Для того, чтобы создать и использовать публичное хранилище сертификатов, необходимо:
Создать папку Public в каталоге C:\Inetpub\wwwroot\ на сервере сертификации:
Запустить Диспетчер служб IIS. В левой части окна Диспетчера служб IIS раскрыть дерево подключений /сайты/Default Web Site/Public. При выделении курсором ветки Public в правой стороне откроется Начальная страница Public, в которой нужно дважды нажать на Просмотр каталога:
В крайне правом окне нажать на Включить:
Скопировать из каталога C:\Windows\System32\Certsrv\CertEnroll корневого и подчиненного центров сертификации списки отозванных сертификатов и сертификаты в каталог C:\Inetpub\wwwroot\Public.
Проверить доступ к этим файлам по адресу https://«имя сервера»/public и скачать любой файл.
В рамках этого раздела рассматриваются создание нового шаблона пользователя с возможностями подписи документов и создание сертификата пользователя по созданному шаблону через веб-сайт центра сертификации.
Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Пользователь, вызвать контекстное меню, выбрать в нем Скопировать шаблон:
В окне Совместимость оставить все по умолчанию. В окне Общие задать отображаемое имя шаблона – Сертификат пользователя УЦ . Снять флажок Опубликовать сертификат в Active Directory:
Перейти в закладку Обработка запроса. В поле Цель выбрать Подпись.
На запрос об изменении назначения сертификата нажать Да:
Перейти в закладку Шифрование, выбрать: В запросах могут использоваться любые поставщики, доступные на компьютере пользователя :
В закладке Имя субъекта установить флажок Предоставляется в запросе:
Перейти на вкладку Безопасность и для группы Прошедшие проверку требуется установить флажок Заявка в колонке Разрешить:
Перейти на вкладку Расширения и изменить настройки Политики применения. Для этого необходимо нажать на кнопку Изменить:
В открывшемся диалоговом окне необходимо выбрать политику Подписывание документа, удалить Шифрующая файловая система (EFS) и нажать на кнопку ОК. В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить:
В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата:
В открывшемся диалоговом окне необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК:
Проверяем шаблон, для этого в браузере открываем страницу центра сертификации:
Нажимаем на строку Запроса сертификата. В следующем окне нажать на Расширенный запрос сертификата:
Нажать на строку Создать и выдать запрос к этому ЦС:
В окне запроса сертификата выбираем шаблон сертификата Сертификат пользователя УЦ. Обязательно должны быть заполнены поля Имя и Страна, регион (ввести значение RU). Нажать кнопку Выдать:
В случае правильного заполнения полей шаблона будет сформирован сертификат. Нажать Установить этот сертификат:
Заходим в центр сертификации в ветку Выданные сертификаты. Последний сертификат будет тот, который был сформирован через веб-сайт:
Для установки и настройки OCSP-службы необходимо:
Для установки доменной службы запустите Диспетчер серверов. В окне Панель мониторинга нажать Добавить роли и компоненты. В окне Мастера добавления ролей и компонентов оставить по умолчанию тип установки Установка ролей или компонентов. В окне выбора сервера нажать Далее , оставив все по умолчанию. В окне выбора ролей сервера найти Службу сертификатов Active Directory, раскрыть строку дважды кликнув мышкой по строке, поставить флажок в строке Сетевой ответчик:
В появившемся окне нажать кнопку Добавить компоненты:
В окне выбора компонентов нажать Далее:
Нажмите Установить. После установки необходимо настроить службу, для этого нажмите на строку Настроить службу сертификатов Active Directory на конечном сервер :
В окне учетные данные нажмите кнопку Далее. Поставить флажок в строке Сетевой ответчик и нажать Далее:
Нажать кнопку Настроить:
После настройки закрыть все окна.
Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Подписывание отклика OSPC, вызвать контекстное меню, выбрать в нем Свойства. Перейти в закладку Безопасность. Нажать кнопку Добавить. В окне выбора нажать кнопку Дополнительно:
Нажать кнопку Типы объектов. Поставить флажок в строке Компьютеры и нажать ОК:
В окне выбора нажать кнопку Поиск. После окончания поиска в окне результатов найти ваш сервер и нажать ОК:
В окне Группы или пользователи выбрать ваш сервер и для него в окне Разрешения поставить флажок в строке Заявка:
В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата. В открывшемся диалоговом окне необходимо выбрать ранее настроенный шаблон и нажать на кнопку ОК.
Открыть Центр сертификации. Через контекстное меню откройте Свойства. Перейти в закладку Расширения. В списке расширений выбрать Доступ к сведениям о центрах сертификации (AIA):
В строке Размещение написать путь https://«ваш сервер»/ocsp/ocsp.srf. Поставить флажок в строке Включать в расширение протокола OCSP:
Перезапустить Центр сертификации.
Запустить Сетевой ответчик:
В окне управления выделить Конфигурация отзыва, вызвать контекстное меню, выбрать Добавить конфигурацию отзыва:
Введите имя конфигурации отзыва, например, OCSP:
В окне выбора расположения сертификата ЦС должен быть выбран пункт Выберите сертификат для существующего ЦС предприятия:
Нажать кнопку Обзор:
Выбрать корневой сертификат ЦС и нажмите ОК:
После выбора сертификата ЦС в окне выбора появиться ссылка на сертификат. Нажмите Далее:
Если OCSP-служба настроена правильно, то в конфигурации сетевых ответчиков служба будет в рабочем состоянии.