Для того, чтобы создать и использовать публичное хранилище сертификатов, необходимо:
Создать папку Public в каталоге C:\Inetpub\wwwroot\ на сервере сертификации
Запустить Диспетчер служб IIS. В левой части окна Диспетчера служб IIS раскрыть дерево подключений /сайты/Default Web Site/Public. При выделении курсором ветки Public в правой стороне откроется Начальная страница Public, в которой нужно дважды нажать на Просмотр каталога.
В крайне правом окне нажать на Включить.
Скопировать из каталога C:\Windows\System32\Certsrv\CertEnroll корневого и подчиненного центров сертификации списки отозванных сертификатов и сертификаты в каталог C:\Inetpub\wwwroot\ Public.
Проверить доступ к этим файлам по адресу http://«имя сервера»/public и скачать любой файл.
В рамках этого раздела рассматриваются создание нового шаблона пользователя с возможностями подписи документов и создание сертификата пользователя по созданному шаблону через веб-сайт центра сертификации.
Запустить Центр сертификации. Для этого нажать кнопкуПуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Пользователь, вызвать контекстное меню, выбрать в нем Скопировать шаблон.
В окне Совместимость оставить все по умолчанию. В окне Общие задать отображаемое имя шаблона –Сертификат пользователя УЦ . Снять флажок Опубликовать сертификат в Active Directory.
Перейти в закладку Обработка запроса. В поле Цель выбрать Подпись.
На запрос об изменении назначения сертификата нажать Да.
Перейти в закладку Шифрование, выбрать В запросах могут использоваться любые поставщики, доступные на компьютере пользователя.
В закладке Имя субъекта установить флажок Предоставляется в запросе.
Перейти на вкладку Безопасность и для группы Прошедшие проверку требуется установить флажок Заявка в колонке "Разрешить".
Перейти на вкладку Расширения и изменить настройки Политики применения. Для этого необходимо нажать на кнопку Изменить.
В открывшемся диалоговом окне необходимо выбрать политикуПодписывание документа, удалить Шифрующая файловая система (EFS) и нажать на кнопку ОК. В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить.
В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата.
В открывшемся диалоговом окне необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК.
Проверяем шаблон, для этого в браузере открываем страницу центра сертификации.
Нажимаем на строку Запроса сертификата. В следующем окне нажать на Расширенный запрос сертификата.
Нажать на строку Создать и выдать запрос к этому ЦС.
В окне запроса сертификата выбираем шаблон сертификата Сертификат пользователя УЦ. Обязательно должны быть заполнены поля Имя и Страна, регион (ввести значение RU). Нажать кнопку Выдать.
В случае правильного заполнения полей шаблона будет сформирован сертификат. Нажать Установить этот сертификат.
Заходим в центр сертификации в ветку выданные сертификаты. Последний сертификат будет тот, который был сформирован через веб-сайт.
Для установки и настройки OCSP-службы необходимо:
• Установить OCSP-службу;
• Настроить шаблон для выпуска сертификата OCSP-службы;
• Настроить центр сертификации для работы с OCSP-службой;
• Настроить службу.
Для установки доменной службы запуститеДиспетчер серверов. В окнеПанель мониторинга нажатьДобавить роли и компоненты. В окне Мастера добавления ролей и компонентов оставить по умолчанию тип установки Установка ролей или компонентов. В окне выбора сервера нажать Далее оставив все по умолчанию. В окне выбора ролей сервера найти Службу сертификатов Active Directory, раскрыть строку дважды кликнув мышкой по строке, поставить флажок в строке Сетевой ответчик.
В появившемся окне нажать кнопку Добавить компоненты.
В окне выбора компонентов нажать Далее.
Нажмите Установить. После установки необходимо настроить службу, для этого нажмите на строку Настроить службу сертификатов Active Directory на конечном сервер
В окне учетные данные нажмите кнопку Далее. Поставить флажок в строке Сетевой ответчик и нажать Далее.
Нажать кнопку Настроить.
После настройки закрыть все окна.
Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Подписывание отклика OSPC, вызвать контекстное меню, выбрать в нем Свойства. Перейти в закладку Безопасность. Нажать кнопку Добавить. В окне выбора нажать кнопку Дополнительно.
Нажать кнопку Типы объектов. Поставить флажок в строке Компьютеры и нажать ОК.
В окне выбора нажать кнопку Поиск. После окончания поиска в окне результатов найти ваш сервер и нажмите ОК.
В окне Группы или пользователи выбрать ваш сервер и для него в окне Разрешения поставить флажок в строке Заявка.
В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата. В открывшемся диалоговом окне необходимо выбрать ранее настроенный шаблон и нажать на кнопку ОК.
Открыть Центр сертификации. Через контекстное меню откройте Свойства. Перейти в закладку Расширения. В списке расширений выбрать Доступ к сведениям о центрах сертификации (AIA).
В строке Размещение написать путь http://«ваш сервер»/ocsp/ocsp.srf. Поставить флажок в строке Включать в расширение протокола OCSP.
Перезапустить Центр сертификации.
Запустить Сетевой ответчик.
В окне управления выделить Конфигурация отзыва, вызвать контекстное меню, выбрать Добавить конфигурацию отзыва.
Введите имя конфигурации отзыва, например, OCSP.
В окне выбора расположения сертификата ЦС должен быть выбран пункт Выберите сертификат для существующего ЦС предприятия.
Нажать кнопку Обзор.
Выбрать корневой сертификат ЦС и нажмите ОК.
Если OCSP-служба настроена правильно, то в конфигурации сетевых ответчиков служба будет в рабочем состоянии.