмы, разрешенные субъектом. Check Include symmetric algorithms allowed by the subject.

Если необходимо архивировать ключ, установите флажок Архивировать закрытый ключ субъекта. If you want to archive the key, check Archive subject’s encryption private key.

В разделе «Выполнять следующее действие. » Under Do the following… выберите Запрашивать пользователя во время регистрации. select Prompt the user during enrollment.

На вкладке Шифрование On the Cryptography tab

в разделе «Категория поставщика» выберите Поставщик хранилища ключей. Under Provider Category select Key Storage Provider

Выберите В запросах могут использоваться любые поставщики, доступные на компьютере пользователя. Select Requests can use any provider available on the subject’s computer.

На вкладке Безопасность добавьте группу безопасности, которой необходимо предоставить доступ Заявка . On the Security tab, add the security group that you want to give Enroll access to. Например, если вы хотите предоставить доступ всем пользователям, выберите группу пользователей Проверка подлинности выполнена , а затем выберите для них разрешения Заявка . For example, if you want to give access to all users, select the Authenticated users group, and then select Enroll permissions for them.

На вкладке Имя субъекта On the Subject Name tab

снимите флажок Включить имя электронной почты в имя субъекта. Uncheck Include e-mail name in subject name.

В разделе Включить эту информацию в альтернативное имя субъектаснимите флажок Имя электронной почты. Under Include this information in alternate subject name, uncheck Email name.

Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон. Click OK to finalize your changes and create the new template. Новый шаблон должен появиться в списке шаблонов сертификатов. Your new template should now appear in the list of Certificate Templates.

Выберите Файл и щелкните элемент Добавить или удалить оснастку, чтобы добавить в консоль MMC оснастку «Центр сертификации». Select File, then click Add/Remove Snap-in to add the Certification Authority snap-in to your MMC console. Когда вам будет предложено выбрать компьютер, которым вы хотите управлять, выберите Локальный компьютер. When asked which computer you want to manage, select Local Computer.

В левой области консоли MMC разверните узел Центр сертификации (локальный) и разверните свой центр сертификации в списке центров сертификации. In the left pane of the MMC, expand Certification Authority (Local), and then expand your CA within the Certification Authority list.

Щелкните правой кнопкой мыши Шаблоны сертификатов, выберите пункт Создать, а затем Шаблон сертификата. Right-click Certificate Templates, click New, and then click Certificate Template to Issue.

В списке выберите созданный шаблон (Шаблон архива сертификатов), а затем нажмите кнопку ОК. From the list, select the new template that you just created (Archived Certificate Template), and then click OK.

Создание шаблона профиля Create the Profile Template

Войдите на портал CM от имени пользователя с правами администратора. Log into the CM portal as a user with administrative privileges.

Выберите Администрирование > Управлять шаблонами профилей и убедитесь, что установлен флажок Шаблон профиля входа примера смарт-карты MIM CM, а затем выберите Копировать выбранный профиль шаблона. Go to Administration > Manage Profile templates and make sure that the box is checked next to MIM CM Sample Smart Card Logon Profile Template and then click on Copy a selected profile template.

Введите имя профиля шаблона и нажмите кнопку ОК. Type the name of the profile template and click OK.

На следующем экране выберите Добавить новый шаблон сертификата и установите флажок рядом с именем ЦС. In the next screen, click Add new certificate template and make sure to check the box next to the CA name.

Установите флажок рядом с именем архива сертификата программного обеспечения и нажмите кнопку Добавить. Check the box next to the name of the Archived Software Certificate and click Add.

Удалите пользовательский шаблон. Для этого установите рядом с ним флажок и нажмите Удалить выбранные шаблоны сертификатов , а затем ОК. Remove the User template by checking the box next to it and then clicking Delete selected certificate templates and then OK.

Выберите Изменить общие параметры. Click Change general settings.

Установите флажки слева от раздела Создавать ключи шифрования на сервере и нажмите кнопку ОК. Check the boxes to the left of Generate encryption keys on the server and click on OK. В области слева щелкните Политика восстановления. On the left pane, click on Recover Policy.

Выберите Изменить общие параметры. Click Change general settings.

Если необходимо повторно выдать архив сертификатов, установите флажки слева от раздела Повторно выдать архив сертификатов и нажмите кнопку ОК. If you want to reissue archived certificates, check the boxes to the left of Reissue archived certificates and click on OK.

При использовании виртуальной смарт-карты CM необходимо отключать элементы сбора данных. If you are using the Virtual Smart Card CM, you have to disable data collection items because it doesn’t work with data collection on. Отключите сбор данных для каждой политики. Для этого выберите политику в области слева и снимите флажок Пример элемента данных , а затем нажмите кнопку Удалить элементы сбора данных. Disable data collection for each and every policy by clicking on the policy in the left pane, and then unchecking the box next to Sample data item and then click Delete data collection items. Затем нажмите кнопку ОК. Then click OK.

Настройка шаблонов сертификатов для требований PEAP и EAP Configure Certificate Templates for PEAP and EAP Requirements

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Все сертификаты, используемые для проверки подлинности доступа к сети с использованием протокола расширенной проверки подлинности протокол TLS — ( EAP — ) , защищенный протокол — ( PEAP — TLS ) и — протокол проверки подлинности подтверждения связи Майкрософт ( (SSPI) версии 2 MS — CHAP v2, ) должны соответствовать требованиям для сертификатов X. 509 и работать для подключений, использующих защищенный уровень сокета/протокол безопасности (SSL/TLS). All certificates that are used for network access authentication with Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS), and PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) must meet the requirements for X.509 certificates and work for connections that use Secure Socket Layer/Transport Level Security (SSL/TLS). Сертификаты клиента и сервера имеют дополнительные требования. Both client and server certificates have additional requirements.

В этом разделе приводятся инструкции по настройке шаблонов сертификатов. This topic provides instructions for configuring certificate templates. Чтобы использовать эти инструкции, необходимо развернуть собственную инфраструктуру открытого ключа ( PKI ) с Active Directory служб сертификации ( AD CS ) . To use these instructions, it is required that you have deployed your own Public Key Infrastructure (PKI) with Active Directory Certificate Services (AD CS).

Минимальные требования к сертификатам сервера Minimum server certificate requirements

При использовании протокола PEAP — MS — CHAP v2, PEAP — TLS или — EAP TLS в качестве метода проверки подлинности сервер политики сети должен использовать сертификат сервера, который соответствует минимальным требованиям к сертификату сервера. With PEAP-MS-CHAP v2, PEAP-TLS, or EAP-TLS as the authentication method, the NPS must use a server certificate that meets the minimum server certificate requirements.

Клиентские компьютеры можно настроить для проверки сертификатов сервера с помощью параметра проверить сертификат сервера на клиентском компьютере или в групповая политика. Client computers can be configured to validate server certificates by using the Validate server certificate option on the client computer or in Group Policy.

Клиентский компьютер принимает попытки проверки подлинности сервера, когда сертификат сервера соответствует следующим требованиям. The client computer accepts the authentication attempt of the server when the server certificate meets the following requirements:

Имя субъекта содержит значение. The Subject name contains a value. Если сертификат выдается серверу, на котором выполняется сервер политики сети (NPS) с пустым именем субъекта, сертификат не будет доступен для проверки подлинности NPS. If you issue a certificate to your server running Network Policy Server (NPS) that has a blank Subject name, the certificate is not available to authenticate your NPS. Чтобы настроить шаблон сертификата с именем субъекта, выполните следующие действия. To configure the certificate template with a Subject name:

Откройте шаблоны сертификатов. Open Certificate Templates.
В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства . In the details pane, right-click the certificate template that you want to change, and then click Properties .
Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
В поле Формат имени субъекта выберите значение, отличное от нет. In Subject name format, select a value other than None.

Сертификат компьютера на сервере привязывается к доверенному корневому центру сертификации (ЦС) и не завершается проверкой, выполненной CryptoAPI и указанными в политике удаленного доступа или сетевой политике. The computer certificate on the server chains to a trusted root certification authority (CA) and does not fail any of the checks that are performed by CryptoAPI and that are specified in the remote access policy or network policy.

Сертификат компьютера для сервера политики сети или VPN настроен с использованием проверки подлинности сервера в расширениях расширенного использования ключа (EKU). The computer certificate for the NPS or VPN server is configured with the Server Authentication purpose in Extended Key Usage (EKU) extensions. (Идентификатор объекта для проверки подлинности сервера — 1.3.6.1.5.5.7.3.1.) (The object identifier for Server Authentication is 1.3.6.1.5.5.7.3.1.)

Настройте сертификат сервера с требуемым параметром шифрования: Configure the server certificate with the required cryptography setting:

Откройте шаблоны сертификатов. Open Certificate Templates.
В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства. In the details pane, right-click the certificate template that you want to change, and then click Properties.
Перейдите на вкладку Криптография и убедитесь, что настроены следующие параметры. Click the Cryptography tab and make sure to configure the following:
- Категория поставщика: Поставщик хранилища ключей Provider Category: Key Storage Provider
- Имя алгоритма: RSA Algorithm Name: RSA
- Поставщики: Поставщик криптографии платформы (Майкрософт) Providers: Microsoft Platform Crypto Provider
- Минимальный размер ключа: 2048 Minimum key size: 2048
- Хэш-алгоритм: SHA2 Hash Algorithm: SHA2
Щелкните Далее. Click Next.

Расширение альтернативного имени субъекта (SubjectAltName), если оно используется, должно содержать DNS-имя сервера. The Subject Alternative Name (SubjectAltName) extension, if used, must contain the DNS name of the server. Чтобы настроить шаблон сертификата с помощью службы доменных имен (DNS) сервера регистрации, выполните следующие действия. To configure the certificate template with the Domain Name System (DNS) name of the enrolling server:

Откройте шаблоны сертификатов. Open Certificate Templates.
В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства . In the details pane, right-click the certificate template that you want to change, and then click Properties .
Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
В поле включить эту информацию в альтернативное имя субъекта выберите DNS-имя. In Include this information in alternate subject name, select DNS name.

При использовании PEAP и EAP-TLS НПСС отображает список всех установленных сертификатов в хранилище сертификатов на компьютере со следующими исключениями. When using PEAP and EAP-TLS, NPSs display a list of all installed certificates in the computer certificate store, with the following exceptions:

Сертификаты, не содержащие цель проверки подлинности сервера в расширениях EKU, не отображаются. Certificates that do not contain the Server Authentication purpose in EKU extensions are not displayed.

Сертификаты, не содержащие имени субъекта, не отображаются. Certificates that do not contain a Subject name are not displayed.

Сертификаты на основе реестра и смарт-карты не отображаются. Registry-based and smart card-logon certificates are not displayed.

Минимальные требования к сертификатам клиента Minimum client certificate requirements

При использовании EAP-TLS или PEAP-TLS сервер принимает попытки проверки подлинности клиента, если сертификат соответствует следующим требованиям. With EAP-TLS or PEAP-TLS, the server accepts the client authentication attempt when the certificate meets the following requirements:

Сертификат клиента выдается центром сертификации предприятия или сопоставляется с учетной записью пользователя или компьютера в службах домен Active Directory Services ( AD DS ) . The client certificate is issued by an enterprise CA or mapped to a user or computer account in Active Directory Domain Services (AD DS).

Сертификат пользователя или компьютера на клиенте, подключенный к доверенному корневому центру сертификации, включает в себя назначение проверки подлинности клиента в расширениях EKU. ( идентификатор объекта для проверки подлинности клиента — 1.3.6.1.5.5.7.3.2 ) и не выполняет проверок, выполняемых CryptoAPI и указанных в политике удаленного доступа, или в политике сети, а также в проверках идентификатора объекта сертификата, указанных в политике сети NPS. The user or computer certificate on the client chains to a trusted root CA, includes the Client Authentication purpose in EKU extensions (the object identifier for Client Authentication is 1.3.6.1.5.5.7.3.2), and fails neither the checks that are performed by CryptoAPI and that are specified in the remote access policy or network policy nor the Certificate object identifier checks that are specified in NPS network policy.

Клиент 802.1 X не использует сертификаты на основе реестра, которые являются сертификатами, защищенными с помощью смарт-карт или паролем. The 802.1X client does not use registry-based certificates that are either smart card-logon or password-protected certificates.

Для сертификатов пользователей расширение «альтернативное имя субъекта ( SubjectAltName» ) в сертификате содержит имя участника-пользователя ( UPN ) . For user certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate contains the user principal name (UPN). Чтобы настроить имя участника-пользователя в шаблоне сертификата, выполните следующие действия. To configure the UPN in a certificate template:

Откройте шаблоны сертификатов. Open Certificate Templates.
В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства. In the details pane, right-click the certificate template that you want to change, and then click Properties.
Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
В поле включить эту информацию в альтернативное имя субъекта выберите имя участника-пользователя ( UPN ). In Include this information in alternate subject name, select User principal name (UPN).

Для сертификатов компьютеров расширение «альтернативное имя субъекта ( SubjectAltName» ) в сертификате должно содержать полное ( доменное имя ) клиента, которое также называется DNS-именем. For computer certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate must contain the fully qualified domain name (FQDN) of the client, which is also called the DNS name. Чтобы настроить это имя в шаблоне сертификата, выполните следующие действия. To configure this name in the certificate template:

Откройте шаблоны сертификатов. Open Certificate Templates.
В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства. In the details pane, right-click the certificate template that you want to change, and then click Properties.
Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
В поле включить эту информацию в альтернативное имя субъекта выберите DNS-имя. In Include this information in alternate subject name, select DNS name.

При использовании PEAP — TLS и EAP — TLS клиенты отображают список всех установленных сертификатов в оснастке «Сертификаты» со следующими исключениями. With PEAP-TLS and EAP-TLS, clients display a list of all installed certificates in the Certificates snap-in, with the following exceptions:

Беспроводные клиенты не отображают сертификаты на основе реестра и смарт-карты. Wireless clients do not display registry-based and smart card-logon certificates.

Беспроводные клиенты и VPN-клиенты не отображают сертификаты, защищенные паролем. Wireless clients and VPN clients do not display password-protected certificates.

Сертификаты, не содержащие цель проверки подлинности клиента в расширениях EKU, не отображаются. Certificates that do not contain the Client Authentication purpose in EKU extensions are not displayed.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS). For more information about NPS, see Network Policy Server (NPS).

Шаблон сертификатов windows 2016