- Windows server центр сертификации выдать сертификат
- Порядок запроса сертификата от автономного ЦС
- Порядок утверждения ожидающего запроса сертификата
- Порядок получения сертификата
- Создание сертификата в центре сертификации предприятия для Essentials 2010
- Создание шаблона сертификата
- Порядок запроса сертификата от ЦС предприятия
- Записки IT специалиста
- Windows Server. Создание автономного центра сертификации.
- ЦС предприятия
- Изолированный (автономный) ЦС
- Windows Server 2003
- Windows Server 2008 R2
- Проверка работы ЦС
Windows server центр сертификации выдать сертификат
Ниже представлены процедуры для получения сертификата от автономного центра сертификации (ЦС) с помощью служб сертификации — компонента ОС Windows Server 2003 и Windows Server 2008. Данные процедуры необходимо выполнить в следующем порядке.
- Запросить сертификат от автономного ЦС.
Утвердить ожидающий запрос сертификата. Если в службах сертификации настроено автоматическое утверждение сертификатов, перейдите к процедуре получения сертификата. В противном случае сертификат должен выпустить администратор центра сертификации. Администратор ЦС должен выпустить сертификат с помощью процедуры, описанной в данном разделе.
Импортировать сертификат в Essentials 2010. Дополнительные сведения см. в разделе Импорт сертификатов.
Импортировать сертификат ЦС. Дополнительные сведения см. в разделе Импорт сертификатов.
Порядок запроса сертификата от автономного ЦС
Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере шлюза или сервере управления).
Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой сертификации (например, используйте http:// /certsrv).
На начальной странице служб сертификации Microsoft щелкните ссылку Запросить сертификат.
На странице Запрос сертификата щелкните ссылку Либо отправить расширенный запрос сертификата.
На странице Расширенный запрос сертификата щелкните ссылку Создать и выдать запрос к этому ЦС.
На странице Расширенный запрос сертификата сделайте следующее.
- В разделе Идентифицирующие сведения в поле Имя введите уникальное имя, например полное доменное имя компьютера, для которого запрашивается сертификат. Заполните остальные поля соответствующими данными.
 Примечание |
|---|
| Событие с кодом 20052 (ошибка) создается, если указанное в поле Имя полное доменное имя не соответствует имени компьютера. |
В разделе Нужный тип сертификата щелкните список и выберите вариант Другие. В поле OID введите 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.
В разделе Параметры ключа установите флажок Создать новый набор ключей. В поле Поставщик служб шифрования выберите Microsoft Enhanced Cryptographic Provider v1.0. В поле Использование ключа выберите Оба. В поле Размер ключа выберите 1024. Установите флажки Автоматическое имя контейнера ключа и Пометить ключ как экспортируемый. Снимите флажки Экспортировать ключи в файл и Включить усиленную защиту закрытого ключа, а затем установите флажок Использовать локальное хранилище компьютера для сертификата.
В разделе Формат запроса окна Дополнительные параметры выберите CMC. В списке Алгоритм хеширования выберите SHA-1. Удалите флажок Сохранять запрос в файле, а затем в поле Понятное имя введите полное доменное имя компьютера, для которого запрашивается сертификат.
Нажмите кнопку Отправить.
Если открывается диалоговое окно Потенциальное нарушение безопасности, нажмите кнопку Да.
После открытия страницы Ожидаемый сертификат закройте веб-обозреватель.
Порядок утверждения ожидающего запроса сертификата
Зарегистрируйтесь в компьютере со службами сертификации как администратор ЦС.
На рабочем столе Windows нажмите кнопку Пуск, выберите пункты Программы, Администрирование и Центр сертификации.
В окне Центр сертификации раскройте узел с именем требуемого центра сертификации, а затем выберите пункт Ожидающие запросы.
На панели результатов щелкните правой кнопкой мыши ожидающий запрос из предыдущей процедуры, выберите пункт Все задачи, а затем пункт Выпустить.
Щелкните Выданные сертификаты и убедитесь, что только что выданный сертификат указан в списке.
Закройте окно Центр сертификации.
Порядок получения сертификата
Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере управления Essentials или на компьютере из рабочей группы).
Запустите Internet Explorer, а затем подключитесь к компьютеру с размещенной службой сертификации (например, используйте http:// /certsrv).
На начальной странице служб сертификации Microsoft щелкните ссылку Просмотр состояния ожидаемого запроса сертификата.
На странице Просмотр состояния ожидаемого запроса сертификата выберите запрашиваемый сертификат.
На странице Сертификат выдан щелкните ссылку Установить этот сертификат.
В диалоговом окне Потенциальная ошибка сценария нажмите кнопку Да.
На странице Сертификат установлен появится сообщение Новый сертификат успешно установлен.. Закройте окно веб-браузера.
Создание сертификата в центре сертификации предприятия для Essentials 2010
Ниже представлены процедуры для получения сертификата от центра сертификации (ЦС) предприятия с помощью служб сертификации — компонента ОС Windows Server 2003 и Windows Server 2008. Данные процедуры необходимо выполнить в следующем порядке.
- Создать шаблон сертификата.
Запросить сертификат от ЦС предприятия.
Импортировать сертификат в Essentials 2010. Дополнительные сведения см. в разделе Импорт сертификатов.
Импортировать сертификат центра сертификации. Дополнительные сведения см. в разделе Импорт сертификатов.
Создание шаблона сертификата
На рабочем столе Windows компьютера, на котором размещен ЦС предприятия, нажмите кнопку Пуск, выберите пункты Программы, Администрирование и Центр сертификации.
В области навигации разверните имя ЦС, щелкните правой кнопкой мыши пункт Шаблоны сертификатов, а затем выберите команду Управление.
В области результатов консоли Шаблоны сертификатов щелкните правой кнопкой мыши пункт IPSec (автономный запрос), а затем выберите команду Скопировать шаблон.
В диалоговом окне Свойства нового шаблона на вкладке Общие в текстовом поле Отображаемое имя шаблона введите новое имя для шаблона (например, EssentialsCert).
На вкладке Обработка запроса установите флажок Разрешить экспортировать закрытый ключ, а затем нажмите кнопку Поставщики.
В диалоговом окне Выбор CSP выберите наиболее подходящего поставщика служб шифрования, а затем нажмите кнопку ОК.
| Примечание |
|---|
| ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. ОС Windows Server 2008, Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider. |
Перейдите на вкладку Расширения. В разделе Расширения, включенные в этот шаблон выберите пункт Политики применения, а затем нажмите кнопку Удалить.
В диалоговом окне Изменение расширения политик применения выберите пункт IKE-посредник IP-безопасности, а затем нажмите кнопку Удалить.
Выберите команду Добавить, а затем выберите нужные элементы в списке Политики применения, удерживая нажатой клавишу CTRL. Выберите пункты Проверка подлинности клиента и Проверка подлинности сервера, а затем нажмите кнопку ОК.
В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.
Перейдите на вкладку Безопасность, проверьте наличие у группы пользователя разрешений на чтение и подачу заявки, а затем к нажмите кнопку ОК.
Порядок запроса сертификата от ЦС предприятия
Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере управления Essentials или компьютере из рабочей группы).
Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой сертификации (например, используйте http:// /certsrv).
На начальной странице служб сертификации Microsoft щелкните ссылку Запросить сертификат.
На странице Запрос сертификата щелкните ссылку Либо отправить расширенный запрос сертификата.
На странице Расширенный запрос сертификата щелкните ссылку Создать и выдать запрос к этому ЦС.
На странице Расширенный запрос сертификата сделайте следующее.
- В разделе Шаблон сертификата выберите имя созданного шаблона (например, EssentialsCert).
В разделе Идентифицирующие сведения для автономного шаблона в поле Имя введите уникальное имя, например полное доменное имя компьютера, для которого запрашивается сертификат. Заполните остальные поля соответствующими данными.
| Примечание |
|---|
| Событие с кодом 20052 (ошибка) создается, если указанное в поле Имя полное доменное имя не соответствует имени компьютера. |
В разделе Параметры ключа установите флажок Создать новый набор ключей и выберите в поле Поставщик служб шифрования наиболее подходящего поставщика служб шифрования. В поле Использование ключа выберите Оба, а в поле Размер ключа выберите наиболее подходящий размер ключа. Выберите пункт Автоматическое имя контейнера ключа, установите флажок Пометить ключ как экспортируемый, снимите флажки Экспортировать ключи в файл и Включить усиленную защиту закрытого ключа, а затем установите флажок Использовать локальное хранилище компьютера для сертификата.
| Примечание |
|---|
| ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. ОС Windows Server 2008, Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider. |
В разделе Формат запроса окна Дополнительные параметры выберите CMC. В списке Алгоритм хэширования выберите SHA-1 и снимите флажок Сохранить запрос в файле. В поле Понятное имя введите полное доменное имя компьютера, для которого запрашивается сертификат.
Нажмите кнопку Отправить.
Если открывается диалоговое окно Потенциальная ошибка сценария, нажмите кнопку Да.
На странице Сертификат выдан щелкните ссылку Установить этот сертификат.
Если открывается диалоговое окно Потенциальная ошибка сценария, нажмите кнопку Да.
На странице Установленные сертификаты появится сообщение Ваш новый сертификат успешно установлен. Закройте веб-обозреватель.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
- Главная
- Windows Server. Создание автономного центра сертификации.
Windows Server. Создание автономного центра сертификации.
Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.
Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.
Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.
Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).
Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:
ЦС предприятия
- Требует наличия ActiveDirectory
- Автоматическое подтверждение сертификатов
- Автоматическое развертывание сертификатов
- Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание
Изолированный (автономный) ЦС
- Не требует наличия ActiveDirectory
- Ручное подтверждение сертификатов
- Отсутствие возможности автоматического развертывания
- Запрос сертификатов только через Web-интерфейс
Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.
Windows Server 2003
Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск — Управление данным сервером — Добавить или удалить роль.
В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.
После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ — Установка компонентов Windows, где выбираем Службы сертификации.
Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.
Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.
Windows Server 2008 R2
В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера — Роли — Добавить роли, в списке ролей выбираем Службы сертификации Active Directory.
В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.
Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.
Проверка работы ЦС
Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации (Пуск — Администрирование — Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно:
Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv, где имя_сервера — имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL, затем Загрузка сертификата ЦС или Загрузка сертификата ЦС и сохраняем сертификат в любое удобное место.
Теперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат, откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации, теперь данный ПК будет доверять всем сертификатам выданным данным ЦС.
Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата — расширенный запрос сертификата — Создать и выдать запрос к этому ЦС. Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать.
При попытке создать запрос сертификата вы можете получить следующее предупреждение:
В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX.
Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи — Выдать.
Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата, вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить.
Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.
По окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 
