Настройка шаблона сертификата сервера Configure the Server Certificate Template

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Эту процедуру можно использовать для настройки шаблона сертификата, который Active Directory ® служб сертификации (AD CS) используется в качестве основания для сертификатов сервера, зарегистрированных на серверах в сети. You can use this procedure to configure the certificate template that Active Directory® Certificate Services (AD CS) uses as the basis for server certificates that are enrolled to servers on your network.

При настройке этого шаблона можно указать серверы по Active Directory группе, которые должны автоматически получить сертификат сервера из AD CS. While configuring this template, you can specify the servers by Active Directory group that should automatically receive a server certificate from AD CS.

Приведенная ниже процедура содержит инструкции по настройке шаблона для выдаче сертификатов для всех следующих типов серверов: The procedure below includes instructions for configuring the template to issue certificates to all of the following server types:

• Серверы, на которых выполняется служба удаленного доступа, включая серверы шлюзов RAS, входящие в группу Серверы RAS и IAS . Servers that are running the Remote Access service, including RAS Gateway servers, that are members of the RAS and IAS Servers group.
• Серверы, на которых выполняется служба сервера политики сети (NPS), входящие в группу серверов RAS и IAS . Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры. Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

Настройка шаблона сертификата To configure the certificate template

В CA1 в диспетчер сервера выберите Сервис, а затем щелкните центр сертификации. On CA1, in Server Manager, click Tools, and then click Certification Authority. Откроется консоль управления (MMC) центра сертификации. The Certification Authority Microsoft Management Console (MMC) opens.

В консоли управления (MMC) дважды щелкните имя ЦС, щелкните правой кнопкой мыши шаблоны сертификатов, а затем выберите пункт Управление. In the MMC, double-click the CA name, right-click Certificate Templates, and then click Manage.

Откроется консоль Шаблоны сертификатов. The Certificate Templates console opens. Все шаблоны сертификатов отображаются в области сведений. All of the certificate templates are displayed in the details pane.

В области сведений выберите шаблон сервер RAS и IAS . In the details pane, click the RAS and IAS Server template.

В меню действие выберите пункт дублировать шаблон. Click the Action menu, and then click Duplicate Template. Откроется диалоговое окно Свойства шаблона. The template Properties dialog box opens.

Перейдите на вкладку Безопасность . Click the Security tab.

На вкладке Безопасность в поле имена групп или пользователей щелкните Серверы RAS и IAS. On the Security tab, in Group or user names, click RAS and IAS servers.

В области разрешения для серверов RAS и IAS в разделе Разрешить убедитесь, что выбран параметр Регистрация , а затем установите флажок Автоматическая регистрация . In Permissions for RAS and IAS servers, under Allow, ensure that Enroll is selected, and then select the Autoenroll check box. Нажмите кнопку ОК и закройте оснастку MMC «Шаблоны сертификатов». Click OK, and close the Certificate Templates MMC.

В консоли MMC центр сертификации щелкните шаблоны сертификатов. In the Certification Authority MMC, click Certificate Templates. В меню действие наведите указатель на пункт создать и выберите пункт Выдаваемый шаблон сертификата. On the Action menu, point to New, and then click Certificate Template to Issue. Откроется диалоговое окно Включение шаблонов сертификатов . The Enable Certificate Templates dialog box opens.

В окне Включение шаблонов сертификатов щелкните имя только что настроенного шаблона сертификата и нажмите кнопку ОК. In Enable Certificate Templates, click the name of the certificate template that you just configured, and then click OK. Например, если вы не изменили имя шаблона сертификата по умолчанию, щелкните Копия RAS-сервера и IAS-сервер, а затем нажмите кнопку ОК. For example, if you did not change the default certificate template name, click Copy of RAS and IAS Server, and then click OK.

Установка оснастки «Шаблоны сертификатов»

Оснастка «Шаблоны сертификатов» позволяет просматривать и управлять критической информацией по всем шаблонам сертификатов в домене.

Важные поля в оснастке «Шаблоны сертификатов»:

Отображаемое имя шаблона. В этом поле описывается назначение сертификата. Если организация создает пользовательский шаблон сертификата, может быть полезным использовать соглашение об именах, помогающее администраторам идентифицировать центр сертификации (ЦС) или связанную с шаблоном часть организации.

Минимально поддерживаемые ЦС. Настраиваемые параметры шаблонов сертификатов Windows зависят от версии операционной системы. Поэтому не все шаблоны сертификатов поддерживаются всеми ЦС на основе Windows Server.

Версия. Если конфигурации шаблонов сертификатов развиваются с течением времени, становится важно отслеживать сведения о версии для совместимости и поддержки .

Необходимо быть локальным администратором, чтобы установить оснастку «Шаблоны сертификатов», и членом группыАдминистраторы домена, чтобы пользоваться оснасткой «Шаблоны сертификатов». Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы установить оснастку «Шаблоны сертификатов»

Нажмите кнопку Пуск, выберите пункт Выполнить и затем введите mmc.

В меню Файл выберите команду Добавить или удалить оснастку.

В диалоговом окне Добавление и удаление оснастки дважды щелкните оснастку Шаблоны сертификатов для добавления ее к списку. Нажмите кнопку ОК.

Оснастка «Шаблоны сертификатов» по умолчанию устанавливается автоматически при установке ЦС на сервере. Оснастку «Шаблоны сертификатов» можно установить на другом сервере, используя диспетчер сервера для установки средств служб сертификатов Active Directory (AD CS).

Для установки средств удаленного администрирования сервера необходимо быть локальным администратором. Необходимо быть членом группы Администраторы домена, чтобы получить доступ и администрировать шаблоны сертификатов для домена. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы администрировать шаблоны сертификатов с удаленного сервера

Откройте диспетчер сервера.

В группе Сводка функций выберите команду Добавить функции.

Разверните Средства удаленного администрирования сервера и Средства администрирования ролей.

Установите флажок Службы сертификации Active Directory, нажмите кнопку Далее и затем кнопку Установить.

Когда процесс установки завершится, нажмите кнопку Закрыть.

Нажмите кнопку Пуск, выберите пункт Выполнить и затем введите mmc и нажмите клавишу ВВОД.

В меню Файл выберите команду Добавить или удалить оснастку.

Выберите оснастку Шаблоны сертификатов, нажмите кнопку Добавить, проверьте, что выбран контроллер домена, где размещены шаблоны сертификатов, которыми требуется управлять, и нажмите кнопку ОК.

Оснастку «Шаблоны сертификатов» можно использовать для управления шаблонами сертификатов в другом домене.

Необходимо быть администратором домена или предприятия для этого другого домена, чтобы выполнить эту процедуру. Дополнительные сведения см. в разделе Реализация ролевого администрирования.

Чтобы управлять шаблонами сертификатов в другом домене

Щелкните правой кнопкой мыши оснастку Шаблоны сертификатов и выберите команду Подключиться к другому контроллеру домена, доступному для записи.

Чтобы ввести имя другого домена, нажмите кнопку Сменить. Чтобы выбрать другой контроллер домена для существующего домена, нажмите кнопку Выбрать контроллер домена, доступный для записи.

Если предварительно выбран альтернативный контроллер домена, можно вернуться к первоначальному контроллеру домена, нажав кнопку Контроллер домена, доступный для записи, по умолчанию.

Создание сертификатов программного обеспечения с помощью диспетчера сертификатов Create software certificates with Certificate Manager

Для регистрации и обновления сертификатов программного обеспечения права администратора и виртуальная смарт-карта не нужны. To enroll and renew software certificates you don’t have to be an administrator and you don’t need a virtual smart card. Обратите внимание, что на определенном этапе вам будет предложено разрешить операцию с сертификатом — это нормально. It’s worth noting that at some point you will be prompted to allow a certificate operation and this is normal.

Создание шаблона профиля сертификата программного обеспечения в диспетчере сертификатов MIM 2016 Create a software certificate Profile Template in MIM 2016 Certificate Manager

Создайте шаблон сертификата, который вы будете запрашивать для виртуальной смарт-карты. Create a template for the certificate that you will request for the virtual smart card. Откройте консоль MMC. Open the mmc.

В меню Файл выберите команду Добавить или удалить оснастку. Click File, and then click Add/Remove Snap-in.

В списке доступных оснасток выберите Шаблоны сертификатов, а затем нажмите кнопку Добавить. In the available snap-ins list, click Certificate Templates, and then click Add.

Шаблоны сертификатов теперь расположены в корне консоли MMC. Certificate Templates is now located under Console Root in the MMC. Дважды щелкните его, чтобы увидеть все доступные шаблоны сертификатов. Double-click it to view all the available certificate templates.

Щелкните правой кнопкой мыши Пользовательский шаблон и выберите пункт Скопировать шаблон. Right-click the User template, and click Duplicate Template.

На вкладке Совместимость в разделе «Центр сертификации» выберите Windows Server 2008, а в разделе «Получатель сертификата» — Windows 8.1 или Windows Server 2012 R2. On the Compatibility tab under Certification Authority Select Windows Server 2008 and under Certificate Recipient select Windows 8.1 / Windows Server 2012 R2.

На вкладке Общие в поле отображаемого имени введите Шаблон архива сертификатов. On the General tab, in the display name field type Archived Certificate Template.

б. b. На вкладке Обработка запроса On the Request Handling tab

для параметра Цель установите значение «Подпись и шифрование». Set the Purpose to Signature and encryption.

Установите флажок Включить симметричные алгоритмы, разрешенные субъектом. Check Include symmetric algorithms allowed by the subject.

Если необходимо архивировать ключ, установите флажок Архивировать закрытый ключ субъекта. If you want to archive the key, check Archive subject’s encryption private key.

В разделе «Выполнять следующее действие. » Under Do the following… выберите Запрашивать пользователя во время регистрации. select Prompt the user during enrollment.

На вкладке Шифрование On the Cryptography tab

в разделе «Категория поставщика» выберите Поставщик хранилища ключей. Under Provider Category select Key Storage Provider

Выберите В запросах могут использоваться любые поставщики, доступные на компьютере пользователя. Select Requests can use any provider available on the subject’s computer.

На вкладке Безопасность добавьте группу безопасности, которой необходимо предоставить доступ Заявка . On the Security tab, add the security group that you want to give Enroll access to. Например, если вы хотите предоставить доступ всем пользователям, выберите группу пользователей Проверка подлинности выполнена , а затем выберите для них разрешения Заявка . For example, if you want to give access to all users, select the Authenticated users group, and then select Enroll permissions for them.

На вкладке Имя субъекта On the Subject Name tab

снимите флажок Включить имя электронной почты в имя субъекта. Uncheck Include e-mail name in subject name.

В разделе Включить эту информацию в альтернативное имя субъектаснимите флажок Имя электронной почты. Under Include this information in alternate subject name, uncheck Email name.

Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон. Click OK to finalize your changes and create the new template. Новый шаблон должен появиться в списке шаблонов сертификатов. Your new template should now appear in the list of Certificate Templates.

Выберите Файл и щелкните элемент Добавить или удалить оснастку, чтобы добавить в консоль MMC оснастку «Центр сертификации». Select File, then click Add/Remove Snap-in to add the Certification Authority snap-in to your MMC console. Когда вам будет предложено выбрать компьютер, которым вы хотите управлять, выберите Локальный компьютер. When asked which computer you want to manage, select Local Computer.

В левой области консоли MMC разверните узел Центр сертификации (локальный) и разверните свой центр сертификации в списке центров сертификации. In the left pane of the MMC, expand Certification Authority (Local), and then expand your CA within the Certification Authority list.

Щелкните правой кнопкой мыши Шаблоны сертификатов, выберите пункт Создать, а затем Шаблон сертификата. Right-click Certificate Templates, click New, and then click Certificate Template to Issue.

В списке выберите созданный шаблон (Шаблон архива сертификатов), а затем нажмите кнопку ОК. From the list, select the new template that you just created (Archived Certificate Template), and then click OK.

Создание шаблона профиля Create the Profile Template

Войдите на портал CM от имени пользователя с правами администратора. Log into the CM portal as a user with administrative privileges.

Выберите Администрирование > Управлять шаблонами профилей и убедитесь, что установлен флажок Шаблон профиля входа примера смарт-карты MIM CM, а затем выберите Копировать выбранный профиль шаблона. Go to Administration > Manage Profile templates and make sure that the box is checked next to MIM CM Sample Smart Card Logon Profile Template and then click on Copy a selected profile template.

Введите имя профиля шаблона и нажмите кнопку ОК. Type the name of the profile template and click OK.

На следующем экране выберите Добавить новый шаблон сертификата и установите флажок рядом с именем ЦС. In the next screen, click Add new certificate template and make sure to check the box next to the CA name.

Установите флажок рядом с именем архива сертификата программного обеспечения и нажмите кнопку Добавить. Check the box next to the name of the Archived Software Certificate and click Add.

Удалите пользовательский шаблон. Для этого установите рядом с ним флажок и нажмите Удалить выбранные шаблоны сертификатов , а затем ОК. Remove the User template by checking the box next to it and then clicking Delete selected certificate templates and then OK.

Выберите Изменить общие параметры. Click Change general settings.

Установите флажки слева от раздела Создавать ключи шифрования на сервере и нажмите кнопку ОК. Check the boxes to the left of Generate encryption keys on the server and click on OK. В области слева щелкните Политика восстановления. On the left pane, click on Recover Policy.

Выберите Изменить общие параметры. Click Change general settings.

Если необходимо повторно выдать архив сертификатов, установите флажки слева от раздела Повторно выдать архив сертификатов и нажмите кнопку ОК. If you want to reissue archived certificates, check the boxes to the left of Reissue archived certificates and click on OK.

При использовании виртуальной смарт-карты CM необходимо отключать элементы сбора данных. If you are using the Virtual Smart Card CM, you have to disable data collection items because it doesn’t work with data collection on. Отключите сбор данных для каждой политики. Для этого выберите политику в области слева и снимите флажок Пример элемента данных , а затем нажмите кнопку Удалить элементы сбора данных. Disable data collection for each and every policy by clicking on the policy in the left pane, and then unchecking the box next to Sample data item and then click Delete data collection items. Затем нажмите кнопку ОК. Then click OK.