Практическая работа с центром сертификации


Настройка публичного хранилища в MS Windows Server 2012 R2


Для того, чтобы создать и использовать публичное хранилище сертификатов, необходимо:

Создать папку Public в каталоге C:\Inetpub\wwwroot\ на сервере сертификации:



Запустить Диспетчер служб IIS. В левой части окна Диспетчера служб IIS раскрыть дерево подключений /сайты/Default Web Site/Public. При выделении курсором ветки Public в правой стороне откроется Начальная страница Public, в которой нужно дважды нажать на Просмотр каталога:



В крайне правом окне нажать на Включить:



Скопировать из каталога C:\Windows\System32\Certsrv\CertEnroll корневого и подчиненного центров сертификации списки отозванных сертификатов и сертификаты в каталог C:\Inetpub\wwwroot\Public.

Проверить доступ к этим файлам по адресу http://«имя сервера»/public и скачать любой файл.


Управление шаблонами сертификатов в MS Windows Server 2012 R2


В рамках этого раздела рассматриваются создание нового шаблона пользователя с возможностями подписи документов и создание сертификата пользователя по созданному шаблону через веб-сайт центра сертификации.


Создание шаблона сертификата


Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Пользователь, вызвать контекстное меню, выбрать в нем Скопировать шаблон:



В окне Совместимость оставить все по умолчанию. В окне Общие задать отображаемое имя шаблона – Сертификат пользователя УЦ . Снять флажок Опубликовать сертификат в Active Directory:



Перейти в закладку Обработка запроса. В поле Цель выбрать Подпись.

На запрос об изменении назначения сертификата нажать Да:



Перейти в закладку Шифрование, выбрать: В запросах могут использоваться любые поставщики, доступные на компьютере пользователя :



В закладке Имя субъекта установить флажок Предоставляется в запросе:



Перейти на вкладку Безопасность и для группы Прошедшие проверку требуется установить флажок Заявка в колонке Разрешить:



Перейти на вкладку Расширения и изменить настройки Политики применения. Для этого необходимо нажать на кнопку Изменить:



В открывшемся диалоговом окне необходимо выбрать политику Подписывание документа, удалить Шифрующая файловая система (EFS) и нажать на кнопку ОК. В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить:



Создание сертификата пользователя по созданному шаблону


В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата:



В открывшемся диалоговом окне необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК:



Проверяем шаблон, для этого в браузере открываем страницу центра сертификации:



Нажимаем на строку Запроса сертификата. В следующем окне нажать на Расширенный запрос сертификата:



Нажать на строку Создать и выдать запрос к этому ЦС:



В окне запроса сертификата выбираем шаблон сертификата Сертификат пользователя УЦ. Обязательно должны быть заполнены поля Имя и Страна, регион (ввести значение RU). Нажать кнопку Выдать:



В случае правильного заполнения полей шаблона будет сформирован сертификат. Нажать Установить этот сертификат:




Заходим в центр сертификации в ветку Выданные сертификаты. Последний сертификат будет тот, который был сформирован через веб-сайт:



Установка и настройка OCSP-службы подчиненного центра сертификации на базе MS Windows Server 2012 R2


Для установки и настройки OCSP-службы необходимо:


Установка сетевого ответчика


Для установки доменной службы запустите Диспетчер серверов. В окне Панель мониторинга нажать Добавить роли и компоненты. В окне Мастера добавления ролей и компонентов оставить по умолчанию тип установки Установка ролей или компонентов. В окне выбора сервера нажать Далее , оставив все по умолчанию. В окне выбора ролей сервера найти Службу сертификатов Active Directory, раскрыть строку дважды кликнув мышкой по строке, поставить флажок в строке Сетевой ответчик:



В появившемся окне нажать кнопку Добавить компоненты:



В окне выбора компонентов нажать Далее:



Нажмите Установить. После установки необходимо настроить службу, для этого нажмите на строку Настроить службу сертификатов Active Directory на конечном сервер :



В окне учетные данные нажмите кнопку Далее. Поставить флажок в строке Сетевой ответчик и нажать Далее:



Нажать кнопку Настроить:



После настройки закрыть все окна.


Настройка шаблона сетевого ответчика


Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать на Управление. Выделить шаблон Подписывание отклика OSPC, вызвать контекстное меню, выбрать в нем Свойства. Перейти в закладку Безопасность. Нажать кнопку Добавить. В окне выбора нажать кнопку Дополнительно:



Нажать кнопку Типы объектов. Поставить флажок в строке Компьютеры и нажать ОК:



В окне выбора нажать кнопку Поиск. После окончания поиска в окне результатов найти ваш сервер и нажать ОК:



В окне Группы или пользователи выбрать ваш сервер и для него в окне Разрешения поставить флажок в строке Заявка:



В Центре сертификации необходимо вызвать контекстное меню пункта Шаблоны сертификатов, в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата. В открывшемся диалоговом окне необходимо выбрать ранее настроенный шаблон и нажать на кнопку ОК.


Настройка центра сертификации для поддержки службы сетевых ответчиков


Открыть Центр сертификации. Через контекстное меню откройте Свойства. Перейти в закладку Расширения. В списке расширений выбрать Доступ к сведениям о центрах сертификации (AIA):



В строке Размещение написать путь http://«ваш сервер»/ocsp/ocsp.srf. Поставить флажок в строке Включать в расширение протокола OCSP:



Перезапустить Центр сертификации.


Настройка сетевого ответчика


Запустить Сетевой ответчик:



В окне управления выделить Конфигурация отзыва, вызвать контекстное меню, выбрать Добавить конфигурацию отзыва:



Введите имя конфигурации отзыва, например, OCSP:



В окне выбора расположения сертификата ЦС должен быть выбран пункт Выберите сертификат для существующего ЦС предприятия:



Нажать кнопку Обзор:



Выбрать корневой сертификат ЦС и нажмите ОК:



После выбора сертификата ЦС в окне выбора появиться ссылка на сертификат. Нажмите Далее:




Если OCSP-служба настроена правильно, то в конфигурации сетевых ответчиков служба будет в рабочем состоянии.