Практическая работа с центром сертификации


Настройка публичного хранилища в MS Windows Server 2012 R2


Для того, чтобы создать и использовать публичное хранилище сертификатов, необходимо:

Создать папку Public в каталоге C:\Inetpub\wwwroot\ на сервере сертификации


Запустить Диспетчер служб IIS. В левой части окна Диспетчера служб IIS раскрыть дерево подключений /сайты/Default Web Site/Public. При выделении курсором ветки Public в правой стороне откроется Начальная страница Public, в которой нужно дважды нажать на Просмотр каталога.


В крайне правом окне нажать на Включить.


Скопировать из каталога C:\Windows\System32\Certsrv\CertEnroll корневого и подчиненного центров сертификации списки отозванных сертификатов и сертификаты в каталог C:\Inetpub\wwwroot\ Public.

Проверить доступ к этим файлам по адресу http://«имя сервера»/public и скачать любой файл.


Управление шаблонами сертификатов в MS Windows Server 2012 R2


В рамках этого раздела рассматриваются создание нового шаблона пользователя с возможностями подписи документов и создание сертификата пользователя по созданному шаблону через веб-сайт центра сертификации.


Создание шаблона сертификата


Запустить Центр сертификации. Для этого нажать кнопкуПуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Пользователь, вызвать контекстное меню, выбрать в нем Скопировать шаблон.



В окне Совместимость оставить все по умолчанию. В окне Общие задать отображаемое имя шаблона –Сертификат пользователя УЦ . Снять флажок Опубликовать сертификат в Active Directory.


Перейти в закладку Обработка запроса. В поле Цель выбрать Подпись.

На запрос об изменении назначения сертификата нажать Да.


Перейти в закладку Шифрование, выбрать В запросах могут использоваться любые поставщики, доступные на компьютере пользователя.


В закладке Имя субъекта установить флажок Предоставляется в запросе.


Перейти на вкладку Безопасность и для группы Прошедшие проверку требуется установить флажок Заявка в колонке "Разрешить".


Перейти на вкладку Расширения и изменить настройки Политики применения. Для этого необходимо нажать на кнопку Изменить.


В открывшемся диалоговом окне необходимо выбрать политикуПодписывание документа, удалить Шифрующая файловая система (EFS) и нажать на кнопку ОК. В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить.


Создание сертификата пользователя по созданному шаблону


В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата.


В открывшемся диалоговом окне необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК.


Проверяем шаблон, для этого в браузере открываем страницу центра сертификации.


Нажимаем на строку Запроса сертификата. В следующем окне нажать на Расширенный запрос сертификата.


Нажать на строку Создать и выдать запрос к этому ЦС.


В окне запроса сертификата выбираем шаблон сертификата Сертификат пользователя УЦ. Обязательно должны быть заполнены поля Имя и Страна, регион (ввести значение RU). Нажать кнопку Выдать.


В случае правильного заполнения полей шаблона будет сформирован сертификат. Нажать Установить этот сертификат.



Заходим в центр сертификации в ветку выданные сертификаты. Последний сертификат будет тот, который был сформирован через веб-сайт.



Установка и настройка OCSP-службы подчиненного центра сертификации на базе MS Windows Server 2012 R2


Для установки и настройки OCSP-службы необходимо:

Установить OCSP-службу;

Настроить шаблон для выпуска сертификата OCSP-службы;

Настроить центр сертификации для работы с OCSP-службой;

Настроить службу.


Установка сетевого ответчика


Для установки доменной службы запуститеДиспетчер серверов. В окнеПанель мониторинга нажатьДобавить роли и компоненты. В окне Мастера добавления ролей и компонентов оставить по умолчанию тип установки Установка ролей или компонентов. В окне выбора сервера нажать Далее оставив все по умолчанию. В окне выбора ролей сервера найти Службу сертификатов Active Directory, раскрыть строку дважды кликнув мышкой по строке, поставить флажок в строке Сетевой ответчик.


В появившемся окне нажать кнопку Добавить компоненты.


В окне выбора компонентов нажать Далее.


Нажмите Установить. После установки необходимо настроить службу, для этого нажмите на строку Настроить службу сертификатов Active Directory на конечном сервер


В окне учетные данные нажмите кнопку Далее. Поставить флажок в строке Сетевой ответчик и нажать Далее.


Нажать кнопку Настроить.


После настройки закрыть все окна.


Настройка шаблона сетевого ответчика


Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Подписывание отклика OSPC, вызвать контекстное меню, выбрать в нем Свойства. Перейти в закладку Безопасность. Нажать кнопку Добавить. В окне выбора нажать кнопку Дополнительно.


Нажать кнопку Типы объектов. Поставить флажок в строке Компьютеры и нажать ОК.


В окне выбора нажать кнопку Поиск. После окончания поиска в окне результатов найти ваш сервер и нажмите ОК.


В окне Группы или пользователи выбрать ваш сервер и для него в окне Разрешения поставить флажок в строке Заявка.


В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата. В открывшемся диалоговом окне необходимо выбрать ранее настроенный шаблон и нажать на кнопку ОК.


Настройка центра сертификации для поддержки службы сетевых ответчиков


Открыть Центр сертификации. Через контекстное меню откройте Свойства. Перейти в закладку Расширения. В списке расширений выбрать Доступ к сведениям о центрах сертификации (AIA).


В строке Размещение написать путь http://«ваш сервер»/ocsp/ocsp.srf. Поставить флажок в строке Включать в расширение протокола OCSP.


Перезапустить Центр сертификации.


Настройка сетевого ответчика


Запустить Сетевой ответчик.


В окне управления выделить Конфигурация отзыва, вызвать контекстное меню, выбрать Добавить конфигурацию отзыва.


Введите имя конфигурации отзыва, например, OCSP.


В окне выбора расположения сертификата ЦС должен быть выбран пункт Выберите сертификат для существующего ЦС предприятия.


Нажать кнопку Обзор.


Выбрать корневой сертификат ЦС и нажмите ОК.


После выбора сертификата ЦС в окне выбора появиться ссылка на сертификат. Нажмите Далее.



Если OCSP-служба настроена правильно, то в конфигурации сетевых ответчиков служба будет в рабочем состоянии.