Установка подчиненного центра сертификации Microsoft CA на MS Windows Server 2012 R2


При установке подчиненного центра сертификации будет считать, что домен уже имеется, DNS-сервер и доменная служба Active Directory установлены. Порядок установки будет следующим:

Установить подчиненный Центр сертификации уровня ЦС предприятия (со службой сертификации и службой регистрации в центре сертификации через Интернет) MS Windows Server 2012 R2, задать имя центра сертификации, подразделение, организацию, город и страну для сертификата, отправить запрос на сертификат в корневой центр сертификации;

Установить сертификат корневого центра сертификации и актуальный список отозванных сертификатов;

Настроить службу на автоматический выпуск сертификатов;

Включить аудит работы службы, сделать настройки безопасности;

Добавить ссылки на точку распространения отозванных сертификатов и корневого сертификата центра сертификации, которые будут добавляться в каждый выпущенный сертификат;

Выпустить внеочередной список отозванных сертификатов.


Установка службы сертификации из состава MS Windows


Установка службы сертификации производится с использованием Мастера в следующей последовательности:

Открыть окно Диспетчер серверов.

В окне Диспетчера серверов выбрать Добавить роли и компоненты.



В окне Мастера добавления ролей и компонентов оставить по умолчанию тип установки Установка ролей или компонентов.

В окне Выбор целевого сервера оставить все без изменения.

Далее выбрать роль сервера Службы сертификатов Active Directory. В Появившемся окне оставить все по умолчанию и нажать кнопку Добавитькомпоненты.



Поставить флажокСлужба регистрации в центре сертификации через Интернет.



Нажмите Далее.


После проверки выбранных параметров установки нажмите Установить.


За процессом установки можно наблюдать в окне Результаты.


После установки службы сертификации необходимо ее настроить. Для этого нажать Настроить службы сертификации Active Directory на конечном сервере.


В окне учетные данные нажать Далее.


В окне выбора службы роли для настройки отметить флажками Центр сертификации и Служба регистрации в центре сертификации через Интернет. Нажать кнопку Далее.


Далее следует выбрать ЦС предприятия.


Затем Подчиненный ЦС.


При создании нового ключа ЦС выбрать опцию Создать новый закрытый ключ.


Далее следует выбрать криптопровайдер RSA#Microsoft Software Key Storage Provider и установить опцию Разрешить взаимодействие с администратором, если центр сертификации обращается к закрытому ключу.


Далее ввести сведения о ЦС. Имя ЦС может быть введено как кириллицей, так и латиницей. При этом если имя вводится кириллицей, то его длина не должна превышать 50 символов. Если Имя вводится латиницей, то его длина не должна превышать 250 символов. Имя ЦС по умолчанию состоит из имени сервера и приставки CA.

Ввести сведения о Вашей организации в поле Суффикс различающегося имени, разделив значения запятыми (после запятой пробел не ставить), по следующему примеру:

OU = название отдела

O = название организации

L = город местонахождения

C=RU

На сообщение о расширенной кодировке имен выбираем Да.


Сохранить запрос на сертификат в файл.


По окончанию появится окно с успешной установкой.


Файл запроса на сертификат будет сохранен в корне диска C:\.


Установка сертификата корневого центра сертификации и актуального списка отозванных сертификатов


Загрузить веб-сайт корневого центра сертификации. Для этого запустить браузер, ввести в строку поиска адрес Вашего корневого центра сертификации, например, по имени сервера http://«имя вашего корневого сервера»/certsrv. Для изготовления сертификата выберите действие Запрос сертификата.


Выбрать Расширенный запрос сертификата, затем Выдать запрос, используя base-64 шифрованный файл….


Открыть файл с запросом на сертификат в Блокноте, выделить все содержимое в файле (комбинация клавиш Ctrl+A) и скопировать в буфер обмена (комбинация клавиш Ctrl+C).


Вставить содержимое буфера обмена (комбинация клавиш Ctrl+V) в окно выдачи запроса на сертификат на веб-сайте корневого центра сертификации и нажмите кнопку Выдать>.


В результате обработки запроса корневым центром сертификации будет выдан сертификат, который нужно сохранить на подчиненном центре сертификации, нажав на строку Загрузить сертификат.


Для запуска подчиненного центра сертификации необходимо встроить цепочку доверия к корневому центру сертификации, установив корневой сертификат и актуальный список отозванных сертификатов. Для загрузки перейти на начальную страницу веб-сайта корневого центра сертификации, нажав на ссылку Домой в верхнем правом углу сайта.


Нажать на строку Загрузка сертификата ЦС, цепочки сертификатов или CRL.


Скачать и сохранить на подчиненном центре сертификации сертификат ЦС и актуальный список отозванных сертификатов, нажав по ссылкамЗагрузка сертификата ЦС и Загрузка последнего базового CRL.


Установить корневой сертификат на сервер. Для этого кликнуть правой кнопкой мыши на корневой сертификат, в появившемся контекстном меню выбрать Установить сертификат. В мастере импорта сертификатов выбрать хранилище – Локальный компьютер.


Выбрать хранилище вручную, установив переключатель на Поместить все сертификаты в следующее хранилище и отметить в списке Доверенные корневые центры сертификации/Реестр.


При установке списка отозванных сертификатов выполнить аналогичные действия, при этом в окне Выбор хранилища сертификата установить флажок Показать физические хранилища, в списке выделить Промежуточные центры сертификации/Локальный компьютер.

Запустить Центр сертификации Пуск\Приложения\Центр сертификации.


Подчиненный центр сертификации еще не работает, т.к. сертификат для него не установлен. Установка сертификата проводится при первом старте службы. Нажать кнопку старта службы.


На запрос об установке сертификата нажать кнопку Да и указать место, куда был сохранен выданный сертификат.

Если все действия были выполнены правильно, служба центра сертификации успешно запуститься.


Настройка подчиненного Центра сертификации


Чтобы просмотреть настройки Центра сертификации, нужно вызвать контекстное меню и выбрать Свойства.


Настроить центр сертификации на выпуск сертификатов в автоматическом режиме. Для этого перейти в закладку Модуль политики, нажать кнопку Свойства. В открывшемся окне выбрать режим Следовать параметрам, установленным в шаблоне….


Перейти в закладку Модуль выхода. Нажать кнопку Свойства.


Установить (если не установлен) флажок Разрешить публикацию сертификатов в файловой системе.


Перейти в закладку Аудит. Включить протоколирование некоторых событий безопасности, например, архивации и восстановления базы данных, изменения настроек ЦС и параметров безопасности и т.д.


Перейти в закладку Безопасность. Разрешить Администратору запрашивать сертификаты. Установить флажок в графеРазрешить для строки Запросить сертификаты.


Перейти в закладку Расширения. Выполнить настройку публикации списка отозванных сертификатов. Для этого в менюВыберите расширение выбрать Точка распространения списка отзыва (CDP). Удалить точки распространения, кроме C:\Windows…. Добавить путь, например, http://servername/Public/servername.crl , где servername – имя сервера, где будет настроено публичное хранилище.


Включить настройкиВключать в CDP-расширение выданных сертификатов и Включать в расширения IDP выданных CRL. Перезапустить Центр сертификации.


В дополнение к CDP, необходимо сконфигурировать дополнение включающее информацию о локализации сертификата ЦС AIA. Для этого в поле Выберите расширение перейти к Authority Information Access (AIA). Удалить доступы к сведениям о центрах сертификации, кроме C:\Windows…. Добавить путь, например, http:// servername /Public/servername. cer, servername – имя сервера, где будет настроено публичное хранилище. Включить настройки Включать в AIA- расширение выданных сертификатов. Перезапустить Центр сертификации.


Поскольку значения дополнений CDP и AIA изменены, то для учета изменений необходимо выпустить и опубликовать CRL. Для публикации CRL необходимо в дереве консоли Центра сертификации нажать правой кнопкой мыши на узел Отозванные сертификаты. В появившемся меню выбрать Все задачи\ Публикация.



По умолчанию списки отозванных сертификатов размещены в папке

C:\Windows\System32\Certsrv\CertEnroll