• ИНФОЗАЩИТА
• ДОКУМЕНТЫ
• СОВЕТЫ
• ПРОГРАММЫ
• АНТИВИРУСЫ
• Статьи

• 

Советы

• Windows 7
• Windows XP
• Windows Server 2003
• Вирусы
• Железо
• USB-устройства
• Интернет

Антивирусы

• Удаление
• Загрузочные диски
• Антивирусные сканеры
• Антишпионы
• Reset Trial
• Специализированные

Разное

Статьи

Практическая работа с центром сертификации

Настройка публичного хранилища в MS Windows Server 2012 R2

Для того, чтобы создать и использовать публичное хранилище сертификатов, необходимо:

Создать папку Public в каталоге C:\Inetpub\wwwroot\ на сервере сертификации:

Запустить Диспетчер служб IIS. В левой части окна Диспетчера служб IIS раскрыть дерево подключений /сайты/Default Web Site/Public. При выделении курсором ветки Public в правой стороне откроется Начальная страница Public, в которой нужно дважды нажать на Просмотр каталога:

В крайне правом окне нажать на Включить:

Скопировать из каталога C:\Windows\System32\Certsrv\CertEnroll корневого и подчиненного центров сертификации списки отозванных сертификатов и сертификаты в каталог C:\Inetpub\wwwroot\Public.

Проверить доступ к этим файлам по адресу https://«имя сервера»/public и скачать любой файл.

Управление шаблонами сертификатов в MS Windows Server 2012 R2

В рамках этого раздела рассматриваются создание нового шаблона пользователя с возможностями подписи документов и создание сертификата пользователя по созданному шаблону через веб-сайт центра сертификации.

Создание шаблона сертификата

Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Пользователь, вызвать контекстное меню, выбрать в нем Скопировать шаблон:

В окне Совместимость оставить все по умолчанию. В окне Общие задать отображаемое имя шаблона – Сертификат пользователя УЦ . Снять флажок Опубликовать сертификат в Active Directory:

Перейти в закладку Обработка запроса. В поле Цель выбрать Подпись.

На запрос об изменении назначения сертификата нажать Да:

Перейти в закладку Шифрование, выбрать: В запросах могут использоваться любые поставщики, доступные на компьютере пользователя :

В закладке Имя субъекта установить флажок Предоставляется в запросе:

Перейти на вкладку Безопасность и для группы Прошедшие проверку требуется установить флажок Заявка в колонке Разрешить:

Перейти на вкладку Расширения и изменить настройки Политики применения. Для этого необходимо нажать на кнопку Изменить:

В открывшемся диалоговом окне необходимо выбрать политику Подписывание документа, удалить Шифрующая файловая система (EFS) и нажать на кнопку ОК. В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить:

Создание сертификата пользователя по созданному шаблону

В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата:

В открывшемся диалоговом окне необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК:

Проверяем шаблон, для этого в браузере открываем страницу центра сертификации:

Нажимаем на строку Запроса сертификата. В следующем окне нажать на Расширенный запрос сертификата:

Нажать на строку Создать и выдать запрос к этому ЦС:

В окне запроса сертификата выбираем шаблон сертификата Сертификат пользователя УЦ. Обязательно должны быть заполнены поля Имя и Страна, регион (ввести значение RU). Нажать кнопку Выдать:

В случае правильного заполнения полей шаблона будет сформирован сертификат. Нажать Установить этот сертификат:

Заходим в центр сертификации в ветку Выданные сертификаты. Последний сертификат будет тот, который был сформирован через веб-сайт:

Установка и настройка OCSP-службы подчиненного центра сертификации на базе MS Windows Server 2012 R2

Для установки и настройки OCSP-службы необходимо:

• установить OCSP-службу;
• настроить шаблон для выпуска сертификата OCSP-службы;
• настроить центр сертификации для работы с OCSP-службой;
• настроить службу.

Установка сетевого ответчика

Для установки доменной службы запустите Диспетчер серверов. В окне Панель мониторинга нажать Добавить роли и компоненты. В окне Мастера добавления ролей и компонентов оставить по умолчанию тип установки Установка ролей или компонентов. В окне выбора сервера нажать Далее , оставив все по умолчанию. В окне выбора ролей сервера найти Службу сертификатов Active Directory, раскрыть строку дважды кликнув мышкой по строке, поставить флажок в строке Сетевой ответчик:

В появившемся окне нажать кнопку Добавить компоненты:

В окне выбора компонентов нажать Далее:

Нажмите Установить. После установки необходимо настроить службу, для этого нажмите на строку Настроить службу сертификатов Active Directory на конечном сервер :

В окне учетные данные нажмите кнопку Далее. Поставить флажок в строке Сетевой ответчик и нажать Далее:

Нажать кнопку Настроить:

После настройки закрыть все окна.

Настройка шаблона сетевого ответчика

Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Подписывание отклика OSPC, вызвать контекстное меню, выбрать в нем Свойства. Перейти в закладку Безопасность. Нажать кнопку Добавить. В окне выбора нажать кнопку Дополнительно:

Нажать кнопку Типы объектов. Поставить флажок в строке Компьютеры и нажать ОК:

В окне выбора нажать кнопку Поиск. После окончания поиска в окне результатов найти ваш сервер и нажать ОК:

В окне Группы или пользователи выбрать ваш сервер и для него в окне Разрешения поставить флажок в строке Заявка:

В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата. В открывшемся диалоговом окне необходимо выбрать ранее настроенный шаблон и нажать на кнопку ОК.

Настройка центра сертификации для поддержки службы сетевых ответчиков

Открыть Центр сертификации. Через контекстное меню откройте Свойства. Перейти в закладку Расширения. В списке расширений выбрать Доступ к сведениям о центрах сертификации (AIA):

В строке Размещение написать путь https://«ваш сервер»/ocsp/ocsp.srf. Поставить флажок в строке Включать в расширение протокола OCSP:

Перезапустить Центр сертификации.

Настройка сетевого ответчика

Запустить Сетевой ответчик:

В окне управления выделить Конфигурация отзыва, вызвать контекстное меню, выбрать Добавить конфигурацию отзыва:

Введите имя конфигурации отзыва, например, OCSP:

В окне выбора расположения сертификата ЦС должен быть выбран пункт Выберите сертификат для существующего ЦС предприятия:

Нажать кнопку Обзор:

Выбрать корневой сертификат ЦС и нажмите ОК:

После выбора сертификата ЦС в окне выбора появиться ссылка на сертификат. Нажмите Далее:

Если OCSP-служба настроена правильно, то в конфигурации сетевых ответчиков служба будет в рабочем состоянии.

    ©TrinoSoft 2013-2022    

Для правообладателей      Обратная связь      О проекте