Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Windows Server. Создание автономного центра сертификации.

Windows Server. Создание автономного центра сертификации.

Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.

Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.

Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).

Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

ЦС предприятия

• Требует наличия ActiveDirectory
• Автоматическое подтверждение сертификатов
• Автоматическое развертывание сертификатов
• Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание

Изолированный (автономный) ЦС

• Не требует наличия ActiveDirectory
• Ручное подтверждение сертификатов
• Отсутствие возможности автоматического развертывания
• Запрос сертификатов только через Web-интерфейс

Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.

Windows Server 2003

Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск — Управление данным сервером — Добавить или удалить роль.
В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.

После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ — Установка компонентов Windows, где выбираем Службы сертификации.

Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.

Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.

Windows Server 2008 R2

В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера — Роли — Добавить роли, в списке ролей выбираем Службы сертификации Active Directory.

В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.

Проверка работы ЦС

Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации (Пуск — Администрирование — Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно:
Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv, где имя_сервера — имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL, затем Загрузка сертификата ЦС или Загрузка сертификата ЦС и сохраняем сертификат в любое удобное место.

Теперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат, откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации, теперь данный ПК будет доверять всем сертификатам выданным данным ЦС.

Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата — расширенный запрос сертификата — Создать и выдать запрос к этому ЦС. Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать.

При попытке создать запрос сертификата вы можете получить следующее предупреждение:

В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX.

Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи — Выдать.

Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата, вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить.

Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.

По окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Генерация CSR-запроса в IIS 8

Для того, чтобы получить SSL-сертификат в 1cloud.ru, вам необходимо выполнить два шага: сгенерировать CSR-запрос (Certificate Signing Request) для вашего сайта, а затем заказать SSL-сертификат через панель управления 1cloud.ru.

В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012.

SSL-сертификаты от 550 руб.

• Все доверенные центры сертификации
• Большой выбор сертификатов
• Пошаговые инструкции по выпуску и установке

Для создания запроса CSR необходимо:

1. Запустить Диспетчер Серверов (Server Manager), выполнив: Пуск (Start) ->Администрирование (Administrative Tools) ->Диспетчер серверов (Server Manager)
2. В меню Средства (Tools) выбрать Диспетчер служб IIS (Internet Information Services Manager).

Примечение: Если оснастка Диспетчер служб IIS отсутствует в вашем Диспетчере Серверов, вам необходимо добавить соответствующую роль на сервер. Для этого в том же Диспетчере серверов откройте меню Управление и выберите пункт Добавить роли и компоненты. В открывшемся окне выберите ваш сервер и установите флажок на роли Веб-сервер (IIS). Далее следуйте подсказкам Мастера Установки.
В панели Подключения (Connections) в левой части окна указать сервер, для которого вы будете генерировать CSR-запрос.

В центральной части окна выбрать Сертификаты сервера (Server Certificates)

В меню Действия (Actions) в правой части экрана выбрать пункт Создать запрос сертификата (Create Certificate Request).

Далее необходимо ввести значения полей Свойства различающегося имени (Distinguished Name Properties) (все поля заполняются латиницей):

• Полное имя (Common Name) — полное доменное имя (FQDN) или URL, для которого планируется использовать сертификат.
  Примечание: например, сертификат, выпущенный для адреса. www.mydomain.com не действителен для поддомена subdomain.mydomain.com.
  Если вы приобретаете Wildcard-сертификат (сертификат для домена и его поддоменов), указанное здесь доменное имя должно начинаться с символа * (*.mydomain.com).
• Организация (Organization) — официальное название организации-владельца сайта.
  Для получения сертификатов с валидацией организации (OV-Organization Validation) и сертификатов с расширенной проверкой (EV-Extended Validation) это поле является обязательным и должно содержать имя организации, под которым она официально зарегистрирована.
  При заказе сертификата физическим лицом (актуально для SSL-сертификатов c домена(DV-Domain Validation)), в этом поле необходимо указать полное имя владельца сертификата, а в поле Organizational Unit — название вашей площадки или бренда (DBA-Doing Business As), при его наличии.
• Подразделение (Organizational Unit) — внутренний отдел/департамент организации («Engineering», «Management»).
• Город (City/Locality) — полное название города, в котором зарегистрирована организация.
• Область/край (State/Province) — полное название области, района, штата, в котором зарегистрирована организация.
• Страна или регион (Country) — двухбуквенный код страны организации-владельца сертификата.

Нажмите Далее (Next). В меню Поставщик средств шифрования (Cryptographic service provider) выберите Microsoft RSA SChannel Cryptographic Provider.

Длина ключа в битах (Bit length) — 2048 бит или выше.

Нажмите Далее (Next), укажите директорию и имя файла запроса, а затем нажмите Готово (Finish).

Заказ SSL-сертификата в панели управления 1cloud.ru

Далее необходимо отправить сгенерированный CSR-запрос на подпись в Центр Сертификации через панель управления 1cloud.ru:

Войдите в панель управления, откройте меню «SSL» и нажмите кнопку «Заказать сертификат».

На открывшейся странице выберите интересующий вас сертификат.

Во вкладке Данные владельца заполните все поля:

• Откройте ранее сгенерированный файл CSR-запроса, скопируйте его содержимое в буфер обмена и вставьте его в поле CSR панели управления 1cloud
• Заполните остальные поля по аналогии с приведенным ниже примером и нажмите на кнопку Заказать.

На этом процедура заказа SSL-сертификата завершена. Инструкции по получению заказанного сертификата будут отправлены на ваш адрес электронной почты.

После получения сертификата его необходимо установить на веб-сервер. Для этого вы можете воспользоваться нашей инструкцией по установке SSL-сертификата на IIS 8 (Windows Server 2012).