Создание сертификатов программного обеспечения с помощью диспетчера сертификатов Create software certificates with Certificate Manager

Для регистрации и обновления сертификатов программного обеспечения права администратора и виртуальная смарт-карта не нужны. To enroll and renew software certificates you don’t have to be an administrator and you don’t need a virtual smart card. Обратите внимание, что на определенном этапе вам будет предложено разрешить операцию с сертификатом — это нормально. It’s worth noting that at some point you will be prompted to allow a certificate operation and this is normal.

Создание шаблона профиля сертификата программного обеспечения в диспетчере сертификатов MIM 2016 Create a software certificate Profile Template in MIM 2016 Certificate Manager

Создайте шаблон сертификата, который вы будете запрашивать для виртуальной смарт-карты. Create a template for the certificate that you will request for the virtual smart card. Откройте консоль MMC. Open the mmc.

В меню Файл выберите команду Добавить или удалить оснастку. Click File, and then click Add/Remove Snap-in.

В списке доступных оснасток выберите Шаблоны сертификатов, а затем нажмите кнопку Добавить. In the available snap-ins list, click Certificate Templates, and then click Add.

Шаблоны сертификатов теперь расположены в корне консоли MMC. Certificate Templates is now located under Console Root in the MMC. Дважды щелкните его, чтобы увидеть все доступные шаблоны сертификатов. Double-click it to view all the available certificate templates.

Щелкните правой кнопкой мыши Пользовательский шаблон и выберите пункт Скопировать шаблон. Right-click the User template, and click Duplicate Template.

На вкладке Совместимость в разделе «Центр сертификации» выберите Windows Server 2008, а в разделе «Получатель сертификата» — Windows 8.1 или Windows Server 2012 R2. On the Compatibility tab under Certification Authority Select Windows Server 2008 and under Certificate Recipient select Windows 8.1 / Windows Server 2012 R2.

На вкладке Общие в поле отображаемого имени введите Шаблон архива сертификатов. On the General tab, in the display name field type Archived Certificate Template.

б. b. На вкладке Обработка запроса On the Request Handling tab

для параметра Цель установите значение «Подпись и шифрование». Set the Purpose to Signature and encryption.

Установите флажок Включить симметричные алгоритмы, разрешенные субъектом. Check Include symmetric algorithms allowed by the subject.

Если необходимо архивировать ключ, установите флажок Архивировать закрытый ключ субъекта. If you want to archive the key, check Archive subject’s encryption private key.

В разделе «Выполнять следующее действие. » Under Do the following… выберите Запрашивать пользователя во время регистрации. select Prompt the user during enrollment.

На вкладке Шифрование On the Cryptography tab

в разделе «Категория поставщика» выберите Поставщик хранилища ключей. Under Provider Category select Key Storage Provider

Выберите В запросах могут использоваться любые поставщики, доступные на компьютере пользователя. Select Requests can use any provider available on the subject’s computer.

На вкладке Безопасность добавьте группу безопасности, которой необходимо предоставить доступ Заявка . On the Security tab, add the security group that you want to give Enroll access to. Например, если вы хотите предоставить доступ всем пользователям, выберите группу пользователей Проверка подлинности выполнена , а затем выберите для них разрешения Заявка . For example, if you want to give access to all users, select the Authenticated users group, and then select Enroll permissions for them.

На вкладке Имя субъекта On the Subject Name tab

снимите флажок Включить имя электронной почты в имя субъекта. Uncheck Include e-mail name in subject name.

В разделе Включить эту информацию в альтернативное имя субъектаснимите флажок Имя электронной почты. Under Include this information in alternate subject name, uncheck Email name.

Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон. Click OK to finalize your changes and create the new template. Новый шаблон должен появиться в списке шаблонов сертификатов. Your new template should now appear in the list of Certificate Templates.

Выберите Файл и щелкните элемент Добавить или удалить оснастку, чтобы добавить в консоль MMC оснастку «Центр сертификации». Select File, then click Add/Remove Snap-in to add the Certification Authority snap-in to your MMC console. Когда вам будет предложено выбрать компьютер, которым вы хотите управлять, выберите Локальный компьютер. When asked which computer you want to manage, select Local Computer.

В левой области консоли MMC разверните узел Центр сертификации (локальный) и разверните свой центр сертификации в списке центров сертификации. In the left pane of the MMC, expand Certification Authority (Local), and then expand your CA within the Certification Authority list.

Щелкните правой кнопкой мыши Шаблоны сертификатов, выберите пункт Создать, а затем Шаблон сертификата. Right-click Certificate Templates, click New, and then click Certificate Template to Issue.

В списке выберите созданный шаблон (Шаблон архива сертификатов), а затем нажмите кнопку ОК. From the list, select the new template that you just created (Archived Certificate Template), and then click OK.

Создание шаблона профиля Create the Profile Template

Войдите на портал CM от имени пользователя с правами администратора. Log into the CM portal as a user with administrative privileges.

Выберите Администрирование > Управлять шаблонами профилей и убедитесь, что установлен флажок Шаблон профиля входа примера смарт-карты MIM CM, а затем выберите Копировать выбранный профиль шаблона. Go to Administration > Manage Profile templates and make sure that the box is checked next to MIM CM Sample Smart Card Logon Profile Template and then click on Copy a selected profile template.

Введите имя профиля шаблона и нажмите кнопку ОК. Type the name of the profile template and click OK.

На следующем экране выберите Добавить новый шаблон сертификата и установите флажок рядом с именем ЦС. In the next screen, click Add new certificate template and make sure to check the box next to the CA name.

Установите флажок рядом с именем архива сертификата программного обеспечения и нажмите кнопку Добавить. Check the box next to the name of the Archived Software Certificate and click Add.

Удалите пользовательский шаблон. Для этого установите рядом с ним флажок и нажмите Удалить выбранные шаблоны сертификатов , а затем ОК. Remove the User template by checking the box next to it and then clicking Delete selected certificate templates and then OK.

Выберите Изменить общие параметры. Click Change general settings.

Установите флажки слева от раздела Создавать ключи шифрования на сервере и нажмите кнопку ОК. Check the boxes to the left of Generate encryption keys on the server and click on OK. В области слева щелкните Политика восстановления. On the left pane, click on Recover Policy.

Выберите Изменить общие параметры. Click Change general settings.

Если необходимо повторно выдать архив сертификатов, установите флажки слева от раздела Повторно выдать архив сертификатов и нажмите кнопку ОК. If you want to reissue archived certificates, check the boxes to the left of Reissue archived certificates and click on OK.

При использовании виртуальной смарт-карты CM необходимо отключать элементы сбора данных. If you are using the Virtual Smart Card CM, you have to disable data collection items because it doesn’t work with data collection on. Отключите сбор данных для каждой политики. Для этого выберите политику в области слева и снимите флажок Пример элемента данных , а затем нажмите кнопку Удалить элементы сбора данных. Disable data collection for each and every policy by clicking on the policy in the left pane, and then unchecking the box next to Sample data item and then click Delete data collection items. Затем нажмите кнопку ОК. Then click OK.

Установка центра сертификации Install the Certification Authority

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Эту процедуру можно использовать для установки служб сертификатов Active Directory (AD CS), чтобы можно было зарегистрировать сертификат сервера на серверах, на которых выполняется сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или оба. You can use this procedure to install Active Directory Certificate Services (AD CS) so that you can enroll a server certificate to servers that are running Network Policy Server (NPS), Routing and Remote Access Service (RRAS), or both.

• Перед установкой служб Active Directory сертификатов необходимо присвоить компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену. Before you install Active Directory Certificate Services, you must name the computer, configure the computer with a static IP address, and join the computer to the domain. Дополнительные сведения о выполнении этих задач см. в разделе сетевого руководствапо Windows Server 2016 Core. For more information on how to accomplish these tasks, see the Windows Server 2016 Core Network Guide.
• Для выполнения этой процедуры компьютер, на котором устанавливается AD CS, должен быть присоединен к домену, где установлена служба домен Active Directory Services (AD DS). To perform this procedure, the computer on which you are installing AD CS must be joined to a domain where Active Directory Domain Services (AD DS) is installed.

Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры. Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

Чтобы выполнить эту процедуру с помощью Windows PowerShell, откройте Windows PowerShell и введите следующую команду и нажмите клавишу ВВОД. To perform this procedure by using Windows PowerShell, open Windows PowerShell and type the following command, and then press ENTER.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

После установки AD CS введите следующую команду и нажмите клавишу ВВОД. After AD CS is installed, type the following command and press ENTER.

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Установка служб сертификатов Active Directory To install Active Directory Certificate Services

Если вы хотите использовать Windows PowerShell для установки служб Active Directory Certificate Services, см. раздел Install-адксцертификатионаусорити для командлетов и необязательных параметров. If you want to use Windows PowerShell to install Active Directory Certificate Services, see Install-AdcsCertificationAuthority for cmdlets and optional parameters.

Войдите в систему как член группы «Администраторы предприятия» и группу «Администраторы домена корневого домена». Log on as a member of both the Enterprise Admins group and the root domain’s Domain Admins group.

Откройте диспетчер серверов, щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты. In Server Manager, click Manage, and then click Add Roles and Features. Откроется мастер добавления ролей и компонентов. The Add Roles and Features Wizard opens.

На странице Перед началом работы нажмите кнопку Далее. In Before You Begin, click Next.

Страница Перед началом работы мастера добавления ролей и компонентов не отображается, если при предыдущем запуске мастера был установлен флажок Пропустить эту страницу по умолчанию. The Before You Begin page of the Add Roles and Features Wizard is not displayed if you have previously selected Skip this page by default when the Add Roles and Features Wizard was run.

На странице Выбор типа установки убедитесь, что выбрана Установка ролей или компонентов, затем нажмите кнопку Далее. In Select Installation Type, ensure that Role-Based or feature-based installation is selected, and then click Next.

На странице Выбор целевого сервера убедитесь, что выбран пункт Выберите сервер из пула серверов. In Select destination server, ensure that Select a server from the server pool is selected. На странице Пул серверов проверьте, что выбран локальный компьютер. In Server Pool, ensure that the local computer is selected. Щелкните Далее. Click Next.

В окне Выбор ролей сервера в списке роли выберите Active Directory службы сертификации. In Select Server Roles, in Roles, select Active Directory Certificate Services. Когда появится запрос на добавление необходимых компонентов, щелкните Добавить компоненты, а затем нажмите кнопку Далее. When you are prompted to add required features, click Add Features, and then click Next.

В окне Выбор компонентов нажмите кнопку Далее. In Select features, click Next.

В Active Directory службах сертификации прочтите предоставленные сведения и нажмите кнопку Далее. In Active Directory Certificate Services, read the provided information, and then click Next.

На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить. In Confirm installation selections, click Install. Не закрывайте мастер в процессе установки. Do not close the wizard during the installation process. После завершения установки щелкните настроить Active Directory службы сертификатов на целевом сервере. When installation is complete, click Configure Active Directory Certificate Services on the destination server. Откроется мастер настройки служб сертификатов Active Directory. The AD CS Configuration wizard opens. Прочтите учетные данные и при необходимости укажите учетные данные для учетной записи, которая является членом группы «Администраторы предприятия». Read the credentials information and, if needed, provide the credentials for an account that is a member of the Enterprise Admins group. Щелкните Далее. Click Next.

В службах ролей щелкните центр сертификации, а затем нажмите кнопку Далее. In Role Services, click Certification Authority, and then click Next.

На странице тип установки убедитесь, что выбран параметр ЦС предприятия , и нажмите кнопку Далее. On the Setup Type page, verify that Enterprise CA is selected, and then click Next.

На странице Укажите тип страницы ЦС убедитесь, что выбран параметр корневой ЦС , и нажмите кнопку Далее. On the Specify the type of the CA page, verify that Root CA is selected, and then click Next.

На странице Указание типа закрытого ключа убедитесь, что выбран параметр создать новый закрытый ключ , а затем нажмите кнопку Далее. On the Specify the type of the private key page, verify that Create a new private key is selected, and then click Next.

На странице шифрование для центра сертификации сохраните параметры по умолчанию для CSP (поставщик хранилища ключей RSA) и алгоритм хэширования (SHA2) и определите максимальную длину символов ключа для развертывания. On the Cryptography for CA page, keep the default settings for CSP (RSA#Microsoft Software Key Storage Provider) and hash algorithm (SHA2), and determine the best key character length for your deployment. Большие ключевые длины символов обеспечивают оптимальную безопасность; Однако они могут повлиять на производительность сервера и могут быть несовместимы с устаревшими приложениями. Large key character lengths provide optimal security; however, they can impact server performance and might not be compatible with legacy applications. Рекомендуется использовать значение по умолчанию 2048. It is recommended that you keep the default setting of 2048. Щелкните Далее. Click Next.

На странице имя ЦС сохраните Предлагаемое общее имя ЦС или измените имя в соответствии с вашими требованиями. On the CA Name page, keep the suggested common name for the CA or change the name according to your requirements. Убедитесь, что имя ЦС совместимо с соглашениями об именовании и целями, так как вы не можете изменить имя ЦС после установки служб AD CS. Ensure that you are certain the CA name is compatible with your naming conventions and purposes, because you cannot change the CA name after you have installed AD CS. Щелкните Далее. Click Next.

На странице срок действия в поле Укажите срок действия введите число и выберите значение времени (годы, месяцы, недели или дни). On the Validity Period page, in Specify the validity period, type the number and select a time value (Years, Months, Weeks, or Days). Рекомендуется использовать значение по умолчанию, равное пяти годам. The default setting of five years is recommended. Щелкните Далее. Click Next.

На странице база данных ЦС в поле укажите расположения базы данных укажите расположение папки для базы данных сертификатов и журнала базы данных сертификатов. On the CA Database page, in Specify the database locations, specify the folder location for the certificate database and the certificate database log. Если указаны расположения, отличные от расположений по умолчанию, убедитесь, что папки защищены с помощью списков управления доступом (ACL), которые не позволяют неавторизованным пользователям или компьютерам получать доступ к базе данных и файлам журналов ЦС. If you specify locations other than the default locations, ensure that the folders are secured with access control lists (ACLs) that prevent unauthorized users or computers from accessing the CA database and log files. Щелкните Далее. Click Next.

В окне Подтверждение нажмите кнопку настроить , чтобы применить параметры, а затем нажмите кнопку Закрыть. In Confirmation, click Configure to apply your selections, and then click Close.