В этой статье я подробно расскажу о процессе установки и настройки Active Directory Certificate Services.
Служба сертификации Active Directory создает центр сертификации, предназначенный для выдачи сертификатов пользователям. Служба может быть настроена и работать через веб-интерфейс.
В примере я разбираю Active Directory Certificate Services на операционной системе Windows Server 2012.
Первым делом нам нужно установить службу сертификации Active Directory.
Для этого нужно запустить диспетчер сервера.
Далее жмем «Добавить роли и компоненты». Кнопка далее.
Выбираем пункт установка ролей или компонентов, а затем выбираем наш сервер.
В следующем окне выбираем пункт службы сертификатов Active Directory.
В окне выбора компонентов жмем далее.
В окне служба ролей выбираем пункт центр сертификации.
Запускаем процесс установки.
После этого по аналогии устанавливаем веб-службу регистрации сертификатов.
Установка завершена. Перейдем к настройке.
Настройка службы сертификатов Active Directory
Заходим в настройки.
Выбираем службу центр сертификации.
Вариант установки – центр сертификации предприятия.
Тип центра сертификации – корневой. Это необходимо для того, что бы в дальнейшем мы могли самостоятельно выдавать и подписывать сертификаты.
В следующем окне нужно выбрать пункт создать новый закрытый ключ.
Затем необходимо указать параметры шифрования. Вы можете указать свои параметры, или параметры как у меня на рисунке ниже.
В следующем окне указывается имя центра шифрования.
Затем указывается срок действия центра сертификации. По умолчанию он равен 5 годам. Так и оставим.
После нажатия кнопки далее вам нужно будет указать физическое место на жестком диске для хранения базы данных.
Подтверждаем настройку.
Перейдем к настройке web-службы регистрации сертификатов.
Настройка web-службы регистрации сертификатов
В окне указать центр сертификации для веб-службы регистрации сертификатов выбираем пункт «Имя ЦС».
Тип проверки подлинности – имя пользователя и пароль.
Учетная запись службы CES – использовать встроенное удостоверение пула приложений.
В окне выбора сертификата проверки подлинности сервера выберите существующий сертификат, затем нажмите кнопку настроить.
Настройка выполнена.
Выберите тип проверки подлинности – имя и пароль пользователя.
Включите режим обновления на останове ключей. Этот режим позволяет автоматически обновлять сертификаты ключей для компьютеров, которые не подключены к внутренней сети.
Перезагрузите сервер.
Установка и настройка удостоверяющего центра
Запустите консоль управления Microsoft (пуск, выполнить, mmc).
Далее нажмите файл, а затем добавить или удалить оснастку.
В левой части нужно выбрать пункт «Сертификаты» и нажать кнопку добавить.
В появившемся окне выбрать пункт учетной записи компьютера.
В следующем окне ничего не меняем и нажимаем кнопку готово. Оснастка добавлена.
В левой части окна можно увидеть папки, в которых хранятся сертификаты (11 штук). Они сортированы по типам сертификатов. Если нажать на папку «Личное» то можно посмотреть сертификаты в этой папке.
Запросим новый ключ, для этого нужно нажать на сертификате и выбрать меню «все задачи», а затем «запросить сертификат с новым ключом».
Появится окно перед началом работы. Жмем далее.
Видим окно запрос сертификатов и нажимаем «заявка».
Запускается процесс установки сертификата. После успешной установки появиться следующая надпись «Состояние: Успешно».
Теперь нам нужно связать сертификат с веб-сервером. Для этого нужно запустить диспетчер служб IIS.
В левой части окна нажать сайты, default web site, изменить привязки.
В появившемся окне нажмите добавить и введите данные как на изображении ниже.
Сохраните изменения и закройте окно.
Для проверки работоспособности Центра сертификации запустите браузер Internet Explorer и в строке навигации наберите адрес «https://192.168.0.1/certsrv/» (ip-адрес может отличаться от того, который указали вы).
Управление шаблонами сертификата
Работа с шаблонами сертификата требует установки оснастки «Шаблоны сертификатов». Откроем нашу консоль, которую мы создавали ранее и добавим оснастку «Шаблоны сертификатов».
Откроем шаблоны в главном окне консоли. Создадим новый шаблон.
Сначала нужно выбрать любой шаблон сертификата и нажать скопировать его.
Настроим шаблон. Выберите совместимость шаблона сертификата.
Задайте общие свойства шаблона.
В поле «отображаемое имя» , в строке «имя шаблона» будет тоже самое только без пробелов.
Параметры достоверности по умолчанию и периода обновления для сертификатов, выдаваемых службами сертификатов Active Directory (AD CS), предназначены удовлетворить большинство требований безопасности. Однако для сертификатов, используемых определенными группами пользователей, может потребоваться указать другие параметры достоверности и обновления, такие как более короткие срок действия или периоды обновления.
За это два параметра отвечают для поля «период действия» и «период обновления».
Параметр «опубликовать сертификат в Active Directory» определяет, будут ли сведения о шаблоне сертификата доступными по всему предприятию.
Параметр «не использовать автоматическую перезаявку, если такой сертификат уже существует в Active Directory». С помощью этого параметра автоматическая подача заявки на сертификат не подаст запрос повторной заявки, если в доменных службах Active Directory (AD DS) существует дубликат сертификата. Это дает возможность обновлять сертификаты, но предотвращает выдачу нескольких дубликатов сертификатов.
Обработка запроса. Цель имеет 4 возможных параметра:
- Вход с подписью и смарт-картой. Разрешает первоначальный вход в систему с помощью смарт-карты и цифровую подпись данных. Нельзя использовать для шифрования данных.
- Подпись. Содержит шифровальные ключи только для подписи данных.
- Подпись и шифрование. Охватывает все основные применения шифровального ключа сертификата, включая шифрование данных, дешифрование данных, первоначальный вход в систему и цифровую подпись данных.
- Шифрование. Содержит шифровальные ключи для шифрования и дешифрования.
Параметр «включить симметричные алгоритмы, разрешенные субъектом» позволяет администратору выбрать алгоритм стандарта AES для шифрования закрытых ключей, когда они передаются в ЦС для архивации ключа.
Если установлен этот параметр, клиент будет использовать симметричное шифрование AES-256 (наряду с сертификатом обмена ЦС для асимметричного шифрования), чтобы отправить закрытый ключ в ЦС для архивации.
Параметр «авторизация дополнительных учетных записей служб для доступа к закрытому ключу» позволяет задать настраиваемый список управления доступом (ACL) к закрытым ключам сертификатов компьютеров на основе любых шаблонов сертификатов компьютера версии 3 за исключением корневого ЦС, подчиненного ЦС и перекрестных шаблонов ЦС.
Настраиваемый список управления доступом необходим в случае, если учетная запись службы, которой требуется доступ к закрытому ключу, не включена в разрешения по умолчанию.
Вкладка шифрование. Определяется максимальный размер ключа. Я оставлю его без изменений.
Безопасность можно настроить по вашему усмотрению.
Шаблон сертификата готов.
На этом статья подходит к концу. Мы установили и настроили Active Directory Certificate Services.
Install Certificate Services on Windows Server 2022
A Certificate Authority is an entity that stores, signs and issues digital certificates. A digital certificate certifies the ownership of a public key by the named subject of the certificate. This allows others to rely upon signatures made about the private key that corresponds to the certified public key.
Microsoft’s Certification Authority is based on Public Key Infrastructure. The Active Directory Certificate Services role can be deployed on most Windows Server operating systems and provides the ability to act as an Enterprise or Standalone Root CA.
Using a Windows Root CA server is very useful for many applications, for example – if deploying 802.1x with certificate-based authentication or EAP-TLS for Wireless 802.1x, a Windows Server provides the ability to enrol and automatically distribute certificates to endpoints with ease through Microsoft Group Policy.
A CA Server can also be used to sign certificates for Servers, Network and Security Devices within an internal organisation. Certificate based authentication is considered one of the most secure methods as its uses public key and private key to encrypt and decrypt data.
In this basic step-by-step guide, we will install the Active Directory Certificate Services role and configure it.
A fresh new virtual instance of Windows Server 2022 has been installed, this server has been renamed, basic networking has been configured and it has been joined to the Active Directory Domain.
Let’s get started!
Install the Certification Authority Server Role
1. Login to Windows Server 2022 and launch “Server Manager”
2. Click the “Manage” button select “Add roles and features”
3. At the Wizard click “Next”
4. Select “Role-Based or Feature-based installation” and click “Next”
5. Click “Select a server from a server pool” and highlight the current server, click “Next”
6. Tick the “Active Directory Certificate Services” box, a new Window will pop up click “Add Features”
7. Click “Next”
8. At the features window, click “Next” we are not installing any additional features
9. Read of the role description and, note the tasks that cannot be performed once the CA role is installed. click “Next”
10. From the role services list select “Certification Authority” and “Certification authority Web Enrollment”
Click “Add Features” at the popup for IIS installation
11. Click “Next”
12. Click “Next”
13. Click “Next”
14. Select the “Restart the destination server automatically if required” tick box. This will allow the server to restart automatically if a reboot is required at the end of the install. Finally click “Install”
15. Once the role is installed, click “Close”
Configure the Role
1. From Server Manager click on the yellow warning message, select “Configure Active Directory Certificate Services on this Server”
2. At the configuration wizard click “change”
3. Provide the Domain Admin user account credentials and click “OK”
4. Note the change in the “Credentials” window, click “Next”
5. Tick both role services and click “Next”
6. Select “Enterprise CA” and click “Next”
7. Select “Root CA” and click “Next”
8. Select “Create a new private key” and click “Next”
9. Leave the default values for the private key information and click “Next”
10. Specify the common name for the CA or leave as default. Click “Next”
11. Specify the CA Certificate default validity period, this is set to 5 years by default, this can be changed if required, Click “Next”
12. leave the default location of storing the database files and click “Next”
13. Review the configuration and click “Configure”
14. Once configuration has successfully completed, click “Close”
Configure IIS
By default, IIS does not have HTTPS enabled for the web enrollment service, we need to allow HTTPS connections and define a certificate for the service to use. HTTP connections will work, however in the event the CA server is being accessed from another source to request a certificate, the credentials will be sent over in clear text. It’s important we modify this to use SSL.
1. Click “Start” and type “IIS Manager”
2. Expand “Server Name” – “Sites”, right click “Default Web Site” and select “Edit Bindings”
3. Click “Add”
4. Select “https” then from the “SSL Certificate” drop down menu, Select the Server certificate that should have been generated automatically by the CA, in this case it’s the “LNS-LNS-CA-01-CA”.
If for any reason this certificate is not yet present, one can be generated by selecting “Create a Self-Signed” Certificate” from the right-hand pane within IIS.
Click “View” to check the contents of the certificate, then click “OK, and “OK” to save the changes and return to the IIS window.
5. From the right-hand pane within IIS, select “Browse*:443 (https)”
6. The browser will launch with “https://localhost/certsrv” in the address field. Click “Continue”
From the web interface, we can start requesting certificates from the CA for our organisation. To access this portal from other devices, you can navigate to “https://IP Address or DNS name/certsrv”
Данный материал является переводом оригинальной статьи «ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell».
Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) — это один из основных инструментов, который позволяет выполнять эту работу.
В этой статье мы рассмотрим работу с сертификатами применительно к операционной системе Windows. Если же вы хотите узнать больше о том, как работают сертификаты в целом, ознакомьтесь с сопутствующей статьей «Your Guide to X509 Certificates».
Понимание хранилищ сертификатов
В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых «хранилищами сертификатов». Хранилища сертификатов – это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.
К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже.
Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.
Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.
Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером. В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.
Сертификаты пользователей
Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.
Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.
Компьютерные сертификаты
Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.
Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.
Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах \ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах \AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.
| Контекст | Путь реестра | Объяснение |
|---|---|---|
| User | HKEY_CURRENT_USER SOFTWARE\Microsoft\SystemCertificates\ |
Физическое хранилище для пользовательских открытых ключей |
| User | HKEY_CURRENT_USER SOFTWARE\Policies\Microsoft\SystemCertificates\ |
Физическое хранилище для пользовательских открытых ключей, установленных объектами групповой политики Active Directory (AD) (GPO) |
| Computer | HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\SystemCertificates\ |
Физическое хранилище общедоступных ключей для всей машины |
| Computer | HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Cryptography\Services\ |
Физическое хранилище ключей, связанных с определенной службой |
| Computer | HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\SystemCertificates\ |
Физическое хранилище открытых ключей для всей машины, установленных объектами групповой политики. |
| Computer | HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\EnterpriseCertificates\ |
Физическое хранилище общедоступных ключей, установленных корпоративными контейнерами PKI в домене AD |
| Контекст | Расположение файла | Объяснение |
|---|---|---|
| User | $env:APPDATA\Microsoft\SystemCertificates\ | Физическое хранилище для пользовательских открытых ключей и указателей на закрытые ключи |
| User | $env:APPDATA\Microsoft\Crypto\ | Физическое хранилище для контейнеров закрытых ключей для конкретных пользователей |
| Computer | $env:ProgramData\Microsoft\Crypto\ | Физическое хранилище для контейнеров закрытых ключей для всей машины |
Предварительные требования
В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:
- Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Корпоративная версии 1903.
- Знакомство с PowerShell. Хотя это и не обязательно, этот язык будет использоваться для ссылки на сертификаты, где это необходимо. Все показанные примеры были созданы с помощью Windows PowerShell 5.1.
- Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.
Управление сертификатами в Windows
В Windows есть три основных способа управления сертификатами:
- Оснастка консоли управления Microsoft (MMC) сертификатов (certmgr.msc)
- PowerShell
- Инструмент командной строки certutil
В этой статье вы узнаете, как управлять сертификатами с помощью оснастки Certificates MMC и PowerShell. Если вы хотите узнать больше о том, как использовать certutil, ознакомьтесь с документацией Microsoft.
PowerShell против диспетчера сертификатов Windows
Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать — GUI (MMC) или командную строку с PowerShell.
Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит этому научиться, если у вас есть много разных сертификатов, которыми нужно управлять.
Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.
Использование диспетчера сертификатов Windows (certmgr.msc)
Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню «Пуск» и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.
На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации
Просмотр физических хранилищ
По умолчанию Диспетчер сертификатов Windows не отображает физические хранилища. Чтобы показать их, в верхнем меню оснастки выбирайте «View» > «Options«. Затем вы увидите варианты отображения физических хранилищ сертификатов. Включение этого параметра упрощает определение конкретных путей в Windows.
Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».
Проверка атрибутов в диспетчере сертификатов Windows
Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это — указать Serial Number сертификата или значение Thumbprint. Если сертификат был подписан центром сертификации (CA), при выдаче он будет иметь серийный номер. Thumbprint вычисляется каждый раз при просмотре сертификата.
Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.
Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.
Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата
Использование PowerShell по физическому хранилищу
Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).
Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.
Get-ChildItem -Path 'HKCU:\Software\Microsoft\SystemCertificates\CA\Certificates'
Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.
Другое распространенное хранилище — это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.
Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.
Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Certificates\
Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.
Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Keys\
Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.
Get-ChildItem -Path $env:APPDATA\Microsoft\Crypto\Keys
Использование PowerShell по логическому хранилищу
Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.
PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта «Cert:\«, который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.
К сожалению, MMC и «Cert:» не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в «Cert:» PSDrive.
| Cert: | Certificates MMC |
|---|---|
| My | Personal |
| Remote Desktop | Remote Desktop |
| Root | Trusted Root Certification Authorities |
| CA | Intermediate Certification Authorities |
| AuthRoot | Third-Party Root Certification Authorities |
| TrustedPublisher | Trusted Publishers |
| Trust | Enterprise Trust |
| UserDS | Active Directory User Object |
Выбор сертификатов
Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.
Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.
Get-ChildItem -Path 'Cert:\CurrentUser\Root\'
Возвращенные объекты будут объектами сертификатов, которые вы можете использовать в следующих примерах.
Общие расширения уже доступны как свойства объектов сертификата. В приведенном ниже примере вы используете Get-Member для вывода списка всех свойств возвращаемых объектов.
Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Get-Member -MemberType Properties
Как видим, некоторые из этих расширений, например «Issuer», помогают найти сертификат, который вы ищете. Расширения предоставляют информацию о сертификате, например, кому он выдан, для чего его можно использовать и любые ограничения на него.
В более сложных случаях использования вам может понадобиться найти сертификаты других расширений, таких как используемый шаблон сертификата. Сложность в том, что значения этих расширений возвращаются как массив целых чисел. Эти целые числа соответствуют содержимому в кодировке ASN.1.
Покажем пример взаимодействия с свойствами типа ScriptProperty. В приведенной ниже команде вы извлекаете Key Usages.
((Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Select -First 1).Extensions | Where-Object {$_.Oid.FriendlyName -eq 'Key Usage'}).format($true)
Новая часть, которую мы вводим в приведенной выше команде, — это метод форматирования, который выполняет декодирование ASN.1. Вы передаете ему логическое значение (например, $true), чтобы определить, хотим ли мы, чтобы возвращаемый объект был однострочным или многострочным.
Попробуем использовать значение Thumbprint из сертификата в приведенной ниже команде. Значение Thumbprint устанавливается как переменная PowerShell и используется для выбора конкретного сертификата в приведенных ниже командах.
$thumb = "cdd4eeae6000ac7f40c3802c171e30148030c072"
Get-ChildItem -Path 'Cert:\CurrentUser\Root\' | Where-Object {$_.Thumbprint -eq $thumb}
Создание самозаверяющих (self-signed) сертификатов с помощью PowerShell
PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.
Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.
В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.
New-SelfSignedCertificate -Subject 'User-Test' -CertStoreLocation 'Cert:\CurrentUser\My'
New-SelfSignedCertificate -Subject 'Computer-Test' -CertStoreLocation 'Cert:\LocalMachine\My'
Использование самозаверяющих сертификатов для продуктивных сервисов не рекомендуется, поскольку не существует всех механизмов, основанных на доверии.
Импорт и экспорт сертификатов в MMC
Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления — обычная практика для определенных закрытых ключей.
Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.
Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню «Все задачи», а затем «Экспорт».
Во время экспорта вам будет предложено указать формат файла, как показано ниже. Наиболее распространены варианты кодирования — DER или Base-64
Экспорт закрытых ключей
Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:
- Вошедшая в систему учетная запись должна иметь разрешение на закрытый ключ (только для сертификатов компьютеров);
- Закрытый ключ должен быть помечен как экспортируемый.
Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать «Все задачи» и «Управление закрытыми ключами» в MMC «Сертификаты». В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.
Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть «Все задачи», а затем «Экспорт», как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа («Yes, export the private key»), как показано ниже.
Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.
Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.
| Настройка | Описание |
|---|---|
| Including all certificates in the certification path if possible | Помогает с переносимостью эмитентов сертификатов и включает все соответствующие открытые ключи в PFX. |
| Delete the private key if the export is successful | Удаляет закрытый ключ из файла и имеет несколько распространенных вариантов использования, но одним из примеров является проверка доступа к закрытым ключам. |
| Export all extended properties | Будет включать любые расширения в текущем сертификате, они относятся к сертификатам [конкретные настройки] для интерфейсов Windows. |
| Enable certificate privacy | Обычно в экспортируемом PFX-файле шифруется только закрытый ключ, этот параметр шифрует все содержимое PFX-файла. |
| Group or user names | Вы можете использовать участника безопасности группы или пользователя из Active Directory для шифрования содержимого файла PFX, но пароль является наиболее переносимым вариантом для устаревших систем или компьютеров, не присоединенных к тому же домену. |
Импорт сертификатов
Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.
При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.
| Настройка | Описание |
|---|---|
| Enable strong private key protection | Требуется пароль для каждого доступа к закрытому ключу. Будьте осторожны с новыми функциями, поскольку они не будут поддерживаться во всех программах. |
| Mark this key as exportable | Вы должны стараться избегать использования этого параметра в любой конечной системе, закрытые ключи следует рассматривать так же, как и хранение паролей. |
| Protect private key using [virtualization-based security] | Этот параметр обеспечивает дополнительные функции безопасности для защиты закрытых ключей от сложных атак вредоносного ПО. |
| Include all extended properties | Относится к тем же настройкам Windows, что и при экспорте. |
Сертификаты для подписи кода PowerShell — хороший вариант использования надежной защиты закрытого ключа.
С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.
Импорт и экспорт сертификатов в PowerShell
Теперь с помощью PowerShell экспортируйте один из самозаверяющих сертификатов, которые вы создали ранее. В этом примере вы выбираете сертификат в личном логическом хранилище CurrentUser, который был самозаверяющим.
$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath
Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate, чтобы сохранить файл в кодировке DER, используя команду ниже.
Export-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -Cert $certificate
Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает True, то команда Get-Item, скорее всего, выбрала неправильный сертификат.
$certificate.HasPrivateKey
Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.
$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -FilePath $env:USERPROFILE\Desktop\certificate.pfx -Password $pfxPassword -Cert $certificate
В случае, если необходимо выполнить импорт, как и при экспорте, есть две команды. Одна команда для импорта сертификатов и одна для импорта файлов PFX.
Ниже команда Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.
Import-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -CertStoreLocation 'Cert:\CurrentUser\My'
Допустим, вы тоже хотите установить закрытый ключ этого сертификата.
$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $pfxPassword -CertStoreLocation 'Cert:\CurrentUser\My' -FilePath $env:USERPROFILE\Desktop\certificate.pfx
Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, «Cert:\LocalMachine«), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.
В приведенном выше примере вы также используете параметр -Exportable с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию (без указания этого параметра) экспорт не используется. Экспортируемые закрытые ключи – отельный аспект информационной безопасности, заслуживающий отдельного внимания.
Удаление сертификатов с помощью PowerShell
При удалении сертификатов помните, что понятие «Корзина Windows» в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.
Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.
$certificate = Get-Item (Get-ChildItem -Path 'Cert:\CurrentUser\My\' | Where-Object {$_.Subject -eq $_.Issuer}).PSPath
Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.
$certificate.Thumbprint
$certificate.SerialNumber
$certificate.Subject
Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.
Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью! Передав объект $certificate через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.
$certificate | Remove-Item
Резюме
На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).
SSL certificates in Windows Server 2019 are typically stored in the Certificate Store, which is a database on the local machine that holds all the SSL certificates. Here are the steps to locate the SSL certificates in Windows Server 2019:
1. Open the «Run» dialogue box by pressing the «Windows Key + R» and type «mmc» to open the Microsoft Management Console.
2. In the Microsoft Management Console, go to «File» and select «Add/Remove Snap-in.«
3. In the «Add or Remove Snap-ins» window, select «Certificates» and click on the «Add» button.
4. In the «Certificates snap-in» window, select «Computer account» and click on the «Next» button.
5. In the «Select Computer» window, choose the «Local computer: (the computer this console is running on)» option and click on the «Finish» button.
6. Back in the «Add or Remove Snap-ins» window, click on the «OK» button.
7. You will now see the «Certificates» category in the console tree. Expand the tree by clicking on the arrow icon next to it.
8. To access SSL certificates, expand the following folders in order:
– Personal
– Certificates
9. Under the «Certificates» folder, you will find all the SSL certificates installed on your Windows Server 2019.
Please note that the location of SSL certificates may vary depending on the type of usage and configuration. It is recommended to consult your system administrator or follow the specific instructions provided by the Certificate Authority (CA) or the service where the SSL certificate was acquired from.
Video Tutorial:How do I get an SSL certificate from Windows Server?
How do I view installed certificates in Windows Server?
Viewing installed certificates in Windows Server is essential for managing security and troubleshooting issues. Here is a step-by-step guide to help you accomplish this:
1. Launch the Microsoft Management Console (MMC):
– Press the Windows key + R to open the Run dialog box.
– Type «mmc» and hit Enter. The MMC window will open.
2. Add the Certificates Snap-in:
– In the MMC window, navigate to File > Add/Remove Snap-in or click on the «File» menu and select «Add/Remove Snap-in«.
– In the Add or Remove Snap-ins dialog box, select «Certificates» from the Available snap-ins list and click on the «Add» button.
– Choose the «Computer account» option and click «Next«.
– Select the «Local computer» option and click on «Finish«.
– Click «OK» to close the Add or Remove Snap-ins dialog box.
3. View the Installed Certificates:
– In the MMC window, expand «Certificates (Local Computer)» > «Personal» > «Certificates«.
– Here, you’ll find a list of installed certificates on your Windows Server.
– You can sort the list by different columns, such as «Issued To» or «Expiration Date«, to find specific certificates.
– Double-click on a certificate to view its details, including the issuer, subject, and validity period.
– Use the tabs at the top of the certificate properties window to access additional information, such as the certification path and extensions.
By following these steps, you can easily view the installed certificates on your Windows Server using the Microsoft Management Console. This functionality allows you to monitor and manage the security of your server environment effectively.
How do I remove old SSL certificate from Windows server?
To remove an old SSL certificate from a Windows server, follow these steps:
Step 1: Open the Microsoft Management Console (MMC)
– Press the Windows key + R to open the Run dialog box
– Type «mmc» and press Enter
Step 2: Add the Certificates Snap-in
– In the MMC, go to File -> Add/Remove Snap-in
– Select «Certificates» and click on the «Add» button
– Choose «Computer account» and click «Next«
– Select «Local computer» and click «Finish«
– Click «OK» to close the Add/Remove Snap-in window
Step 3: Navigate to the Certificate Store
– In the MMC, expand the «Certificates (Local Computer)» node
– Expand the «Personal» folder
– Click on the «Certificates» folder
Step 4: Find and Remove the Old SSL Certificate
– Locate the old SSL certificate you want to remove
– Right-click on the certificate and choose «Delete«
– Confirm the deletion when prompted
Step 5: Update the Certificate Binding (if necessary)
– If the old SSL certificate was being used for a specific service (e.g., IIS), you need to update the certificate binding to use a new certificate. This step may vary depending on the server application you are using.
Step 6: Restart the Server (if necessary)
– In some cases, a server restart may be required for the changes to take effect. Make sure to plan and communicate any potential downtime in advance.
Please note that the steps provided here are general guidelines, and you should always refer to the official documentation or consult an expert for specific instructions related to your server environment.
How do I find certificates on Windows Server?
To find certificates on Windows Server, you can follow these steps:
1. Open the Microsoft Management Console (MMC) by pressing the Windows key + R, then typing «mmc» and hitting enter.
2. In the MMC, go to File and select Add/Remove Snap-in.
3. In the Add or Remove Snap-ins window, select Certificates and click on the Add button.
4. In the Certificates snap-in window, choose the account you want to manage certificates for, i.e., Current User or Computer Account.
5. In the next screen, select Local Computer or User, depending on your requirements, and click Finish.
6. Click OK to close the Add or Remove Snap-ins window.
7. In the MMC, expand Certificates to view the available certificate stores, such as Personal, Trusted Root Certification Authorities, etc.
8. Expand the appropriate certificate store to view the certificates within it.
9. You can now manage certificates, such as importing, exporting, or deleting them, by right-clicking on the specific certificate.
Please note that the exact steps may vary depending on the specific version of Windows Server you are using, but these general steps should help you locate and manage certificates on most Windows Server editions. It’s always recommended to consult relevant documentation or online resources for your specific version if you encounter any difficulties.
How do I remove SSL certificate from Windows Server 2019?
To remove an SSL certificate from Windows Server 2019, you can follow the steps provided below:
1. Open the Microsoft Management Console (MMC) by pressing the Windows key + R, typing «mmc» in the Run dialog box, and hitting Enter.
2. In the MMC window, click on «File» in the top menu and select «Add/Remove Snap-in.«
3. In the Add or Remove Snap-ins dialog box, select «Certificates» and click on the «Add» button.
4. Choose the «Computer Account» option and click «Next.«
5. Select «Local Computer» and click «Finish» and then «OK» to close the dialog box.
6. In the MMC window, expand the «Certificates (Local Computer)» tree and navigate to the «Personal» > «Certificates» folder.
7. Locate the SSL certificate that you want to remove, right-click on it, and select «Delete.«
8. Confirm the deletion when prompted.
By following these steps, you can effectively remove an SSL certificate from Windows Server 2019.
How do I disable SSL 2.0 and 3.0 on Windows server 2019?
To disable SSL 2.0 and 3.0 on a Windows Server 2019, you can follow these steps:
1. Open the Windows Server Manager by clicking on the Start menu, searching for «Server Manager,» and selecting the corresponding result.
2. In the Server Manager window, navigate to the left-hand pane and select «Local Server.«
3. On the right-hand side, you will see the properties of the local server. Look for the section labeled «Properties» and click on the link labeled «On» next to «IE Enhanced Security Configuration.«
4. In the Internet Explorer Enhanced Security Configuration window, ensure that the settings are turned off for both administrators and users (unless you have specific reasons to enable them).
5. Next, open the Start menu, search for «Internet Options,» and select the corresponding result.
6. In the Internet Properties window, navigate to the «Advanced» tab.
7. In the settings list, locate the security section. Look for the options labeled «Use SSL 2.0» and «Use SSL 3.0.» Uncheck both options.
8. Click on the «Apply» button to save the changes, and then click «OK» to close the Internet Properties window.
9. Finally, restart your server to apply the changes.
Following these steps will disable SSL 2.0 and 3.0 on your Windows Server 2019. It is important to disable these outdated SSL versions to ensure better security and compatibility with modern web standards.
SSL certificates are typically stored in specific locations depending on the type of server or system being used. Here are the common locations where SSL certificates are stored:
1. Web Servers: In the case of web servers like Apache or Nginx, SSL certificates are usually stored in a designated directory on the server’s file system. The specific location can vary based on the server configuration, but it is commonly found in directories such as «/etc/ssl» or «/etc/apache2/ssl«.
2. Certificate Authorities (CAs): Certificate Authorities store SSL certificates in their certificate stores or databases. These certificates are used to issue and manage SSL certificates for the clients and servers that rely on their services.
3. Operating Systems: Some operating systems have their own certificate stores where SSL certificates can be stored. For instance, on Windows systems, SSL certificates can be managed through the Certificate Manager tool, which stores certificates in various locations such as the «trusted root certification authorities» or «personal» certificate stores.
4. Key and Certificate Stores: In some cases, SSL certificates are stored in specific key and certificate stores. These stores provide a secure and centralized location for storing keys, certificates, and associated metadata. For example, on Linux systems, OpenSSL can use a key and certificate store called «pkcs12» or «pfx» file format, which is password-protected and can contain both the private key and the corresponding SSL certificate.
5. Cloud Services: In cloud environments or when using Content Delivery Networks (CDNs), SSL certificates are often managed through their respective platforms. Popular cloud service providers like AWS, Azure, or Google Cloud Platform offer certificate management services or integrations that store and manage SSL certificates within their infrastructure.
It’s important to note that the specific storage location and mechanism may vary depending on the server, system, or application being used. The above list gives a general overview of common storage locations for SSL certificates in various contexts.
Практическая работа с центром сертификации. Настройка и управление
Практическая работа с центром сертификации
Настройка публичного хранилища в MS Windows Server 2012 R2
Для того, чтобы создать и использовать публичное хранилище сертификатов, необходимо:
Создать папку Public в каталоге C:\Inetpub\wwwroot\ на сервере сертификации:
Запустить Диспетчер служб IIS. В левой части окна
Диспетчера служб IIS раскрыть дерево подключений /сайты/Default Web Site/Public. При выделении курсором
ветки Public в правой стороне откроется Начальная страница Public, в которой нужно дважды
нажать на Просмотр каталога:
В крайне правом окне нажать на Включить:
Скопировать из каталога C:\Windows\System32\Certsrv\CertEnroll корневого и
подчиненного центров сертификации списки отозванных сертификатов и
сертификаты в каталог C:\Inetpub\wwwroot\Public.
Проверить доступ к этим файлам по адресу https://«имя сервера»/public и скачать любой файл.
Управление шаблонами сертификатов в MS Windows Server 2012 R2
В рамках этого раздела рассматриваются создание нового шаблона
пользователя с возможностями подписи документов и создание сертификата
пользователя по созданному шаблону через веб-сайт центра сертификации.
Создание шаблона сертификата
Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки
в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации
переместиться на Шаблоны сертификатов, вызвать
контекстное меню, нажать на Управление. Выделить
шаблон Пользователь, вызвать контекстное меню, выбрать
в нем Скопировать шаблон:
В окне Совместимость оставить все по умолчанию. В окне
Общие задать отображаемое имя шаблона – Сертификат пользователя УЦ
. Снять флажок Опубликовать сертификат в Active Directory:
Перейти в закладку Обработка запроса. В поле Цель
выбрать Подпись.
На запрос об изменении назначения сертификата нажать Да:
Перейти в закладку Шифрование, выбрать:
В запросах могут использоваться любые поставщики, доступные на компьютере пользователя
:
В закладке Имя субъекта установить флажок Предоставляется в запросе:
Перейти на вкладку Безопасность и для группы Прошедшие проверку
требуется установить флажок Заявка в колонке Разрешить:
Перейти на вкладку Расширения и изменить настройки
Политики применения. Для этого необходимо нажать на кнопку Изменить:
В открывшемся диалоговом окне необходимо выбрать политику Подписывание документа,
удалить Шифрующая файловая система (EFS) и нажать на кнопку
ОК. В том случае, если данный пункт отсутствует,
необходимо нажать на кнопку Добавить:
Создание сертификата пользователя по созданному шаблону
В Центре сертификации необходимо вызвать контекстное
меню пункта Шаблоны сертификатов, в котором необходимо
нажать на кнопку Создать – Выдаваемый шаблон сертификата:
В открывшемся диалоговом окне необходимо выбрать ранее созданный шаблон
и нажать на кнопку ОК:
Проверяем шаблон, для этого в браузере открываем страницу центра сертификации:
Нажимаем на строку Запроса сертификата. В следующем
окне нажать на Расширенный запрос сертификата:
Нажать на строку Создать и выдать запрос к этому ЦС:
В окне запроса сертификата выбираем шаблон сертификата Сертификат пользователя УЦ. Обязательно должны быть
заполнены поля Имя и Страна, регион
(ввести значение RU). Нажать кнопку Выдать:
В случае правильного заполнения полей шаблона будет сформирован
сертификат. Нажать Установить этот сертификат:
Заходим в центр сертификации в ветку Выданные сертификаты. Последний
сертификат будет тот, который был сформирован через веб-сайт:
Установка и настройка OCSP-службы подчиненного центра сертификации на базе MS Windows Server 2012 R2
Для установки и настройки OCSP-службы необходимо:
- установить OCSP-службу;
- настроить шаблон для выпуска сертификата OCSP-службы;
- настроить центр сертификации для работы с OCSP-службой;
- настроить службу.
Установка сетевого ответчика
Для установки доменной службы запустите Диспетчер серверов.
В окне Панель мониторинга нажать Добавить роли и
компоненты. В окне Мастера добавления ролей и компонентов оставить по
умолчанию тип установки Установка ролей или компонентов. В окне выбора сервера
нажать Далее , оставив все по умолчанию. В окне выбора
ролей сервера найти Службу сертификатов Active Directory, раскрыть
строку дважды кликнув мышкой по строке, поставить флажок в строке Сетевой ответчик:
В появившемся окне нажать кнопку Добавить компоненты:
В окне выбора компонентов нажать Далее:
Нажмите Установить. После установки необходимо
настроить службу, для этого нажмите на строку
Настроить службу сертификатов Active Directory на конечном сервер
:
В окне учетные данные нажмите кнопку Далее. Поставить
флажок в строке Сетевой ответчик и нажать Далее:
Нажать кнопку Настроить:
После настройки закрыть все окна.
Настройка шаблона сетевого ответчика
Запустить Центр сертификации. Для этого нажать кнопку Пуск, в
открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации.
В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать
на Управление. Выделить шаблон Подписывание отклика OSPC, вызвать контекстное меню,
выбрать в нем Свойства. Перейти в закладку Безопасность.
Нажать кнопку Добавить. В окне выбора нажать кнопку Дополнительно:
Нажать кнопку Типы объектов. Поставить флажок в строке
Компьютеры и нажать ОК:
В окне выбора нажать кнопку Поиск. После окончания
поиска в окне результатов найти ваш сервер и нажать ОК:
В окне Группы или пользователи выбрать ваш сервер и
для него в окне Разрешения поставить флажок в строке Заявка:
В Центре сертификации необходимо вызвать контекстное
меню пункта Шаблоны сертификатов, в котором необходимо
нажать на кнопку Создать – Выдаваемый шаблон сертификата. В открывшемся
диалоговом окне необходимо выбрать ранее настроенный шаблон и нажать на
кнопку ОК.
Настройка центра сертификации для поддержки службы сетевых ответчиков
Открыть Центр сертификации. Через контекстное меню откройте Свойства.
Перейти в закладку Расширения. В списке расширений
выбрать Доступ к сведениям о центрах сертификации (AIA):
В строке Размещение написать путь https://«ваш сервер»/ocsp/ocsp.srf.
Поставить флажок в строке Включать в расширение протокола OCSP:
Перезапустить Центр сертификации.
Настройка сетевого ответчика
Запустить Сетевой ответчик:
В окне управления выделить Конфигурация отзыва,
вызвать контекстное меню, выбрать Добавить конфигурацию отзыва:
Введите имя конфигурации отзыва, например, OCSP:
В окне выбора расположения сертификата ЦС должен быть выбран пункт
Выберите сертификат для существующего ЦС предприятия:
Нажать кнопку Обзор:
Выбрать корневой сертификат ЦС и нажмите ОК:
После выбора сертификата ЦС в окне выбора появиться ссылка на сертификат.
Нажмите Далее:
Если OCSP-служба настроена правильно, то в конфигурации сетевых
ответчиков служба будет в рабочем состоянии.