Запрос сертификата windows 2012

Генерация запроса на сертификат на IIS 8

Всем привет сегодняшней темой будет генерация запроса на сертификат на IIS 8, к вашему локальному центру сертификации CA. Генерация необходима для получения сертификата шифрования для сервера, так сказать безопасность превыше всего, да и трафик должен быть защищен, особенно в сфере последних рекомендаций со стороны поисковых систем Google и Яндекс.

Естественно у вас должен быть установлен центр сертификации и дана возможность подавать запрос на шаблон Webserver или основанный на него. Открываем оснастку на сервере диспетчер iis 8. Выбираем корень и видим пункт Сертификаты сервера, именно тут мы с вами будет делать CSR запрос.

Далее вам необходимо справа в пункте действия нажать создать запрос сертификата

Начнется генерация запроса на сертификат, вам необходимо заполнить определенные поля

• Полное имя — пишите что хотите
• Организация — название фирмы
• Подразделение — отдел или служба
• Город
• Область
• Страна — RU

Выбираете поставщика служб шифрования, я выбрал RSA , и длину ключа я в тестовой среде выбрал 2048, больше 4096 не ставьте, может получиться так что не все приложения с ним корректно работают.

Указываете имя файла сохранения и куда его сохраните

И так наша генерация запроса на сертификат завершена, будут сохранена в текстовый файл

В итоге вы получите файл с таким содержанием

Затем идете на ваш центр сертификации и создаете папку в которую копируете ваш файл txt с запросом, зажимаете shift и щелкаете по это папке правым кликом, выбираете открыть командную строку. В командной строке набираете команду

Выскочит маленькое окно где нужно выбрать необходимый CA.

В итоге вы получите файл сертификат. Копируете его на ваш сервер с IIS 8. Нажимаете Запрос установки сертификата. Указываете путь до него понятное имя

А так же тип размещения веб-службы. Жмем ок.

Далее ваш сертификат появится в списке сертификатов сервера. Уверен, что вы теперь надежно защитите ваш IIS.

Генерация CSR-запроса в IIS 8

Для того, чтобы получить SSL-сертификат в 1cloud.ru, вам необходимо выполнить два шага: сгенерировать CSR-запрос (Certificate Signing Request) для вашего сайта, а затем заказать SSL-сертификат через панель управления 1cloud.ru.

В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012.

SSL-сертификаты от 550 руб.

• Все доверенные центры сертификации
• Большой выбор сертификатов
• Пошаговые инструкции по выпуску и установке

Для создания запроса CSR необходимо:

1. Запустить Диспетчер Серверов (Server Manager), выполнив: Пуск (Start) ->Администрирование (Administrative Tools) ->Диспетчер серверов (Server Manager)
2. В меню Средства (Tools) выбрать Диспетчер служб IIS (Internet Information Services Manager).

Примечение: Если оснастка Диспетчер служб IIS отсутствует в вашем Диспетчере Серверов, вам необходимо добавить соответствующую роль на сервер. Для этого в том же Диспетчере серверов откройте меню Управление и выберите пункт Добавить роли и компоненты. В открывшемся окне выберите ваш сервер и установите флажок на роли Веб-сервер (IIS). Далее следуйте подсказкам Мастера Установки.
В панели Подключения (Connections) в левой части окна указать сервер, для которого вы будете генерировать CSR-запрос.

В центральной части окна выбрать Сертификаты сервера (Server Certificates)

В меню Действия (Actions) в правой части экрана выбрать пункт Создать запрос сертификата (Create Certificate Request).

Далее необходимо ввести значения полей Свойства различающегося имени (Distinguished Name Properties) (все поля заполняются латиницей):

• Полное имя (Common Name) — полное доменное имя (FQDN) или URL, для которого планируется использовать сертификат.
  Примечание: например, сертификат, выпущенный для адреса. www.mydomain.com не действителен для поддомена subdomain.mydomain.com.
  Если вы приобретаете Wildcard-сертификат (сертификат для домена и его поддоменов), указанное здесь доменное имя должно начинаться с символа * (*.mydomain.com).
• Организация (Organization) — официальное название организации-владельца сайта.
  Для получения сертификатов с валидацией организации (OV-Organization Validation) и сертификатов с расширенной проверкой (EV-Extended Validation) это поле является обязательным и должно содержать имя организации, под которым она официально зарегистрирована.
  При заказе сертификата физическим лицом (актуально для SSL-сертификатов c домена(DV-Domain Validation)), в этом поле необходимо указать полное имя владельца сертификата, а в поле Organizational Unit — название вашей площадки или бренда (DBA-Doing Business As), при его наличии.
• Подразделение (Organizational Unit) — внутренний отдел/департамент организации («Engineering», «Management»).
• Город (City/Locality) — полное название города, в котором зарегистрирована организация.
• Область/край (State/Province) — полное название области, района, штата, в котором зарегистрирована организация.
• Страна или регион (Country) — двухбуквенный код страны организации-владельца сертификата.

Нажмите Далее (Next). В меню Поставщик средств шифрования (Cryptographic service provider) выберите Microsoft RSA SChannel Cryptographic Provider.

Длина ключа в битах (Bit length) — 2048 бит или выше.

Нажмите Далее (Next), укажите директорию и имя файла запроса, а затем нажмите Готово (Finish).

Заказ SSL-сертификата в панели управления 1cloud.ru

Далее необходимо отправить сгенерированный CSR-запрос на подпись в Центр Сертификации через панель управления 1cloud.ru:

Войдите в панель управления, откройте меню «SSL» и нажмите кнопку «Заказать сертификат».

На открывшейся странице выберите интересующий вас сертификат.

Во вкладке Данные владельца заполните все поля:

• Откройте ранее сгенерированный файл CSR-запроса, скопируйте его содержимое в буфер обмена и вставьте его в поле CSR панели управления 1cloud
• Заполните остальные поля по аналогии с приведенным ниже примером и нажмите на кнопку Заказать.

На этом процедура заказа SSL-сертификата завершена. Инструкции по получению заказанного сертификата будут отправлены на ваш адрес электронной почты.

После получения сертификата его необходимо установить на веб-сервер. Для этого вы можете воспользоваться нашей инструкцией по установке SSL-сертификата на IIS 8 (Windows Server 2012).

Создание сертификатов программного обеспечения с помощью диспетчера сертификатов Create software certificates with Certificate Manager

Для регистрации и обновления сертификатов программного обеспечения права администратора и виртуальная смарт-карта не нужны. To enroll and renew software certificates you don’t have to be an administrator and you don’t need a virtual smart card. Обратите внимание, что на определенном этапе вам будет предложено разрешить операцию с сертификатом — это нормально. It’s worth noting that at some point you will be prompted to allow a certificate operation and this is normal.

Создание шаблона профиля сертификата программного обеспечения в диспетчере сертификатов MIM 2016 Create a software certificate Profile Template in MIM 2016 Certificate Manager

Создайте шаблон сертификата, который вы будете запрашивать для виртуальной смарт-карты. Create a template for the certificate that you will request for the virtual smart card. Откройте консоль MMC. Open the mmc.

В меню Файл выберите команду Добавить или удалить оснастку. Click File, and then click Add/Remove Snap-in.

В списке доступных оснасток выберите Шаблоны сертификатов, а затем нажмите кнопку Добавить. In the available snap-ins list, click Certificate Templates, and then click Add.

Шаблоны сертификатов теперь расположены в корне консоли MMC. Certificate Templates is now located under Console Root in the MMC. Дважды щелкните его, чтобы увидеть все доступные шаблоны сертификатов. Double-click it to view all the available certificate templates.

Щелкните правой кнопкой мыши Пользовательский шаблон и выберите пункт Скопировать шаблон. Right-click the User template, and click Duplicate Template.

На вкладке Совместимость в разделе «Центр сертификации» выберите Windows Server 2008, а в разделе «Получатель сертификата» — Windows 8.1 или Windows Server 2012 R2. On the Compatibility tab under Certification Authority Select Windows Server 2008 and under Certificate Recipient select Windows 8.1 / Windows Server 2012 R2.

На вкладке Общие в поле отображаемого имени введите Шаблон архива сертификатов. On the General tab, in the display name field type Archived Certificate Template.

б. b. На вкладке Обработка запроса On the Request Handling tab

для параметра Цель установите значение «Подпись и шифрование». Set the Purpose to Signature and encryption.

Установите флажок Включить симметричные алгоритмы, разрешенные субъектом. Check Include symmetric algorithms allowed by the subject.

Если необходимо архивировать ключ, установите флажок Архивировать закрытый ключ субъекта. If you want to archive the key, check Archive subject’s encryption private key.

В разделе «Выполнять следующее действие. » Under Do the following… выберите Запрашивать пользователя во время регистрации. select Prompt the user during enrollment.

На вкладке Шифрование On the Cryptography tab

в разделе «Категория поставщика» выберите Поставщик хранилища ключей. Under Provider Category select Key Storage Provider

Выберите В запросах могут использоваться любые поставщики, доступные на компьютере пользователя. Select Requests can use any provider available on the subject’s computer.

На вкладке Безопасность добавьте группу безопасности, которой необходимо предоставить доступ Заявка . On the Security tab, add the security group that you want to give Enroll access to. Например, если вы хотите предоставить доступ всем пользователям, выберите группу пользователей Проверка подлинности выполнена , а затем выберите для них разрешения Заявка . For example, if you want to give access to all users, select the Authenticated users group, and then select Enroll permissions for them.

На вкладке Имя субъекта On the Subject Name tab

снимите флажок Включить имя электронной почты в имя субъекта. Uncheck Include e-mail name in subject name.

В разделе Включить эту информацию в альтернативное имя субъектаснимите флажок Имя электронной почты. Under Include this information in alternate subject name, uncheck Email name.

Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон. Click OK to finalize your changes and create the new template. Новый шаблон должен появиться в списке шаблонов сертификатов. Your new template should now appear in the list of Certificate Templates.

Выберите Файл и щелкните элемент Добавить или удалить оснастку, чтобы добавить в консоль MMC оснастку «Центр сертификации». Select File, then click Add/Remove Snap-in to add the Certification Authority snap-in to your MMC console. Когда вам будет предложено выбрать компьютер, которым вы хотите управлять, выберите Локальный компьютер. When asked which computer you want to manage, select Local Computer.

В левой области консоли MMC разверните узел Центр сертификации (локальный) и разверните свой центр сертификации в списке центров сертификации. In the left pane of the MMC, expand Certification Authority (Local), and then expand your CA within the Certification Authority list.

Щелкните правой кнопкой мыши Шаблоны сертификатов, выберите пункт Создать, а затем Шаблон сертификата. Right-click Certificate Templates, click New, and then click Certificate Template to Issue.

В списке выберите созданный шаблон (Шаблон архива сертификатов), а затем нажмите кнопку ОК. From the list, select the new template that you just created (Archived Certificate Template), and then click OK.

Создание шаблона профиля Create the Profile Template

Войдите на портал CM от имени пользователя с правами администратора. Log into the CM portal as a user with administrative privileges.

Выберите Администрирование > Управлять шаблонами профилей и убедитесь, что установлен флажок Шаблон профиля входа примера смарт-карты MIM CM, а затем выберите Копировать выбранный профиль шаблона. Go to Administration > Manage Profile templates and make sure that the box is checked next to MIM CM Sample Smart Card Logon Profile Template and then click on Copy a selected profile template.

Введите имя профиля шаблона и нажмите кнопку ОК. Type the name of the profile template and click OK.

На следующем экране выберите Добавить новый шаблон сертификата и установите флажок рядом с именем ЦС. In the next screen, click Add new certificate template and make sure to check the box next to the CA name.

Установите флажок рядом с именем архива сертификата программного обеспечения и нажмите кнопку Добавить. Check the box next to the name of the Archived Software Certificate and click Add.

Удалите пользовательский шаблон. Для этого установите рядом с ним флажок и нажмите Удалить выбранные шаблоны сертификатов , а затем ОК. Remove the User template by checking the box next to it and then clicking Delete selected certificate templates and then OK.

Выберите Изменить общие параметры. Click Change general settings.

Установите флажки слева от раздела Создавать ключи шифрования на сервере и нажмите кнопку ОК. Check the boxes to the left of Generate encryption keys on the server and click on OK. В области слева щелкните Политика восстановления. On the left pane, click on Recover Policy.

Выберите Изменить общие параметры. Click Change general settings.

Если необходимо повторно выдать архив сертификатов, установите флажки слева от раздела Повторно выдать архив сертификатов и нажмите кнопку ОК. If you want to reissue archived certificates, check the boxes to the left of Reissue archived certificates and click on OK.

При использовании виртуальной смарт-карты CM необходимо отключать элементы сбора данных. If you are using the Virtual Smart Card CM, you have to disable data collection items because it doesn’t work with data collection on. Отключите сбор данных для каждой политики. Для этого выберите политику в области слева и снимите флажок Пример элемента данных , а затем нажмите кнопку Удалить элементы сбора данных. Disable data collection for each and every policy by clicking on the policy in the left pane, and then unchecking the box next to Sample data item and then click Delete data collection items. Затем нажмите кнопку ОК. Then click OK.