Центр сертификации windows server 2008 r2

Обязательные условия для наличия возможности работы с ЭЦП в системе ELMA:

• наличие установленного веб-браузера Internet Explorer;
• наличие установленного приложения CAPICOM;
• наличие активированного приложения ECM+;
• в веб-приложении в разделе Администрирование – Система – Настройки системы в блоке Настройки ЭЦП в качестве криптопровайдера должен быть выбран Внутренний ;
• в веб-приложении в разделе Администрирование – Документооборот – Настройка шаблонов ЭЦП должны быть заполнены и сохранены все шаблоны подписи;
• пользователь должен иметь права на подписание документов. Права назначаются администратором системы в разделе Администрирование – Документооборот — Права доступа к модулю «Документооборот».

Основные требования к системе:

1. Работа с сертификатами обязательно должна осуществляться в веб-браузере Internet Explorer.
2. Для обеспечения возможности настройки шаблона сертификата, добавления ролей, а также для выполнения дополнительных настроек системы необходимо членство в группе Администраторы домена, Администраторы предприятия или в эквивалентной группе.
3. Для обеспечения возможности работы с ЭЦП в системе ELMA всем пользователям Windows необходимо состоять в одном домене.

Создание и настройка центра сертификации состоит из нескольких этапов.

Добавление ролей Windows Server

Добавление ролей состоит из нескольких шагов.

1. Запуск Диспетчера служб . Для этого необходимо нажать на кнопку Пуск – Все программы – Администрирование – Диспетчер сервера.

2. В дереве консоли (в левой части окна) необходимо вызвать контекстное меню пункта Роли и нажать на пункт меню Добавить роли (рис. 1).

Рис. 1. Дерево консоли. Кнопка контекстного меню «Добавить роли»

3. В открывшемся диалоговом окне Мастер добавления ролей (рис. 2), необходимо нажать на кнопку Далее .

Рис. 2. Диалоговое окно «Мастер добавления ролей»

4. В окне Выбор ролей сервера (рис. 3) необходимо установить флажок Службы сертификации Active Directory . После этого в дереве консоли (в левой части окна Диспетчер сервера ) будут отображены дополнительные пункты меню. Для продолжения работы необходимо нажать на кнопку Далее .

Рис. 3. Диалоговое окно «Выбор ролей сервера»

5. В окне Знакомство со службами сертификации Active Directory (рис. 4) необходимо нажать на кнопку Далее .

Рис. 4. Диалоговое окно «Знакомство со службами сертификации Active Directory»

6. В окне Выбор служб ролей (рис. 5) необходимо установить флажок Служба регистрации в центре сертификации через Интернет . При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

Рис. 5. Диалоговое окно «Выбор служб ролей»

При нажатии на флажок Служба регистрации в центре сертификации через Интернет будет открыто диалоговое окно (рис. 6), в котором необходимо нажать на кнопку Добавить требуемые службы роли . После этого в окне Выбор служб ролей необходимо нажать на кнопку Далее .

Рис. 6. Диалоговое окно добавления требуемых служб ролей

7. В окне Задание типа установки (рис. 7) необходимо установить переключатель в положение Предприятие и нажать на кнопку Далее .

Рис. 7. Диалоговое окно «Задание типа установки»

8. В окне Задание типа ЦС (рис. необходимо установить переключатель в положение Корневой ЦС и нажать на кнопку Далее .

Рис. 8. Диалоговое окно «Задание типа ЦС»

9. В окне Установка закрытого ключа (рис. 9) необходимо установить переключатель в положение Создать новый закрытый ключ и нажать на кнопку Далее .

Рис. 9. Диалоговое окно «Установка закрытого ключа»

10. В окне Настройка шифрования для ЦС (рис. 10) необходимо нажать на кнопку Далее .

Рис. 10. Диалоговое окно «Настройка шифрования для ЦС»

11. В окне Задание имени ЦС (рис. 11) необходимо ввести требуемое имя и нажать на кнопку Далее .

Рис. 11. Диалоговое окно «Задание имени ЦС»

12. В окне Установить срок действия (рис. 12) необходимо выбрать требуемый срок и нажать на кнопку Далее .

Рис. 12. Диалоговое окно «Установить срок действия»

13. В окне Настройка базы данных сертификатов (рис. 13) необходимо выбрать требуемое расположение хранения сертификатов и нажать на кнопку Далее .

Рис. 13. Диалоговое окно «Настройка базы данных сертификатов»

14. В окне Веб-сервер (IIS) (рис. 14) необходимо нажать на кнопку Далее .

Рис. 14. Диалоговое окно «Веб-сервер (IIS)»

15. В окне Выбор служб ролей (рис. 15) необходимо нажать на кнопку Далее .

Рис. 15. Диалоговое окно «Выбор служб ролей»

16. В окне Подтверждение выбранных элементов для установки (рис. 16) необходимо проверить выбранные для установки элементы и нажать на кнопку Установить . При необходимости данные параметры могут быть изменены путем перехода к требуемой настройке с помощью кнопки Назад .

Рис. 16. Диалоговое окно «Подтверждение выбранных элементов для установки»

17. Ход выполнения установки будет отображен в соответствующем окне (рис. 17).

Рис. 17. Диалоговое окно «Ход выполнения установки»

После завершения установки необходимо нажать на кнопку Закрыть (рис. 18).

Рис. 18. Диалоговое окно «Результаты установки»

18. В дереве консоли (в левой части экрана) будет отображен пункт Службы сертификации Active Directory (рис. 19) с установленным центром сертификации (ЦС).

Рис. 19. Дерево консоли

19. Далее необходимо подключить расширения в настройках созданного ЦС. Для этого необходимо вызвать контекстное меню данного ЦС и выбрать пункт Свойства . Далее необходимо перейти на вкладку Расширения , в списке отзыва сертификата выбрать пункт http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl и установить ниже него все доступные флажки (рис. 20).

Рис. 20. Свойства ЦС. Вкладка «Расширения»

Далее в списке отзыва сертификата необходимо выбрать пункт file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl и установить ниже него флажки № 3 и 4 (рис. 21).

Рис. 21. Свойства ЦС. Вкладка «Расширения»

Для сохранения изменений необходимо нажать на кнопку Применить . В открывшемся диалоговом окне (рис. 22) необходимо нажать на кнопку ДА .

Рис. 22. Диалоговое окно «Центр сертификации»

После выполнения перезапуска службы сертификации необходимо нажать на кнопку ОК . Далее необходимо перезагрузить компьютер для применения внесенных изменений.

Создание шаблона сертификата

Создание шаблона сертификата состоит из нескольких шагов.

1. В  Диспетчере сервера необходимо перейти в раздел Шаблоны сертификатов и выполнить команду Скопировать шаблон (рис. 23) на существующем шаблоне (например, скопировать шаблон Пользователь) .

Рис. 23. Диспетчер сервера. Раздел «Шаблоны сертификатов». Пункт контекстного меню «Скопировать шаблон»

2. В открывшемся диалоговом окне (рис. 24) обязательно необходимо установить переключатель в положение Windows Server 2003 Enterprise. Для подтверждения выбора необходимо нажать на кнопку ОК .

Рис. 24. Диалоговое окно копирования шаблона

3. В открывшихся свойствах шаблона (рис. 25) необходимо на вкладке Общие указать имя шаблона и снять флажок Опубликовать сертификат в  Active Directory .

Рис. 25. Свойства шаблона. Вкладка «Общие»

4. Необходимо перейти на вкладку Обработка запроса (рис. 26) и в поле Цель выбрать пункт Подпись .

Рис. 26. Свойства шаблона. Вкладка «Обработка запроса»

5. Необходимо перейти на вкладку Имя субъекта (рис. 27) и сверить ее заполнение с приведенным ниже изображением.

Рис. 27. Свойства шаблона. Вкладка «Имя субъекта»

6. Необходимо перейти на вкладку Безопасность (рис. 28) и для группы Прошедшие проверку требуется установить флажок Заявка в колонке «Разрешить».

Рис. 28. Свойства шаблона. Вкладка «Безопасность»

7. Необходимо перейти на вкладку Расширения (рис. 29) и изменить настройки Политики применения . Для этого необходимо нажать на кнопку Изменить .

Рис. 29. Свойства шаблона. Вкладка «Расширения»

8. В открывшемся диалоговом окне (рис. 30) необходимо выбрать политику Подписывание документа и нажать на кнопку ОК . В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить .

Рис. 30. Диалоговое окно «Изменение расширения политик применения»

9. В открывшемся диалоговом окне (рис. 31) необходимо выбрать Подписывание документа и нажать на кнопку ОК .

Рис. 31. Диалоговое окно «Добавление политики применения»

10. После выполнения всех требуемых настроек необходимо нажать на кнопку Применить – ОК (в окне создания шаблона).

Далее следует добавить шаблон в настроенный ранее ЦС. Для этого:

1. В  Диспетчере сервера необходимо вызвать контекстное меню пункта Шаблоны сертификатов , в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата (рис. 32).

Рис. 32. Диспетчер сервера. Пункт меню «Шаблоны». Кнопка контекстного меню «Создать – Выдаваемый шаблон сертификата»

2. В открывшемся диалоговом окне (рис. 33) необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК .

Рис. 33. Диалоговое окно «Включение шаблонов сертификатов»

Установка и настройка шаблона сертификатов закончена.

Далее необходимо осуществить проверку состояния службы Служба состояний ASP. NET (рис. 34). Данная служба не должна быть остановлена. В том случае, если служба остановлена, необходимо нажать на кнопку Пуск .

Рис. 34. Диспетчер сервера. Служба состояний ASP.NET

Проверка работы ЦС

Для первоначальной проверки работоспособности ЦС необходимо запустить оснастку Центр сертификации ( Пуск – Администрирование – Центр Сертификации ). В том случае, если все настроено верно, будет отображено следующее окно (рис. 35).

Рис. 35. Центр сертификации

Получение корневого сертификата

Для этого необходимо запустить веб-браузер Internet Explorer, в адресной строке которого следует указать адрес http://имя_сервера/certsrv , где имя_сервера – имя сервера ЦС. В случае попытки подключения на том же компьютере, где установлен ЦС, может быть указан адрес http://localhost/certsrv. Будет открыта главная страница (рис. 36) центра сертификации.

Рис. 36. Главная страница центра сертификации

Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных корневых центров сертификации. Если в вашей сети несколько ЦС, следует загрузить и установить цепочку сертификатов. Для этого следует выбрать: Загрузка сертификата ЦС, цепочки сертификатов или CRL , затем Загрузка сертификата ЦС и сохранить сертификат в любую папку на данном компьютере.

Теперь перейдем к установке. Для этого необходимо в контекстном меню сертификата нажать на кнопку Установить сертификат (рис. 37) . Будет открыт мастер импорта.

Рис. 37. Контекстного меню сертификата. Кнопка «Установить сертификат»

В открывшемся диалоговом окне (рис. 38) необходимо нажать на кнопку Далее .

Рис. 38. Диалоговое окно «Мастер импорта сертификатов»

В открывшемся диалоговом окне (рис. 39) необходимо установить переключатель Поместить все сертификаты в следующее хранилище и нажимаем на кнопку Обзор… .

Рис. 39. Диалоговое окно ручного выбора хранилища сертификатов

В открывшемся диалоговом окне (рис. 40) необходимо выбрать пункт Доверенные корневые центры сертификации и нажать на кнопку ОК.

Рис. 40. Диалоговое окно выбора хранилища сертификатов

В окне Мастер импорта сертификатов (рис. 41) нажимаем на кнопку Далее . В следующем окне нажимаем на кнопку Готово .

Рис. 41. Диалоговое окно «Завершение мастера импорта сертификатов»

Будет открыто диалоговое окно (рис. 42) с уведомлением о результате импорта. Необходимо нажать на кнопку ОК .

Рис. 42. Диалоговое окно с уведомлением о результате импорта

Теперь данный ПК будет доверять всем сертификатам, выданным данным ЦС.

Получение клиентского сертификата

Для получения клиентского сертификата необходимо открыть сайт ЦС в браузере в Internet Explorer и выбрать Запрос сертификата – расширенный запрос сертификата – Создать и выдать запрос к этому ЦС .

При попытке создать запрос сертификата может быть отображено следующее предупреждение (рис. 43), в котором необходимо нажать на кнопку ОК . В данном случае необходимо добавить текущий узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны.

Рис. 43. Уведомление о необходимости добавления текущего узла в зону «Надежные узлы»

Для этого необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 44).

Рис. 44. Настройки веб-браузера Internet Explorer. Кнопка «Свойства обозревателя»

В открывшемся диалоговом окне (рис. 45) необходимо перейти на вкладку Безопасность и для зоны Надежные узлы установить переключатель уровня безопасности в положение Ниже среднего .

Рис. 45. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность»

Далее требуется добавить текущий сайт к надежным узлам. Для этого необходимо на данной вкладке ( Безопасность ) нажать на кнопку Узлы и в открывшемся диалоговом окне (рис. 46) нажать на кнопку Добавить , а также снять флажок Для всех узлов этой зоны требуется проверка серверов ( https:). Для сохранения изменений необходимо нажать на кнопку Закрыть .

Рис. 46. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность». Диалоговое окно «Надежные узлы»

Также необходимо разрешить загрузку неподписанных ActiveX . Для этого необходимо на вкладке Безопасность нажать на кнопку Другой… и в окне Параметры безопасности (рис. 47) в группе Элементы ActiveX и модули подключения установить все переключатели в положение Включить . Для сохранения внесенных изменений необходимо нажать на кнопку ОК .

Рис. 47. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность». Диалоговое окно «Параметры безопасности»

Далее будет отображено предупреждение (рис. 48), в котором необходимо нажать на кнопку Да .

Рис. 48. Диалоговое окно с предупреждением о изменении настроек зоны

Далее необходимо нажать на кнопку Применить – ОК .

Далее необходимо перейти в веб-браузер Internet Explorer и заполнить форму запроса (рис. 49).

В поле Шаблон сертификата необходимо выбрать пункт Только подпись пользователя и нажать на кнопку Выдать .

Рис. 49. Веб- браузер Internet Explorer. Форма расширенного запроса сертификата

Будет отображено сообщение о выдаче сертификата (рис. 50), в котором необходимо нажать на кнопку Установить этот сертификат .

Рис. 50. Веб- браузер Internet Explorer. Сообщение о выдаче сертификата

Будет отображено сообщение об установке сертификата (рис. 51).

Рис. 51. Веб- браузер Internet Explorer. Сообщение об установке сертификата

Следует отметить, что по истечении срока действия клиентского сертификата его необходимо удалить, а затем получить и установить заново.

Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов. Все успешно выданные сертификаты отображаются в  Центре сертификации в разделе Выданные сертификаты (рис. 52).

Рис. 52. Центр сертификации. Раздел «Выданные сертификаты»

При необходимости все выданные сертификаты могут быть отозваны.

Для просмотра всех полученных личных сертификатов в веб-браузере Internet Explorer необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 53).

Рис. 53. Настройки веб-браузера Internet Explorer. Кнопка «Свойства обозревателя»

В открывшемся диалоговом окне (рис. 54) необходимо перейти на вкладку Содержание и в блоке настроек Сертификаты нажать на кнопку Сертификаты .

Рис. 54. Диалоговое окно «Свойства обозревателя». Вкладка «Содержание»

В открывшемся диалоговом окне (рис. 55) на вкладке Личные будут отображены все личные сертификаты, полученные текущим пользователем.

Рис. 55. Диалоговое окно «Свойства обозревателя». Вкладка «Содержание». Диалоговое окно «Сертификаты»

После выполнения всех описанных выше настроек необходимо загрузить с официального сайта Microsoft свободно распространяемый набор средств разработки CAPICOM. Данное ПО будет необходимо для осуществления подписания документа в веб-приложении ELMA с использованием ЭЦП.

Установка корневого центра сертификации Microsoft CA на MS Windows Server 2008 R2

Назначение корпоративного центра сертификации

Шифрование, сертификаты, цифровые подписи плотно вошли в повседневную
деятельность организаций. Ведущие игроки на рынке программного активно
продвигают идеологию «безопасного интернета», требуя поддержки цифровых
сертификатов.

Однако текущее положение в этой области не позволяет решать вопросы
безопасного интернета без существенных финансовых затрат на
приобретение SSL- сертификатов. При этом
бесплатные сертификаты сервиса
Let’s Encrypt покрывают лишь узкий спектр корпоративных потребностей в
сертификатах. Например, не покрываются сертификаты для шифрования
документов, почты, цифровых подписей, аутентификация клиентов. Для
использования публичных сертификатов, выданных коммерческими CA вам
необходимо иметь публичный домен. Получить сертификат для веб-сервера
на имя domain.local от Let’s Encrypt технически невозможно. Именно
поэтому актуальность частных корпоративных центров сертификации
остаётся на очень высоком уровне.

Двухуровневая схема развертывания иерархии центра сертификации (ЦС) для
небольших и средних предприятий является наиболее оптимальной,
поскольку она позволяет обеспечить должный уровень безопасности и
приемлемый уровень гибкости разделения ЦС на определённые функции.

Здесь корневой ЦС
выпускает сертификаты для подчинённых ЦС, а уже
подчинённый ЦС
выдаёт сертификаты конечным потребителям. Это позволяет
изолировать корневой ЦС от сети, что автоматически сводит к нулю шанс
компрометации такого ЦС. Основное время корневой ЦС жизни может и
должен проводить в выключенном состоянии. Включать его нужно только для
обновления собственного сертификата, подчинённого ЦС или для публикации
нового списка отозванных сертификатов (CLR). Другим достоинством
двухуровневой иерархии является улучшенная гибкость в разбиении
подчинённых ЦС на классы, например, для разных групп потребителей или
отдельно для рабочих станций, отдельно для пользователей.

Также можно выделить один ЦС для выдачи сертификатов с повышенными требованиями к
сертификатам (например, сертификаты для аутентификации и цифровой
подписи) и ЦС общего назначения.

Типовая схема двухуровневой схемы центра сертификации (ЦС):

Установка корневого центра сертификации Microsoft CA на MS Windows Server 2008 R2

Для того чтобы установить корневой центр сертификации, необходимо:

1. Создать файл политик центра сертификации.
2. Установить автономный корневой Центр сертификации (со службой
   сертификации и службой регистрации в центре сертификации через
   Интернет) MS Windows Server 2008 R2. Настроить службу на
   автоматический выпуск сертификатов.
3. Настроить службу на автоматический выпуск сертификатов.
4. Включить аудит работы службы, сделать настройки безопасности.
5. Добавить ссылки на точку распространения отозванных сертификатов и
   корневого сертификата центра сертификации, которые будут добавляться в
   каждый выпущенный сертификат.

Создание файла политик CAPolicy.inf корневого ЦС

Считаем, что для самоподписанного сертификата корневого Центра
сертификации нет необходимости указания точки распределения списка
отозванных сертификатов (расширение CDP). Для этого в файле политик
значение CRL Distribution Point (точка распределения списка отозванных
сертификатов) сделать пустым.

Содержимое файла CAPolicy.inf будет следующим:

[Version] Signature=”$Windows NT$”

[CRLDistributionPoint]

URL=» «

Установка службы сертификации из состава MS Windows

Установка службы сертификации производится с использованием Мастера
компонентов Windows в следующей последовательности:

1. Открыть окно Панели управления, выполнив команды Пуск, Панель управления.
2. В окне Панели управления открыть пункт Администрирование и выбрать
   Диспетчер сервера.
3. Выбрать пункт Роли. В правой части окна нажать Добавить роли и выделить пункт
   Службы сертификации Active Directory.
   В следующем окне мастера выбрать пункты Центр Сертификации —и Служба регистрации
   в центре сертификации через Интернет.



4. В появившемся окне нажать кнопкуДобавить требуемые службы роли:





5. Далее следует выбрать Автономный ЦС, затем – Корневой ЦС.
6. При создании нового ключа ЦС выбрать опцию Создать новый закрытый ключ.
7. Далее следует выбрать криптопровайдер RSA#Microsoft Software Key
   Storage Provider и установить опцию Разрешить взаимодействие с администратором,
   если центр сертификации обращается к закрытому ключу.



8. Далее следует ввести сведения о ЦС. Имя ЦС (в примере это MS-Root-CA)
   может быть введено как кириллицей, так и латиницей. При этом если имя
   вводится кириллицей, то его длина не должна превышать 50 символов. Если
   Имя вводится латиницей, то его длина не должна превышать 250 символов.
   Имя ЦС может быть любым.
9. Ввести сведения о Вашей организации по следующему
   примеру:

OU= название отдела

O=название организации

L=город местонахождения

C=RU

На сообщение о расширенной кодировке имен выбираем Да.

10. Далее нужно задать срок действия сертификата ЦС 15 лет и затем следовать указаниям Мастера
    установки службы, выбирая предлагаемые значения по умолчанию.

Настройка корневого Центра сертификации

Запускаем центр сертификации: Пуск\Все программы\Администрирование\Центр сертификации.

Просмотреть настройки Центра сертификации — вызвать контекстное меню и выбрать Свойства.

В окне можно просмотреть выпущенный самоподписанный сертификат корневого Центра сертификации
и проверить, какая информация легла в сертификат из файла политик CAPolicy.inf и при установке Центра
сертификации.

Настроить Модуль политики на выдачу сертификатов в
автоматическом режиме. Установить переключатель в строку Следовать параметрам…

Перейти в закладку Аудит. Включить протоколирование
событий безопасности. Активировать события безопасности, кроме Сохранение и
восстановление архивированных ключей и Запуск и остановка службы сертификатов Active Directory

Перейди в закладку Безопасность. Разрешите Администратору
запрашивать сертификаты:

Настройка публикации списка отозванных сертификатов

Перейти в закладку Расширения. В меню Выберите расширение
выбрать Точка распространения списка отзыва (CDP).
Удалить точки распространения, кроме C:\Windows.Добавить путь,
например, https://servername /Public/Certname.crl, где
servername – сервер, на котором будет настроено публичное
хранилище, а Certname – название сертификата.

Включить настройки Включать в CDP-расширение выданных сертификатов и
Включать в расширения IDP выданных CRL. Перезапустить центр сертификации.

В дополнение к CDP, необходимо сконфигурировать дополнение, включающее
информацию о локализации сертификата ЦС AIA. Для этого в поле Выберите расширение
перейти к Authority Information Access (AIA). Удалить доступы к
сведениям о центрах сертификации, кроме C:\Windows…. Добавить путь,
например, https://servername/Public/Certname.ce, где servername –
сервер, на котором будет настроено публичное хранилище, а Certname – название сертификата.

Включить настройки Включать в AIA-расширение выданных сертификатов.
Перезапустить Центр сертификации.

Поскольку значения дополнений CDP и AIA изменены, то для учета
изменений необходимо выпустить и опубликовать CRL. Для публикации CRL
необходимо в дереве консоли Центра сертификации нажать правой кнопкой
мыши на узел Отозванные сертификаты. В появившемся меню
выбрать Все задачи — Публикация

Оставить по умолчанию тип публикуемого CRL – Новый базовый CRL.
Нажать кнопку ОК.

Для просмотра и изменения параметров публикации CRL в окне контекстного
меню выберем Свойства.

Посмотреть выпущенные списки отозванных сертификатов можно в закладке
Просмотр списков отзыва сертификатов (CRL).

Списки отозванных сертификатов размещены в папке
C:\Windows\System32\Certsrv\CertEnroll,
куда по умолчанию публикуются списки.

Центр сертификации (ЦС, СА) —  важнейший элемент в безопасности ИТ инфраструктуры организации. Для того чтобы выдавать серверам и рабочим станциям сертификаты, нам нужно иметь в нашей локальной сети минимум один ЦС. Для этого на любом сервере нашей сети под управлением Windows 2008 R2 (непринципиально) нам нужно установить роль Службы сертификации Active Directory. 



Установка:

1. Открываем Диспетчер Сервера и нажимаем «Добавить роли» (Рис.1):

    Рис.1.

     2.  На странице приветствия нажимаем Далее (Рис.2):

    Рис.2.

     3.  Выбираем роль «Службы сертификации Active Directory» и нажимаем Далее (Рис.3):

    Рис.3.

     4.  На странице знакомства со службами сертификации нажимаем Далее (Рис.4):

    Рис.4.

     5.  На странице «Выбор служб ролей» добавляем галку «Служба регистрации в центре сертификации через Интернет», откроется «Мастер добавления ролей», нажимаем «Добавить требуемые службы роли». Окно «Мастера добавления ролей» закроется и в окне «Выбор служб ролей» жмем Далее (Рис.5-6):

    Рис.5.

    Рис.6.

     6.  Далее, в окне «Задание типа установки» выбираем «Предприятие» и нажимаем Далее (Рис.7):

    Рис.7.

     7.  В окне «Задание типа ЦС» выбираем «Корневой ЦС» и нажимаем Далее (Рис.8):

    Рис.8.

     8.  В окне «Установка закрытого ключа» выбираем «Создать новый закрытый ключ» и нажимаем Далее (Рис.9):

    Рис.9.

     9.  В окне «Настройка шифрования для ЦС» нажимаем Далее (Рис.10):

    Рис.10.

     10.  На странице «Задание имени ЦС» нажимаем Далее (Рис.11):

    Рис.11.

     11.  В окне «Установить срок действия» устанавливаем нужный нам срок действия сертификата и нажимаем Далее (Рис.12):

    Рис.12.

     12.  В окне «Настройка базы хранения сертификатов» можем изменить каталог с БД или оставить по умолчанию. Нажимаем Далее (Рис.13):

    Рис.13.

     13.  На странице «Веб-сервер» нажимаем Далее (Рис.14):

    Рис.14.

     14.  На странице «Выбор служб ролей» оставляем все по умолчанию и нажимаем Далее (Рис.15):

    Рис.15.

     15.  Далее будет страница «Подтверждение выбранных элементов для установки», нажимаем Установить (Рис.16):

    Рис.16.

     16.  После успешной установки нажимаем Закрыть (Рис.17):

    Рис.17.

     17.  Консоль Центра Сертификации можно открыть так: Пуск -> Администрирование -> Центр Сертификации (Рис.18):

    Рис.18.

     18.  Запрашивать, загружать и проверять статус запроса на сертификат необходимо через браузер по адресу: http://your_server/certsrv (Рис.19):

    Рис.19.

Успехов!

Центр сертификации (CA) Windows Server 2008 R2 — это инструмент, который позволяет организациям и отдельным пользователям создавать и управлять цифровыми сертификатами. Сертификаты могут использоваться для различных целей, включая защиту информации и обеспечение безопасности сети.

Установка центра сертификации Windows Server 2008 R2 может быть сложной задачей, но с этой подробной инструкцией вы сможете выполнить все необходимые шаги и настроить CA правильно.

Прежде чем приступить к установке, убедитесь, что ваш сервер соответствует системным требованиям для Windows Server 2008 R2. Вы также должны иметь административные права на сервере для выполнения всех необходимых действий.

Шаг 1. Подготовка сервера

Перед установкой центра сертификации убедитесь, что сервер Windows Server 2008 R2 находится в рабочем состоянии и имеет доступ к интернету.

Шаг 2. Запуск Установщика ролей и компонентов

Откройте «Установщик ролей и компонентов» из «Панели управления» или выполните команду «servermanager.msc» в командной строке.

Шаг 3. Выбор сервера и установка роли

Выберите ваш сервер из списка доступных серверов. Затем откройте «Добавить роли и компоненты» и выберите «Центр сертификации»

Шаг 4. Подтверждение установки

Принимая предупреждение о том, что при установке центра сертификации изменится конфигурация сервера, нажмите «Да» для продолжения.

Шаг 5. Установка дополнительных возможностей

Выберите дополнительные функциональные возможности, такие как «Управление восстановлением», «Сетевые загрузки» и другие, в зависимости от ваших требований. Затем нажмите «Далее» для продолжения.

Шаг 6. Завершение установки

После завершения установки центра сертификации, нажмите «Закрыть». Теперь ваш сервер готов к использованию центра сертификации Windows Server 2008 R2.

Примечание: После установки центра сертификации рекомендуется настроить его для обеспечения безопасности вашей инфраструктуры.

Подготовка к установке

Перед установкой центра сертификации Windows Server 2008 R2 необходимо выполнить несколько подготовительных шагов:

1. Убедитесь, что операционная система соответствует требованиям для установки системы центра сертификации.
2. Установите все необходимые обновления и патчи для Windows Server 2008 R2.
3. Убедитесь, что у вас есть административные права для установки и конфигурирования центра сертификации.
4. Проверьте наличие и подключение к интернету, так как установка может требовать загрузку дополнительных компонентов и обновлений.
5. Определите требования к аппаратным ресурсам для установки центра сертификации и убедитесь, что ваш сервер соответствует этим требованиям.
6. Создайте резервную копию всех важных данных и конфигураций сервера перед установкой.
7. Ознакомьтесь с документацией по установке и настройке центра сертификации перед началом процесса.

Проведение этих шагов обеспечит гладкую установку и работу центра сертификации Windows Server 2008 R2.

Загрузка Windows Server 2008 R2

Для установки центра сертификации Windows Server 2008 R2 вам сначала необходимо загрузить операционную систему Windows Server 2008 R2. Вот как это сделать:

1. Перейдите на официальный сайт Microsoft и найдите страницу загрузки Windows Server 2008 R2.

2. На странице загрузки выберите необходимую версию операционной системы, например: Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise или Windows Server 2008 R2 Datacenter.

3. Щелкните на выбранной версии операционной системы и нажмите кнопку «Загрузить».

4. Подтвердите согласие с правилами использования и лицензией, при необходимости введите данные вашей учетной записи Microsoft или создайте новую.

5. Дождитесь завершения загрузки файла ISO с образом Windows Server 2008 R2.

Теперь у вас есть образ операционной системы Windows Server 2008 R2, который можно использовать для установки и настройки центра сертификации.

Проверка системных требований

Перед установкой Центра сертификации Windows Server 2008 R2 необходимо убедиться, что система удовлетворяет следующим минимальным требованиям:

• Операционная система: Windows Server 2008 R2
• Процессор: не менее 1,4 ГГц 64-разрядный процессор
• Оперативная память: не менее 512 МБ
• Свободное пространство на жестком диске: 10 ГБ
• Монитор с разрешением 800×600 пикселей или выше
• Клавиатура и мышь
• CD/DVD-привод или доступ к сети

Также рекомендуется следующее оборудование:

• Мышь Microsoft или совместимая с ней
• Монитор с разрешением 1024×768 пикселей или выше
• Модем или сетевая карта для доступа к Интернету

Если система соответствует указанным требованиям, можно приступать к установке Центра сертификации Windows Server 2008 R2.

Обновление операционной системы

1. Перед началом обновления важно создать резервную копию данных и настроек вашей операционной системы, чтобы в случае что-либо пойдет не так, вы могли восстановить систему.
2. Проверьте наличие интернет-соединения, так как для обновления операционной системы необходим доступ к серверам обновлений Microsoft.
3. Откройте меню «Пуск» и выберите «Панель управления».
4. В панели управления выберите «Обновление и безопасность».
5. Выберите «Windows Update» и нажмите на кнопку «Проверить наличие обновлений».
6. Если обновления доступны, выберите их и нажмите на кнопку «Установить».
7. Дождитесь завершения процесса установки обновлений. Это может занять некоторое время, в зависимости от количества и размера обновлений.
8. После завершения установки обновлений, перезагрузите операционную систему, чтобы изменения вступили в силу.
9. После перезагрузки операционной системы, проверьте работу системы на стабильность и наличие возможных проблем.

После выполнения этих шагов ваша операционная система Windows Server 2008 R2 будет обновлена до последней версии, что обеспечит вам безопасность и функциональность, а также исправит возможные ошибки и проблемы.

Установка и настройка сертификационного авторитета

Для установки и настройки сертификационного авторитета на сервере Windows Server 2008 R2 следуйте следующим шагам:

1. Откройте «Управление компьютером» на сервере.
2. Выберите «Службы удаленного рабочего стола» и запустите «Центр автонастройки RD сертификата».
3. В окне «Расширенная конфигурация» выберите «Добавить» и начните процесс установки сертификационного авторитета.
4. Выберите «Тип внедрения» и укажите необходимые параметры конфигурации.
5. Продолжите процесс установки, следуя инструкциям мастера установки сертификационного авторитета.
6. После завершения установки настройте параметры доступа и безопасности центра сертификации.
7. Установите и настройте необходимые шаблоны сертификатов для выдачи сертификатов клиентам и серверам.
8. Настройте механизмы выпуска сертификатов и контроля их использования.

После завершения настройки сертификационного авторитета у вас будет готовая инфраструктура для выпуска и управления сертификатами в рамках вашего домена Windows Server 2008 R2.

Запуск установки центра сертификации

Для начала установки центра сертификации Windows Server 2008 R2 вам необходимо выполнить следующие шаги:

1. Откройте меню «Пуск» и выберите «Панель управления».

2. В панели управления найдите раздел «Программы» и выберите «Включение или отключение компонентов Windows».

3. В открывшемся окне выберите компонент «Поддержка сертификации AD CS» и отметьте его галочкой.

4. Нажмите кнопку «OK», чтобы закрыть окно.

5. Следуйте инструкциям мастера установки, который появится после завершения предыдущего шага.

6. Когда установка будет завершена, запустите центр сертификации с помощью соответствующей ссылки в меню «Пуск».

Теперь вы готовы начать использование центра сертификации Windows Server 2008 R2!

Создание нового сертификатного авторитета

Шаг 1: Откройте MMC (Microsoft Management Console) на сервере Windows Server 2008 R2.

Шаг 2: Нажмите «Файл» в верхнем левом углу MMC и выберите «Добавить/удалить элемент управления».

Шаг 3: В появившемся окне нажмите «Добавить…» и выберите «Сертификатный авторитет», затем нажмите «Добавить».

Шаг 4: В следующем окне выберите «Компьютерный учетной записи» и нажмите «Далее».

Шаг 5: Выберите «Создать автоматически» и нажмите «Далее».

Шаг 6: Введите имя для нового сертификатного авторитета и нажмите «Готово».

Шаг 7: Подтвердите создание нового сертификатного авторитета и нажмите «Далее».

Шаг 8: Дождитесь завершения процесса создания сертификатного авторитета и нажмите «Готово».

Шаг 9: Если необходимо, установите дополнительные параметры для сертификатного авторитета, такие как срок действия или политики.

Шаг 10: Поздравляю! Вы успешно создали новый сертификатный авторитет для Windows Server 2008 R2.

Настройка параметров сертификационного авторитета

После установки и настройки службы центра сертификации Windows Server 2008 R2 необходимо выполнить дополнительную конфигурацию параметров сертификационного авторитета. Эти параметры определяют специфические настройки и ограничения для выдаваемых сертификатов.

Для настройки параметров сертификационного авторитета выполните следующие шаги:

1. Откройте Управление центром сертификации, щелкнув правой кнопкой мыши на свободном пространстве в иерархии сертификационного авторитета и выбрав пункт «Управление».
2. В окне Управление центром сертификации выберите пункт «Настройка центра сертификации».
3. В открывшемся окне Настройка центра сертификации выберите вкладку «Параметры».
4. На вкладке «Параметры» выполните необходимые настройки, такие как:
• Ограничения по длине ключа. Установите минимальное и максимальное значение длины ключа, которое может быть использовано для генерации сертификата.
• Ограничения по сроку действия сертификата. Установите минимальный и максимальный срок действия для выдаваемых сертификатов.
• Ограничения по использованию ключа сертификата. Укажите, какие операции могут быть выполнены с использованием ключа сертификата.
• Ограничения по использованию сертификата. Укажите, для каких целей может быть использован сертификат.
5. После завершения настройки параметров нажмите кнопку «Применить» и закройте окно Настройка центра сертификации.

После настройки параметров сертификационного авторитета служба центра сертификации будет готова к выдаче сертификатов с учетом указанных ограничений и настроек. При необходимости вы всегда можете изменить эти параметры в будущем.

Выдача сертификатов

После настройки службы Центра сертификации Windows Server 2008 R2 вы можете начать процесс выдачи сертификатов. В данном разделе рассматриваются шаги, необходимые для создания и выдачи сертификатов.

1. Откройте консоль Центра сертификации, перейдя в панели управления на сервере Центра сертификации и выбрав «Выдать сертификаты» в списке доступных вариантов.

2. Нажмите на кнопку «Выдать новый сертификат», чтобы начать процесс создания сертификата.

3. Заполните необходимую информацию, такую как имя организации, имя пользователя и другие данные, которые могут потребоваться для создания сертификата. Убедитесь, что введенная информация верна и правильно указана.

4. Выберите тип сертификата, который вы хотите выдать. Возможные варианты включают личные сертификаты, сертификаты для веб-сайтов и другие виды сертификатов, в зависимости от ваших потребностей.

5. Подтвердите создание сертификата, нажав на кнопку «Выдать» или «Создать». После этого сертификат будет создан и готов к использованию.

6. Получите выданный сертификат и убедитесь, что он правильно установлен и настроен на нужных устройствах или веб-сайтах.

7. После выдачи сертификата рекомендуется выполнить тестирование и проверку его работоспособности, чтобы убедиться, что все настроено правильно и сертификат работает без ошибок.

В результате выполнения этих шагов вы успешно выдали сертификаты с помощью Центра сертификации Windows Server 2008 R2.

Видео:

Как подключить сертификат подписанный AD CS к RDP

Установка издающего удостоверяющего центра

Центр сертификации Windows Server 2008 R2 — это специализированное программное обеспечение, предназначенное для управления цифровыми сертификатами в сетевой инфраструктуре. С помощью центра сертификации можно создавать, распространять и отозвать цифровые сертификаты, а также выполнять другие операции, связанные с шифрованием и аутентификацией в сети.

Установка центра сертификации Windows Server 2008 R2 включает несколько этапов, каждый из которых необходимо выполнить в определенной последовательности. Данная пошаговая инструкция поможет вам правильно установить и настроить центр сертификации на вашем сервере.

Примечание: перед началом установки центра сертификации Windows Server 2008 R2, убедитесь, что ваш сервер соответствует минимальным системным требованиям, а также что на сервере установлена операционная система Windows Server 2008 R2.

Подготовка к установке центра сертификации

Перед установкой центра сертификации Windows Server 2008 R2 важно выполнить несколько предварительных шагов, чтобы обеспечить правильное функционирование и безопасность системы.

1. Проверка системных требований.

Убедитесь, что ваш сервер соответствует минимальным требованиям для установки центра сертификации Windows Server 2008 R2. Для этого убедитесь, что ваш сервер имеет достаточное количество оперативной памяти, свободного дискового пространства и процессорного времени.

2. Обновление операционной системы.

Перед установкой центра сертификации Windows Server 2008 R2 рекомендуется обновить операционную систему до последней версии. Это поможет устранить возможные ошибки и проблемы безопасности, а также обеспечить совместимость с другими компонентами системы.

3. Создание резервной копии данных.

Для предотвращения потери данных во время установки или настройки центра сертификации рекомендуется создать резервную копию всех важных данных. Это позволит вам быстро восстановить систему в случае непредвиденных ситуаций.

4. Подготовка домена.

Центр сертификации Windows Server 2008 R2 требует наличия активного каталога домена для своей работы. Проверьте, что домен, в котором будет установлен центр сертификации, настроен и функционирует должным образом.

5. Создание служебной учетной записи.

Для установки и настройки центра сертификации потребуется создать служебную учетную запись с соответствующими правами доступа. Учетная запись должна быть членом группы «Администраторы предприятия» и иметь права на управление службами.

6. Установка необходимого программного обеспечения.

Перед установкой центра сертификации Windows Server 2008 R2 установите все необходимые компоненты, такие как IIS (Internet Information Services), .NET Framework и другие, которые могут потребоваться для работы с центром сертификации.

После выполнения всех этих предварительных шагов вы будете готовы к установке центра сертификации Windows Server 2008 R2.

Требования к аппаратному и программному обеспечению

Для установки и работы центра сертификации Windows Server 2008 R2 необходимо выполнить определенные требования к аппаратному и программному обеспечению. При несоблюдении данных требований возможны проблемы с работой сертификационного центра.

Аппаратные требования:

• Процессор с тактовой частотой не менее 1,4 ГГц;
• Оперативная память объемом не менее 512 МБ;
• Жесткий диск с свободным местом не менее 10 ГБ;
• Сетевой адаптер с поддержкой TCP/IP;
• Монитор с разрешением 800×600 пикселей или более;
• Клавиатура и мышь.

Примечание: При установке центра сертификации на сервер с большим объемом работы рекомендуется увеличивать объем оперативной памяти и свободного места на жестком диске в зависимости от требований.

Программные требования:

• Windows Server 2008 R2 с установленными последними обновлениями;
• Административные права доступа;
• Установленный Internet Information Services (IIS);
• Установленный Active Directory Domain Services;
• Установленная служба Certificate Services.

При выполнении данных требований вы сможете успешно установить и настроить центр сертификации Windows Server 2008 R2.

Установка операционной системы Windows Server 2008 R2

Для установки операционной системы Windows Server 2008 R2 выполните следующие шаги:

1. Вставьте загрузочный диск с операционной системой в привод CD/DVD.

2. Перезагрузите компьютер и выберите загрузку с диска.

3. После загрузки операционной системы нажмите «Установка».

4. Выберите язык установки, время и тип клавиатуры. Затем нажмите «Далее».

5. Нажмите «Применить параметры установки» и выберите диск, на который будет установлена операционная система.

6. Нажмите «Далее» и дождитесь завершения установки.

7. После завершения установки введите имя компьютера и пароль администратора. Нажмите «Далее».

8. Выберите регион и часовой пояс. Нажмите «Далее».

9. Введите лицензионный ключ, если он есть. В противном случае, выберите вариант «Нет ключа продукта».

10. Завершите установку, следуя инструкциям на экране.

Поздравляю! Вы успешно установили операционную систему Windows Server 2008 R2.

Создание установочного носителя

Для установки центра сертификации Windows Server 2008 R2 необходимо создать установочный носитель. В данном разделе приведены пошаговые инструкции по созданию установочного носителя с помощью образа ISO.

1. Скачайте образ ISO файлу центра сертификации Windows Server 2008 R2 с официального сайта Microsoft.
2. Монтируйте образ ISO, чтобы получить доступ к содержимому файла.
3. Создайте пустую папку на жестком диске, в которую будут скопированы файлы образа.
4. Откройте командную строку от имени администратора и перейдите в каталог, где расположен монтированный образ ISO.
5. Скопируйте все файлы из монтированного образа в созданную папку с помощью команды xcopy /E /C /H /R /K /O /Y.
6. Перейдите в папку, в которую были скопированы файлы образа, и запустите файл setup.exe.
7. Откроется мастер установки центра сертификации Windows Server 2008 R2. Следуйте инструкциям мастера, чтобы выполнить установку центра сертификации.

После завершения установки центра сертификации Windows Server 2008 R2 вы сможете использовать его для создания и управления сертификатами на вашем сервере.

Настройка сетевых параметров

После установки Windows Server 2008 R2 необходимо настроить сетевые параметры, чтобы сервер мог подключаться к сети. Следуйте этим шагам, чтобы выполнить настройку:

1. Перейдите в «Панель управления» и выберите раздел «Сеть и Интернет».
2. Выберите «Сетевые подключения», чтобы открыть список доступных подключений.
3. Найдите нужное сетевое подключение и щелкните правой кнопкой мыши по нему, затем выберите «Свойства».
4. В открывшемся окне «Свойства сетевого подключения» выберите «Протокол интернета версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».
5. Выберите «Использовать следующие адреса IP» и введите IP-адрес сервера, подсеть и адрес шлюза. Также введите адреса серверов DNS, если они предоставлены вашим провайдером.
6. Нажмите «ОК», чтобы сохранить настройки.

После выполнения этих шагов ваш сервер будет настроен для подключения к сети. Убедитесь, что введенные параметры правильны, чтобы избежать проблем с подключением.

Подключение к локальной сети

1. Подготовьте компьютер, на котором установлен Windows Server 2008 R2, для подключения к локальной сети следующим образом:

• Убедитесь, что компьютер подключен к сетевому коммутатору или маршрутизатору при помощи сетевого кабеля.
• Проверьте настройки сетевого адаптера компьютера, чтобы они соответствовали настройкам вашей локальной сети.
• Убедитесь, что сетевой адаптер включен и функционирует корректно.

2. Проверьте доступность других компьютеров в вашей локальной сети, чтобы убедиться, что соединение настроено правильно.

3. Если у вас имеются проблемы с подключением к локальной сети, обратитесь к администратору сети или провайдеру интернет-услуг для получения помощи.

Установка службы управления контейнерами

Шаг 1: Откройте меню «Пуск» и перейдите в «Серверный менеджер».

Шаг 2: В левой панели менеджера выберите «Управление» и кликните на «Добавить роли и компоненты».

Шаг 3: В появившемся окне нажмите «Далее» и установите галочку напротив «Службы управления контейнерами».

Шаг 4: Продолжайте нажимать «Далее», пока установка не будет завершена.

Шаг 5: После завершения установки служб, вернитесь в серверный менеджер и выберите «Сервисы управления контейнерами».

Шаг 6: Проверьте, что служба работает корректно, запустив какой-либо контейнер.

Обратите внимание, что для установки службы управления контейнерами на Windows Server 2008 R2 необходимы права администратора.

Установка Docker

Для установки Docker на сервер Windows Server 2008 R2 следуйте инструкциям ниже:

1. Загрузите установочный файл Docker для Windows Server 2008 R2 с официального сайта Docker.
2. Запустите установочный файл и следуйте указаниям мастера установки Docker.
3. Дождитесь завершения установки Docker.
4. Перезагрузите сервер, чтобы применить изменения.

После установки Docker вы можете начать использовать его для создания и запуска контейнеров на вашем сервере Windows Server 2008 R2. Для получения дополнительной информации о создании и управлении контейнерами Docker, обратитесь к официальной документации Docker.