Центр сертификации windows создать сертификат

Практическая работа с центром сертификации. Настройка и управление

Практическая работа с центром сертификации

Настройка публичного хранилища в MS Windows Server 2012 R2

Для того, чтобы создать и использовать публичное хранилище сертификатов, необходимо:

Создать папку Public в каталоге C:\Inetpub\wwwroot\ на сервере сертификации:

Запустить Диспетчер служб IIS. В левой части окна
Диспетчера служб IIS раскрыть дерево подключений /сайты/Default Web Site/Public. При выделении курсором
ветки Public в правой стороне откроется Начальная страница Public, в которой нужно дважды
нажать на Просмотр каталога:

В крайне правом окне нажать на Включить:

Скопировать из каталога C:\Windows\System32\Certsrv\CertEnroll корневого и
подчиненного центров сертификации списки отозванных сертификатов и
сертификаты в каталог C:\Inetpub\wwwroot\Public.

Проверить доступ к этим файлам по адресу https://«имя сервера»/public и скачать любой файл.

Управление шаблонами сертификатов в MS Windows Server 2012 R2

В рамках этого раздела рассматриваются создание нового шаблона
пользователя с возможностями подписи документов и создание сертификата
пользователя по созданному шаблону через веб-сайт центра сертификации.

Создание шаблона сертификата

Запустить Центр сертификации. Для этого нажать кнопку Пуск, в открывшемся окне на значок стрелки
в кружке. Кликнуть дважды мышкой на Центр сертификации. В центре сертификации
переместиться на Шаблоны сертификатов, вызвать
контекстное меню, нажать на Управление. Выделить
шаблон Пользователь, вызвать контекстное меню, выбрать
в нем Скопировать шаблон:

В окне Совместимость оставить все по умолчанию. В окне
Общие задать отображаемое имя шаблона – Сертификат пользователя УЦ
. Снять флажок Опубликовать сертификат в Active Directory:

Перейти в закладку Обработка запроса. В поле Цель
выбрать Подпись.

На запрос об изменении назначения сертификата нажать Да:

Перейти в закладку Шифрование, выбрать:

В запросах могут использоваться любые поставщики, доступные на компьютере пользователя
:

В закладке Имя субъекта установить флажок Предоставляется в запросе:

Перейти на вкладку Безопасность и для группы Прошедшие проверку
требуется установить флажок Заявка в колонке Разрешить:

Перейти на вкладку Расширения и изменить настройки
Политики применения. Для этого необходимо нажать на кнопку Изменить:

В открывшемся диалоговом окне необходимо выбрать политику Подписывание документа,
удалить Шифрующая файловая система (EFS) и нажать на кнопку
ОК. В том случае, если данный пункт отсутствует,
необходимо нажать на кнопку Добавить:

Создание сертификата пользователя по созданному шаблону

В Центре сертификации необходимо вызвать контекстное
меню пункта Шаблоны сертификатов, в котором необходимо
нажать на кнопку Создать – Выдаваемый шаблон сертификата:

В открывшемся диалоговом окне необходимо выбрать ранее созданный шаблон
и нажать на кнопку ОК:

Проверяем шаблон, для этого в браузере открываем страницу центра сертификации:

Нажимаем на строку Запроса сертификата. В следующем
окне нажать на Расширенный запрос сертификата:

Нажать на строку Создать и выдать запрос к этому ЦС:

В окне запроса сертификата выбираем шаблон сертификата Сертификат пользователя УЦ. Обязательно должны быть
заполнены поля Имя и Страна, регион
(ввести значение RU). Нажать кнопку Выдать:

В случае правильного заполнения полей шаблона будет сформирован
сертификат. Нажать Установить этот сертификат:

Заходим в центр сертификации в ветку Выданные сертификаты. Последний
сертификат будет тот, который был сформирован через веб-сайт:

Установка и настройка OCSP-службы подчиненного центра сертификации на базе MS Windows Server 2012 R2

Для установки и настройки OCSP-службы необходимо:

• установить OCSP-службу;
• настроить шаблон для выпуска сертификата OCSP-службы;
• настроить центр сертификации для работы с OCSP-службой;
• настроить службу.

Установка сетевого ответчика

Для установки доменной службы запустите Диспетчер серверов.
В окне Панель мониторинга нажать Добавить роли и
компоненты. В окне Мастера добавления ролей и компонентов оставить по
умолчанию тип установки Установка ролей или компонентов. В окне выбора сервера
нажать Далее , оставив все по умолчанию. В окне выбора
ролей сервера найти Службу сертификатов Active Directory, раскрыть
строку дважды кликнув мышкой по строке, поставить флажок в строке Сетевой ответчик:

В появившемся окне нажать кнопку Добавить компоненты:

В окне выбора компонентов нажать Далее:

Нажмите Установить. После установки необходимо
настроить службу, для этого нажмите на строку

Настроить службу сертификатов Active Directory на конечном сервер
:

В окне учетные данные нажмите кнопку Далее. Поставить
флажок в строке Сетевой ответчик и нажать Далее:

Нажать кнопку Настроить:

После настройки закрыть все окна.

Настройка шаблона сетевого ответчика

Запустить Центр сертификации. Для этого нажать кнопку Пуск, в
открывшемся окне на значок стрелки в кружке. Кликнуть дважды мышкой на Центр сертификации.
В центре сертификации переместиться на Шаблоны сертификатов, вызвать контекстное меню, нажать
на Управление. Выделить шаблон Подписывание отклика OSPC, вызвать контекстное меню,
выбрать в нем Свойства. Перейти в закладку Безопасность.
Нажать кнопку Добавить. В окне выбора нажать кнопку Дополнительно:

Нажать кнопку Типы объектов. Поставить флажок в строке
Компьютеры и нажать ОК:

В окне выбора нажать кнопку Поиск. После окончания
поиска в окне результатов найти ваш сервер и нажать ОК:

В окне Группы или пользователи выбрать ваш сервер и
для него в окне Разрешения поставить флажок в строке Заявка:

В Центре сертификации необходимо вызвать контекстное
меню пункта Шаблоны сертификатов, в котором необходимо
нажать на кнопку Создать – Выдаваемый шаблон сертификата. В открывшемся
диалоговом окне необходимо выбрать ранее настроенный шаблон и нажать на
кнопку ОК.

Настройка центра сертификации для поддержки службы сетевых ответчиков

Открыть Центр сертификации. Через контекстное меню откройте Свойства.
Перейти в закладку Расширения. В списке расширений
выбрать Доступ к сведениям о центрах сертификации (AIA):

В строке Размещение написать путь https://«ваш сервер»/ocsp/ocsp.srf.
Поставить флажок в строке Включать в расширение протокола OCSP:

Перезапустить Центр сертификации.

Настройка сетевого ответчика

Запустить Сетевой ответчик:

В окне управления выделить Конфигурация отзыва,
вызвать контекстное меню, выбрать Добавить конфигурацию отзыва:

Введите имя конфигурации отзыва, например, OCSP:

В окне выбора расположения сертификата ЦС должен быть выбран пункт
Выберите сертификат для существующего ЦС предприятия:

Нажать кнопку Обзор:

Выбрать корневой сертификат ЦС и нажмите ОК:

После выбора сертификата ЦС в окне выбора появиться ссылка на сертификат.
Нажмите Далее:

Если OCSP-служба настроена правильно, то в конфигурации сетевых
ответчиков служба будет в рабочем состоянии.

Всем привет, с вами Искандер Рустамов, младший системный администратор Cloud4Y. Сегодня мы будем покорять развертывание центра сертификации (ЦС). 

Из-за сложной геополитической обстановки резко усилился процесс импортозамещения, появилась необходимость в выстраивании инфраструктуры на базе государственных требований к решениям в области информационной безопасности. Одним из таких решений является организация доступа клиентов к веб-ресурсам через портал nGate по защищённому TLS соединению с использованием шифрования по ГОСТ криптопровайдера «КриптоПро». Для этого необходим собственный центр сертификации. 

В данной статье мы рассмотрим установку Standalone Center Authority на базе Windows Server 2019. Если вам будет интересно, могу описать процесс привязки нашего центра сертификации к порталу nGate (спойлер: на самом деле там нет ничего сложного). 

Вводные данные

КриптоПро NGate — это универсальное высокопроизводительное средство криптографической защиты сетевого трафика, объединяющее в себе функционал:

• TLS-сервера доступа к веб-сайтам;

• Сервера портального доступа;

• VPN-сервера.

NGate обладает широкими возможностями по управлению доступом удалённых пользователей как с обеспечением строгой многофакторной аутентификации, так и прозрачно, обеспечивая при этом гибкое разграничение прав доступа к ресурсам. КриптоПро NGate реализует российские криптографические алгоритмы, сертифицирован по требованиям к СКЗИ, имеет сертификаты ФСБ России по классам КС1, КС2 и КС3 и может использоваться для криптографической защиты конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями российского законодательства по информационной безопасности.

Кроме того, NGate:

• Снижает нагрузку по обработке TLS-соединений с веб-серверов, позволяя им сосредоточиться на выполнении своих основных задач;

• Исключает необходимость установки на каждом веб-сервере отдельного СКЗИ и проведения исследований по оценке влияния ПО веб-серверов на СКЗИ.

Процесс настройки

Ранее я не сталкивался с центрами сертификациями. Поскольку ОС Windows Server мне ближе, решил развернуть ЦС с использованием Server Manager. Разворачивать контроллер домена не нужно, так как сертификаты будут выдаваться внешним пользователям. Соответственно, можно обойтись «автономным» центром сертификации, подробнее о нём расскажу позже. 

Перед развертыванием центра сертификации необходимо: 

• Установить СКЗИ КриптоПро CSP 5.0.12330:

• Установить КриптоПро ЭЦП Browser plug-in;

Инсталляцию производим через «Дополнительные опции»

1. Выбираем язык установки, уровень защиты КС1 (другие уровни защиты требуют дополнительных аппаратных средств защиты);

2. В разделе «Установка компонентов» проверяем, что добавлен «Криптопровайдер уровня ядра ОС»; (рис. 1)

Криптопровайдер уровня ядра ОС необходим для работы криптопровайдера
в службах и ядре Windows.

3.  В следующем окне оставляем пункты:

• Зарегистрировать считыватель «Реестр» (позволит сохранять контейнеры ключей в реестр);

• Усиленный контроль использования ключей;

• Не разрешать интерактивные сервисы Windows;

4. Также «КриптоПро» предложит добавить сертификаты своих центров сертификации;

5. Устанавливаем, перезагружаемся.

Установка центра сертификации (Standalone CA Windows Server 2019)

Непосредственно перед самой установкой коротко объясню особенности Standalone CA:

• Не интегрирован с Active Directory (а он нам и не нужен);

• Публикация сертификатов происходит через запрос на WEB-сайте. Путем автоматического или ручного подтверждения администратором ЦС (ЕМНИП, ЦС предприятия было добавлена такая возможность, не проверял её работу);

• Пользователь сам вводит идентификационную информацию во время запроса сертификата;

• Не поддерживает шаблоны сертификатов (из-за этого всплывут некоторые моменты, которые раскрою в процессе развертывания).

Начинаем:

1. Измените имя компьютера до установки роли, после это будет сделать невозможно. «Далее (Next)» (рис.2): 

2. Добавляем роль в «Диспетчере серверов» (Server Manager), «Далее (Next)» (рис. 3):

2.1. «Установка ролей и компонентов (Add roles and features wizard)». Нажимаем «Далее (Next)» — «Далее (Next)»;

2.2. «Тип установки: Установка ролей и компонентов (Installation type: Role-based or features-based installation». «Далее (Next)»;

2.3. «Выбор сервера (Server selection)». В нашем случае среди предложенных будет один сервер и имя компьютера. «Далее (Next)» (рис. 4);

2.4. «Роли сервера (Server roles). Здесь необходимо отметить две роли: Служба сертификатов Active Directory (Certificate Services Active Directory), Веб-сервер IIS (Web-server IIS);

Во всплывающем окне перечня нажимаем «Добавить компонент (Add features)» — «Далее (Next)»;

2.5. «Компоненты (Features) оставляем как есть — «Далее (Next)» ;

2.6. «Служба ролей (Role Services)» ЦС, необходимо выбрать:

• «Центр сертификации (Certification Authority)»,

• «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;

Сетевой автоответчик (Online responder) добавим уже после развертывания ЦА, в противном случае могут возникнуть проблемы. 

2.7. В «Служба ролей (Role Services)» веб-сервера оставляем всё предложенное автоматически — «Далее (Next)»;

2.8. «Подтверждение (Confirmation).

На этом этапе запустится процесс установки роли.

3. После установки роли центра сертификации необходимо его настроить
(рис. 5). Выбираем: 

3.1. «Настроить службы сертификатов Active Directory (Configure Active Directory-Certificate Services)

3.2. Указываем учетные данные. Так как мы развертываем Standalone центр сертификации, не нужно состоять в группе «Администраторов предприятия (Enterprise Administrators)» — «Далее (Next)»;

3.3. Выбираем установленные службы ролей для настройки (Select role services to configure) ЦС: «Центр сертификации (Certification Authority)», «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;

3.3.1. При выборе центра сертификации появится окно выбора ключевого носителя – КриптоПРО CSP, в качестве носителя для создания контейнера cngWorkAround используем хранилище ключей реестра Windows – Реестр. (рис. 6)

3.4. Указываем вариант установки ЦС (Specify the setup type of the CA):
Автономный центр сертификации (Standalone CA). «Далее (Next)»;

3.5. Указываем тип ЦС (Specify the type of CA) – Корневой ЦС (Root CA). «Далее (Next)»;

3.6. Необходимо создать закрытый ключ ЦС, чтобы он мог создавать и выдавать их клиентам. Для этого выбираем «Создать новый закрытый ключ (Create a new private key)».

В качестве поставщика службы шифрования выбираем один из трёх предложенных (не забывайте, что 2001 год уже устарел) Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider с длиной 512 и открытого ключа 1024 бита. (рис.7)

И обязательно подтверждаем: «Разрешить взаимодействие с администратором, если ЦС обращается к закрытому ключу (Allow administrator interaction when the private key is accessed by the CA)»;

3.7. Укажите имя центра сертификации и суффиксы различающего имени, данные суффиксы будут отображаться в составе сертификата в графе «Издатель (Issuer)».

СN = Certificate Name, O = Organization, L = Locale, S = Street, C = Country, E = E-mail; (рис.

3.8. Указываем необходимый «срок годности (validaty period)» корневого сертификата (в нашем случае было выбрано 15 лет). «Далее (Next)»;

3.9. Указываем расположение баз данных сертификатов (certificate database location). «Далее (Next)»;

3.10. В окне «Подтверждения (Confirmation) сверяем введённую информацию — «Настроить (Configure)»

3.11. Появится окно выбора носителя для создания контейнера нашего ЦС.

Где хранятся сами контейнеры ключей:

3.12. Далее откроется окно генерации начальной последовательности с помощью биологического ДСЧ. Для генерации случайной последовательности перемещайте указатель мыши или нажимайте различные клавиши. 

3.13. После введите пароль на доступ к закрытому ключу.

3.14. Далее появится окно результатов об успешной установке компонентов (рис.

Настройка веб-сервера IIS

Теперь необходимо выполнить некоторые настройки веб-сервера: прицепить сертификат (самоподписанный или выпущенный нашим же ЦА). Кстати, он уже работает. В качестве примера выпустим самоподписанный сертификат.

1. Откроем Диспетчер служб IIS (Manager IIS) — Сертификат сервера (Server Certificates) (рис. 9);

1.1. В открывшемся окне в панели «Действия (Actions)» выберем – «Создать самоподписанный сертификат (Create Self-Signed Certificate);

1.2. Выбираем тип «Личный (Personal) и указываем «Имя сертификата (Friendly Name)»

1.3. Теперь необходимо привязать этот сертификат для доступа по https к веб-серверу.

1.3.1. Переходим «Сайты (Sites)» — Default Web Site – Bindings – добавить (Add) — выбрать https – и выбрать самоподписанный SSL-сертификат.

Также сертификат вы можете выпустить следующим образом:
На этой же панели создайте запрос (Create certificate request) для выпуска сертификата через наш ЦА и дальнейшей его загрузки в IIS (Complete Certificate Request). Но это по желанию.

Пример запроса (request) для формирования запроса вручную

[NewRequest]
Subject="CN=ИмяСертификата ,O=Организация, L=Город, S=Улица, C=Страна, E=Почта"
ProviderName="Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
ProviderType=80
KeySpec=1
Exportable = TRUE
KeyUsage=0xf0
MachineKeySet=true
RequestType=Cert
SMIME=FALSE
ValidityPeriod=Years
ValidityPeriodUnits=2
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

В целом с веб-сервером мы закончили, в default web site вы можете увидеть, что были автоматически созданы virtual directory и applications «CertSrv». При желании можно создать отдельную виртуальную директорию под CRL’ки.

Установка сетевого ответчика (Online responder)

А вот мы и вернулись к установке автоответчика.

1. Добавляем роль в «Диспетчере серверов» (Server Manager) — «Далее (Next)» 

1.1. Установка ролей и компонентов (Add roles and features wizard)» — «Далее (Next)»;

1.2. «Роли сервера (Server roles), раскрываем роль: Служба сертификатов Active Directory (Certificate Services Active Directory); и устанавливаем галочку на «Сетевой ответчик» (Online Responder) 

1.3. Завершаем работу с мастером ролей и компонентов, путём односмысленных нажатий «Далее (Next)».

В IIS была добавлена Applications: ocsp. Только не пугайтесь, что сама по себе директория пустая. Так и должно быть. 

Нам осталось настроить центр сертификации и выпустить сертификат на OCSP.

Настройка центра сертификации

1. В «Диспетчере серверов (Server manager)» — выбираем «Служба сертификации Active Directory (AD CS) – правой клавишей по вашему серверу и открываем: «Центр сертификации (Certification Authority).

1.1. Вы попали в оснастку управления центром сертификации: certsrv.

1.2. Выбираем ваш центр сертификации и открываем свойства (рис. 10):

1.3. Следующим важным шагом выступает настройка точек распространения CDP и AIA.

Authority Information Access (AIA) — содержит ссылки на корневой сертификат центра сертификации (Certification Authority)

CRL Distribution Point — содержит ссылки на файлы CRL, которые периодически публикует сервер CA, который издал рассматриваемый сертификат. Этот файл содержит серийные номера и прочую информацию о сертификатах, которые были отозваны. (рис. 11)

Мы используем веб-сервер, который доступен как внутри сети, так и из интернета (так как сертификаты могут использоваться пользователями интернета) по одному и тому же URL.

1.4. В разделе свойства переходим в «Расширения (Extensions):

 Удаляем ненужные точки распространения и оставляем локальную и внешнюю ссылку для CDP:

http://<ip_address/dns_name>/CertSrv/CertEnroll/<CaName><CRLNAmeSuffix><DeltaCRLAllowed>.crl

Ставим галочки «Включить в CRL. Включить в CDP (Include in CRL. Include in the CDP)».

AIA:

http://<ip_address/dns_name>/CertSrv/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

Ставим галочку: «Включать в AIA- расширение выданных сертификатов (Include in the AIA extension of issued certificates)»

OCSP:

https://<ip_address/dns_name>/ocsp

Ставим галочку: «Включать в расширение протокола OCSP (Include in the online certificate status protocol (OCSP) extension)»

В свойствах центра сертификации можно настроить автоматический выпуск сертификатов при поступившем запросе. Так вы исключаете возможность проверки указанных требуемых полей сертификатов. Для этого перейдите в «Модуль политик (Policy Module)» — «Свойства (Properties)» и выберите соответствующий пункт:

В первом случае сертификату присваивается режим ожидания, а одобрение выпуска сертификата остается за администратором;

Во втором случае из-за отсутствия шаблонов в Standalone CA сертификаты будут выпускаться автоматически. (рис. 12)

Да, центр сертификации уже функционирует и доступен по указанному dns-имени. Не забудьте открыть 80 и 443 порты для функционирования веб-сервера и online-reposnder’a, настройкой которого мы займёмся далее.

Проверить работу ЦС вы можете, перейдя в ChromiumGost или Internet Explorer или Edge (с поддержкой Internet Explorer(IE)): https://localhost/CertSrv.

При переходе по ссылке извне в IE необходимо добавить наш веб-сервер в «Надежные сайты (Trusted Sites)» в настройках в пункте «Безопасность».  Не забудьте, что должен быть установлен КриптоПро CSP, в ином случае при выпуске сертификата вам не будет доступен выбор ГОСТовского криптопровайдера (рис.13). 

Также вы можете здесь вручную скачать сертификат нашего ЦС, цепочку сертификатов, CRL и разностные CRL. Кстати говоря, их мы и забыли настроить. 

Вернёмся в оснастку certsrv к нашему центру сертификации и настроим выпуск разностных CRL. Для этого необходимо открыть «Свойства (Properties)» раздела «отозванных сертификатов (Revoked Certificates)» (рис. 14).

1. Задаём «Интервал публикации CRL (CRL Publications interval)».

1.1. Включаем публикацию разностных CRL и задаём интервал.

Кажется, что все хорошо. Но есть один момент:

«ЦС будет публиковать Delta CRL, которые содержат символ плюс «+» в имени файла (например, contoso-pica+.crl). По умолчанию IIS будет расценивать этот символ в запросе как метасимвол и не позволит клиентам скачать список отзыва. Необходимо включить двойной эскейпинг в настройках IIS, чтобы расценивать знак плюса в запросе как литерал:»

Выполните следующую команду в power shell:

Import-Module -Name WebAdministration
Set-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter /system.webServer/security/requestFiltering -name allowdoubleescaping -Value 'true'

Настройка OCSP — сетевого ответчика (Online responder)

Так как у Standalone центра сертификации нет шаблонов, нам необходимо вручную сформировать запрос и выпуск сертификата для конфигурации отзыва (Array configuration) в «Управление сетевым ответчиком (Online responder management). Для это используйте следующую конфигурацию для формирования запроса 

1.1. Создайте: ocsp.txt cо следующим внутренним содержанием:

[NewRequest]
Subject = "CN=Имя"
PrivateKeyArchive = FALSE
Exportable = TRUE
UserProtected = FALSE
MachineKeySet = TRUE
ProviderName = "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
KeyLength = 512
UseExistingKeySet = FALSE
RequestType = PKCS10
[ApplicationPolicyStatementExtension]
Policies = OCSPSigning
Critical = false
[OCSPSigning]
OID = 1.3.6.1.5.5.7.3.9
[EnhancedKeyUsageExtension]
OID="1.3.6.1.5.5.7.3.9"
[Extensions]
1.3.6.1.5.5.7.48.1.5 = Empty

1.2. Откройте командную строку cmd. Перейдите в директорию с текстовым файлом или в будущем просто укажите полный путь при формировании запроса.

1.3. Узнаем, на какой срок сейчас выпускаются сертификаты. Для этого воспользуемся командой - certutil –getreg ca\validityperiodunits  

Результат — на рис. 15.

1.4. Изменим длительность выпуска сертификата:

 #Изменение выпуска сертификатов с текущего состояния на длительность в 5 лет
 certutil -setreg ca\ValidityPeriodUnits 5 
 #Перезапуск сервера
 net stop certsvc 
 net start certsvc 

1.5. Сформируем запрос и выпустим сертификат для сетевого автоответчика (рис 16.):

#Конфигурирование запроса
 certreq -new <имя>.inf <имя>.req 
 
#Формирование запроса в ЦС
 certreq -submit <имя>.req
 
#Одобрение запроса (Можно руками через оснастку управления центром сертификации)
 certutil.exe -Resubmit "Цифра запроса" 

Во время конфигурирования запроса выбираем место хранения контейнера ключа и проходим процедуру ДСЧ.

1.6. Экспортируем сертификат из центра сертификации и устанавливаем его в личные сертификаты локального компьютера.

1.6.1. После запроса сертификата открываем оснастку: Certificates (Run — MMC – Add or remove Snap-ins – Certificate),

1.6.2. Выбираем сертификат, выданный для сетевого ответчика. Нажимаем правой клавишей и открываем «Все задачи (Управление закрытыми ключами (All Tasks — Manage Private keys)». 

1.6.3. В открывшемся окне Permissions необходимо добавить в «Группы и пользователи (Group and Users):   Network Service и выдать право Read для этой учётной записи. (рис.16.1)

Это нужно сделать, так как служба OCSP работает от лица Network Service.

1.7. Далее переходим в настройки самого сетевого ответчика. (рис. 17)

1.8. Нам необходимо добавить «Конфигурацию отзыва (Revocation Configuration) – «Добавить»

2. Предстоит небольшой процесс настройки конфигурации отзыва.

2.1. «Далее».

2.2. Введите имя конфигурации – «Далее».

2.3. Выбираем второй пункт: «Выбрать сертификат в локальном хранилище сертификатов (Select a certificate from the local certificate store)» — «Далее».

2.4. В следующем окне нажимаем «Обзор (Browse)» и выбираем корневой сертификат нашего ЦА – «Больше вариантов (More choices)». (рис. 17) – «Далее».

2.5. В следующем окне выбираем «Выбрать сертификат подписи вручную (Manually a signing sertificate)

2.6. В последнем окне нажимаем «Поставщик (Provider)». Здесь необходимо указать источник, из которого будут браться базовые и разностные CRL. В нашем случае: http://localhost/CDP/CA-C4Y-VPN.crl (для базового) и  http://localhost/CDP/CA-C4Y-VPN+.crl (для разностного).

2.7. Осталось прицепить к нашей конфигурации выпускаемый ранее сертификат и проверить некоторые моменты.

2.7.1. Переходим в «Конфигурацию массива(array configuration)», выбираем конфигурацию и нажимаем «Назначить сертификат подписи (Assign Signing Certificate)». В появившемся окне нужно просто нажать «ОК».

2.7.2. Теперь необходимо «Обновить конфигурацию массива». Для этого выбираем «Конфигурация массива (Array configuration) – «Обновить (Refresh)»

2.7.3. После всех этих действий главное окно оснастки ocsp должно выглядеть так, как на рисунке 19.

В процессе самостоятельной настройки «сетевого ответчика» может возникнуть много вопросов, особенно если нет опыта работы с Standalone центром сертификации, в котором отсутствуют шаблоны, без которых можно обойтись, но пути становятся длиннее в исполнение.  Кстати говоря, если после прикрепления сертификата вы не получили заветное Working, то проверьте следующее (рис.20, 20.1):

Чтобы проверить работу центра сертификации и сетевого автоответчика, выпустите сертификат для конечного пользователя, установите его и экспортируйте в какую-нибудь директорию. А после воспользуйтесь утилитой: Certutil –url /patch/test.crt

Для подробного отчёта вы можете воспользоваться: certutil –verify –urlfetch /patch/test.crt

На этом краткое руководство по развертыванию собственного центра сертификации подошло к концу. Я постарался рассказать о большинстве трудностей и нюансов, с которыми можно столкнуться в процессе работы. Надеюсь, это руководство поможет вам.

Дополнительно:

Что ещё интересного есть в блоге Cloud4Y

→ Малоизвестный компьютер SWTPC 6800

→ Сделайте Linux похожим на Windows 95

→ Бесплатные книги, полезные для IT-специалистов и DevOps

→ WD-40: средство, которое может почти всё

→ Игры для MS-DOS с открытым исходным кодом

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу.

Сертификаты являются важной составляющей безопасности сети и информации, передаваемой по ней. Центр сертификации Windows Server 2012 R2 предоставляет возможность создавать и управлять сертификатами, используя различные криптографические алгоритмы и протоколы.

В этой подробной инструкции мы рассмотрим, как создать сертификат в Центре сертификации Windows Server 2012 R2. Мы охватим все необходимые шаги, начиная от установки и настройки Центра сертификации, и заканчивая самим процессом создания сертификата.

Шаг 1: Установка и настройка Центра сертификации Windows Server 2012 R2

Перед тем как приступить к созданию сертификата, необходимо установить и настроить Центр сертификации Windows Server 2012 R2. Для этого откройте Панель управления, найдите и запустите Управление Центром сертификации. После установки и настройки Центра сертификации, вы будете готовы к созданию сертификатов.

Шаг 2: Создание шаблона сертификата

Прежде чем создать сертификат, необходимо создать шаблон, который будет использоваться для его генерации. Шаблон определяет параметры и ограничения сертификата, такие как срок его действия, цели использования и другие. Для создания шаблона откройте Центр сертификации, перейдите в раздел «Шаблоны сертификатов» и выберите «Создать шаблон сертификата». Заполните необходимые поля, укажите параметры и сохраните шаблон.

Шаг 3: Создание сертификата

Теперь, когда у вас есть шаблон сертификата, можно приступить к его созданию. Для этого вернитесь в Центр сертификации, выберите «Выдать новый сертификат» и выберите созданный ранее шаблон. Заполните необходимые поля, укажите параметры сертификата и нажмите «Выдать». Поздравляю! Вы только что создали сертификат в Центре сертификации Windows Server 2012 R2!

Помните, что хранение и управление сертификатами требует особой осторожности и безопасности. Обеспечьте безопасность своих сертификатов, регулярно обновляйте их и удаляйте ненужные сертификаты.

Теперь вы знаете, как создать сертификат в Центре сертификации Windows Server 2012 R2. Следуйте этой инструкции и вы сможете генерировать и управлять сертификатами по своему усмотрению, обеспечивая безопасность своей сети и информации.

Описание Центра сертификации Windows Server 2012 R2

Центр сертификации Windows Server 2012 R2 (Certification Authority) представляет собой компонент операционной системы Windows Server, который позволяет создавать, управлять и распространять электронные сертификаты.

Сертификаты, созданные с помощью Центра сертификации Windows Server 2012 R2, используются для аутентификации, шифрования, цифровой подписи и других операций, связанных с обеспечением безопасности информации.

Центр сертификации Windows Server 2012 R2 предоставляет гибкую систему настройки и управления сертификатами, позволяя задавать правила выдачи, сроки действия, уровень безопасности и другие параметры сертификатов.

Для работы с Центром сертификации Windows Server 2012 R2 необходимо выполнить установку роли «Удостоверяющий центр» (Certification Authority) на сервере с установленной операционной системой Windows Server 2012 R2.

После установки роли «Удостоверяющий центр» и настройки параметров, Центр сертификации Windows Server 2012 R2 готов к созданию и управлению сертификатами.

Чтобы создать сертификат в Центре сертификации Windows Server 2012 R2, необходимо выполнить следующие шаги:

1. Открыть Центр сертификации Windows Server 2012 R2;
2. Выбрать тип сертификата (личный или удостоверяющий центр);
3. Задать параметры сертификата (имя, описание, срок действия и другие);
4. Сгенерировать закрытый ключ и запрос на сертификат (Certificate Signing Request);
5. Отправить запрос на сертификат на сервер Центра сертификации;
6. Подтвердить запрос и получить сертификат.

Кроме того, Центр сертификации Windows Server 2012 R2 позволяет выполнять другие операции с сертификатами, такие как отзыв и повторную выдачу, управление списками отозванных сертификатов и т. д.

Использование Центра сертификации Windows Server 2012 R2 позволяет организациям эффективно управлять безопасностью информации, обеспечивать аутентификацию пользователей и компьютеров, а также обеспечивать шифрование данных для защиты от несанкционированного доступа.

Шаг 1: Установка службы Active Directory Certificate Services (AD CS)

Перед созданием сертификатов в Центре сертификации Windows Server 2012 R2 необходимо установить службу Active Directory Certificate Services (AD CS). Для этого выполните следующие действия:

1. Откройте «Установку ролей и компонентов» в меню «Управление сервером».
2. Перейдите на вкладку «Роли» и выберите «Active Directory Certificate Services».
3. Нажмите «Далее» и принимайте все значения по умолчанию, указывая соответствующие настройки.
4. На странице «Сервисы роли» активируйте «Центр сертификации» и «Веб-службы сертификатов».
5. Установите все зависимости и дополнительные файлы, необходимые для работы службы, нажав «Далее».
6. Пройдите через остальные страницы мастера установки, принимая значения по умолчанию, и завершите процесс установки.
7. После установки службы AD CS перезагрузите сервер, если потребуется.

После завершения установки службы AD CS вы будете готовы к созданию и управлению сертификатами в Центре сертификации Windows Server 2012 R2.

Регистрация в Центре сертификации Windows Server 2012 R2

Для начала процесса регистрации необходимо выполнить следующие шаги:

1. Запустите Центр сертификации Windows Server 2012 R2, нажав на соответствующую иконку в панели инструментов.
2. В появившемся окне выберите опцию «Регистрация нового пользователя» и нажмите «Далее».
3. Введите необходимые данные для создания учетной записи нового пользователя, такие как имя, фамилию и адрес электронной почты. Убедитесь, что выбрано правильное местоположение учетной записи.
4. Выберите тип пользователя, для которого будет создан сертификат, и установите необходимые разрешения доступа.
5. Подтвердите введенные данные и нажмите «Завершить» для завершения регистрации нового пользователя в Центре сертификации.

После завершения регистрации, пользователю будет назначен уникальный идентификатор и создана учетная запись в Центре сертификации Windows Server 2012 R2. Теперь вы можете приступить к созданию и выпуску сертификатов для данного пользователя и установке их на сервер для обеспечения безопасности ишифрования данных.

Регистрация в Центре сертификации Windows Server 2012 R2 является важным шагом для обеспечения безопасности и защиты вашего сервера. Следуя указанным выше инструкциям, вы сможете успешно зарегистрироваться в Центре сертификации и получить необходимые сертификаты.

Шаг 2: Создание запроса на сертификат

После настройки Центра сертификации Windows Server 2012 R2 необходимо создать запрос на сертификат, который будет отправлен в удостоверяющий центр (УЦ). Это позволит получить цифровой сертификат для использования на сервере.

Следуйте этим шагам, чтобы создать запрос на сертификат:

1. Откройте консоль управления Центром сертификации, нажав клавишу Win+X и выбрав пункт «Центр сертификации».
2. На панели инструментов выберите «Создание запроса на сертификат».
3. В появившемся окне «Создание запроса на сертификат» укажите данные для создания сертификата, такие как имя сервера, название организации, дополнительные сведения и т. д.
4. Выберите подходящий алгоритм шифрования и ключевые параметры для сертификата.
5. Укажите имя файла и путь для сохранения запроса на сертификат.
6. Нажмите «ОК», чтобы завершить создание запроса на сертификат.

После создания запроса на сертификат необходимо отправить его в УЦ для получения самого сертификата. Для этого обратитесь к инструкциям удостоверяющего центра.

Выбор типа сертификата

В Центре сертификации Windows Server 2012 R2 предоставляется возможность создания разных типов сертификатов в зависимости от потребностей и целей.

Основные типы сертификатов, которые можно создать, включают:

• Самоподписанный сертификат: создается самостоятельно и не требует подтверждения со стороны других организаций или учреждений. Удобен для тестирования или использования внутри организации.
• Сертификат службы Active Directory: используется для обеспечения безопасности служебных учетных записей в Active Directory.
• Сертификат шлюза Интернета: предназначен для использования в сети шлюза Интернета и обеспечивает безопасную связь с внешними ресурсами.
• Сертификат веб-службы: используется для обеспечения безопасности веб-служб и обмена данными.
• Сертификат персонала: выдается от имени конкретного пользователя и используется для идентификации его личности.
• Сертификат устройства: выдается устройству и используется для его идентификации и обеспечения безопасной коммуникации.

Выбор типа сертификата должен базироваться на конкретных потребностях организации или пользователей. При выборе типа сертификата необходимо учесть его предназначение и возможность его использования в конкретной ситуации.

Шаг 3: Создание запроса на сертификат

Чтобы создать сертификат в Центре сертификации Windows Server 2012 R2, необходимо сначала создать запрос на сертификат. Этот запрос будет содержать информацию о том, какие данные должны быть включены в сертификат.

Для создания запроса на сертификат выполните следующие действия:

1. Откройте Центр сертификации Windows Server 2012 R2.
2. На панели навигации выберите «Сертификаты».
3. В левом главном меню выберите «Запрос на сертификат».
4. Выберите тип сертификата, который вы хотите создать.
5. Нажмите кнопку «Далее».
6. Введите данные, которые должны быть включены в сертификат, такие как имя организации, владельца сертификата, доменное имя и другие.
7. Нажмите кнопку «Далее» и укажите расположение, где будет сохранен запрос на сертификат.
8. Проверьте введенные данные и нажмите кнопку «Завершить», чтобы создать запрос на сертификат.

После создания запроса на сертификат вы можете отправить его в Центр сертификации или сохранить для последующего использования. Далее вам понадобится подтвердить запрос на сертификат и получить готовый сертификат.

Заполнение анкеты для создания сертификата

Для создания сертификата в Центре сертификации Windows Server 2012 R2 требуется заполнить анкету, в которой указываются основные данные для сертификата. Ниже приведены шаги по заполнению анкеты:

Шаг 1:

Перейдите на веб-страницу Центра сертификации и выберите опцию «Создать сертификат».

Шаг 2:

Заполните следующие поля:

— Название сертификата: введите название сертификата, которое будет использоваться для его идентификации;

— Компания: указываете название вашей компании;

— Адрес электронной почты: введите вашу электронную почту;

— Страна/регион: выберите вашу страну или регион;

— Штат: укажите штат или область, где находится ваша компания;

— Город/населенный пункт: введите название города или населенного пункта, где находится ваша компания;

— Отдел/подразделение: укажите отдел или подразделение компании;

— Использовать имя субъекта из указанного субъекта запроса (CSR): установите флажок, чтобы использовать имя субъекта из CSR.

Шаг 3:

Проверьте правильность заполнения всех полей и нажмите кнопку «Создать».

После успешного заполнения анкеты и создания сертификата вы получите файл сертификата, который можно будет использовать для различных целей, например, для обеспечения безопасного соединения с сервером.

Раздел содержит инструкцию по установке и настройке Служб сертификации в операционной системе Windows Server 2016.

Для настройки необходим компьютер с установленной операционной системой Windows 2016 Server Rus и драйверами Рутокен, а также дистрибутив этой ОС.

Все описанные далее действия производятся с правами администратора системы.

В качестве примера используется учетная запись Administrator.

Этапы установки и настройки Служб сертификации:

1 этап: Установка Служб сертификации.

2 этап: Добавление шаблонов сертификатов в Центр Сертификации.

3 этап: Выписка сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли.

Установка Служб сертификации

Для установки Служб сертификации:

1. Откройте Диспетчер серверов.
2. Щелкните по названию пункта меню Управление и выберите пункт Добавить роли и компоненты.  
   
3. В окне Мастер добавления ролей и компонентов ознакомьтесь с информацией и нажмите Далее.
   
4. Установите переключатель в положение Установка ролей или компонентов и нажмите Далее.
   
5. Установите переключатель в положение Выберите сервер из пула серверов.
6. В таблице Пул серверов щелкните по имени необходимого сервера.
7. Нажмите Далее. 
   
8. Установите флажок Службы сертификатов Active Directory. 
   
9. В появившемся окне нажмите Добавить компоненты. В результате флажок отобразится рядом с названием выбранной роли сервера.
   
10. Нажмите Далее.
11. В окне для выбора компонентом нажмите Далее.  
    
12. Ознакомьтесь с информацией и нажмите Далее.
    
13. Установите флажок Центр сертификации и нажмите Далее. 
    
14. Чтобы запустить процесс установки нажмите Установить.
    
15. Дождитесь завершения процесса установки и нажмите Закрыть.
    
16. В левой части окна Диспетчер серверов щелкните по названию пункта Службы сертификации Active Directory.
17. Щелкните по восклицательному знаку.
18.  Щелкните по ссылке Настроить службы сертификатов Active Directory.
    
19. Ознакомьтесь с информацией и нажмите Далее.
    
20. Установите флажок Центр сертификации и нажмите Далее. 
    
21. Установите переключатель рядом с названием необходимого варианта установки ЦС (в данном примере выбирается ЦС предприятия) и нажмите Далее.
    
22. Установите переключатель рядом с названием типа ЦС (в данном примере выбирается Корневой ЦС, поскольку это будет основной центр сертификации в домене). Нажмите Далее.
    
23. В окне для указания типа закрытого ключа укажите секретный ключ, который будет использоваться для центра сертификации (в данном примере выбирается пункт Создать новый закрытый ключ, поскольку ранее не был создан секретный ключ для центра сертификации). Нажмите Далее. 
    
24. В следующем окне для указания параметров шифрования в раскрывающемся списке Выберите поставщик служб шифрования выберите криптопровайдер. 
25. В раскрывающемся списке Длина ключа выберите необходимое значение.
26. Щелкните по названию необходимого хеш-алгоритма.
27. Нажмите Далее.
    

28. В окне для указания имени ЦС введите значения всех полей и нажмите Далее.
    

    Введенные здесь данные носят информативный характер. Рекомендуется их внести. Аббревиатуры несут следующий смысл: «O» — Organization, «OU» — Organization Unit, «L» — City (Location), «S» — State or province, «C» — Country/region, «E» — E-mail.

29. Введите период действия сертификата для создаваемого ЦС.
    

    По истечении срока действия сертификата ЦС необходимо будет перевыпустить сертификаты всем действующим пользователям.

30. В поле Расположение базы данных сертификатов введите путь до базы данных сертификатов и нажмите Далее. 
    
31. Ознакомьтесь с информацией и нажмите Настроить.
    
32. Дождитесь завершения процесса установки и нажмите Закрыть.  
     

Добавление шаблонов сертификатов в Центр Сертификации

Для добавления шаблонов сертификатов:

1. Откройте Панель управления.
2. Два раза щелкните по названию пункта Администрирование.
3. Два раза щелкните по названию оснастки Центр сертификации.
   
4. Правой кнопкой мыши щелкните по названию папки Шаблоны сертификатов и выберите пункт Управление. 
   
5. Правой кнопкой мыши щелкните по названию шаблона Пользователь со смарт-картой и выберите пункт Скопировать шаблон. Откроется окно Свойства нового шаблона.
   

   

6. Выберите следующие настройки: 
   

   

   Значение параметра Минимальный размер ключа должно быть не менее 1024.

7. Нажмите Применить.
8.  Нажмите OK.
9. Перейдите в окно Центр сертификации.
10. Правой кнопкой мыши щелкните по названию папки Шаблоны сертификатов.
11. Выберите пункт Создать и подпункт Выдаваемый шаблон сертификата.
12. В окне Включение шаблонов сертификатов щелкните по названию шаблона Агент регистрации.
13. Удерживайте клавишу Ctrl.
      
14. Щелкните по названию шаблона Пользователь с RuToken.
15. Нажмите ОК.
16. Закройте окно Центр сертификации. 

Выписка сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли

Для выписки сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли:

1. Нажмите комбинацию клавиш Windows + X и выберите пункт меню Выполнить. 
2. Введите команду «mmc» и нажмите ОК.
   
3. В окне Консоль1 выберите пункт меню Файл и подпункт Добавить или удалить оснастку…
   
4. В левой части окна Добавление и удаление оснастки щелкните по названию оснастки Сертификаты.
5. Нажмите Добавить.
   
6. В открывшемся окне установите переключатель моей учетной записи пользователя и нажмите Готово.
   
7. В окне Добавление и удаление оснасток нажмите ОК.
8. В левой части окна Консоль 1 щелкните по названию папки Личные.
9. Щелкните по названию папки Сертификаты.
10. В правой части окна щелкните правой кнопкой мыши в свободном месте окна.
11. Выберите пункт Все задачи и подпункт Запросить новый сертификат…
    
12. В окне Регистрация сертификатов ознакомьтесь с информацией и нажмите Далее. 
    
13. Нажмите Далее. 
    
14. Установите флажок Администратор и нажмите Заявка.
    
15. Нажмите Готово.
    
16. В левой части окна Консоль  1 щелкните по названию папки Личное.
17. Щелкните по названию папки Сертификаты.
18. В правой части окна щелкните правой кнопкой мыши в свободном месте окна.
19. Выберите пункт Все задачи и подпункт Запросить новый сертификат…
    
    
20. В окне Регистрация сертификатов ознакомьтесь с информацией. Нажмите Далее. 
21. Нажмите Далее. 
22. Установите флажок Агент регистрации и нажмите Заявка.
    
23. Нажмите Готово.
24. В левой части окна Консоль 1 щелкните по названию папки Личное.
25. Правой кнопкой мыши щелкните по названию папки Сертификаты и выберите пункт Все задачи.
26. Выберите подпункт Дополнительные операции.
27. Выберите подпункт Зарегистрироваться от имени…
    
28. Ознакомьтесь с информацией и нажмите Далее.
29. Нажмите Далее. 
30. Нажмите Обзор.
    
31. Щелкните по имени сертификата типа Агент регистрации (чтобы определить тип сертификата откройте свойства сертификата).
32. Нажмите ОК.
    
33. Нажмите Далее.
    
34. Установите переключатель в положение Пользователь с RuToken и нажмите Далее. 
    
35. В окне Регистрация сертификатов нажмите Обзор.
    
36. В поле Введите имена выбираемых объектов введите имя пользователя, которому будет выписан сертификат типа Пользователь с RuToken.
37. Нажмите Проверить имена. 
    
38. Нажмите OK.
    
39. Поле Имя пользователя или псевдоним заполнится автоматически.
40. Нажмите Заявка.
    
41. Введите PIN-код Пользователя и нажмите OK. 
    
42. Нажмите Закрыть. 
    
43. В результате сертификат типа Пользователь с RuToken выписан и сохранен на токене.
44. Чтобы просмотреть свойства этого сертификата нажмите Просмотреть сертификат.
    
45. Чтобы закрыть окно сертификата нажмите OK.
46. Аналогичным способом выпишите сертификаты для всех пользователей, которым они необходимы. Пользователю Администратор так же необходимо выписать сертификат типа Пользователь с RuToken.
47. В окне Консоль 1 выберите пункт: Файл — Добавить или удалить оснастку.
    
    
48. В окне для добавления и удаления оснастки выберите в списке доступных оснасток пункт Сертификаты.
    
    
49. Установите переключатель учетные записи компьютера.
    
    
50. Выберите пункт: Корень консоли — Сертификаты — Личные — Сертификаты — Все задачи — Запросить новый сертификат.
    
    
51. Установите галочку Проверить подлинности контроллера домена и нажмите Заявка.
    
    

52. Закройте окно Консоль1. Для сохранения консоли нажмите Да.
    

    Рекомендуется сохранить данную консоль для удобства использования в дальнейшем. Причем если работать в системе с правами учетной записи User, то в консоли Сертификаты — текущий пользователь будут отображаться сертификаты пользователя User. Любой пользователь домена на локальном компьютере из консоли Сертификаты — текущий пользователь может запросить сертификат.

53. Если консоль не надо сохранять, то нажмите Нет. При этом не сохранятся только настройки консоли, выписанные сертификаты будут сохранены в системе.
54. Введите имя файла для хранения настроек консоли и нажмите Сохранить.
    

На этом настройка Центра Сертификации и выдача сертификатов пользователям завершена.  

In an earlier article, I showed you how to build a fully-functional two-tier PKI environment. At the end of that piece, I left you with the most basic deployment. In a second article, I showed you how to set up certificate templates. I will use this article to show you how to perform the most common day-to-day operations: requesting certificates from a Windows Certification Authority.

I used “SSL” in the title because most people associate that label with certificates. For the rest of the article, I will use the more apt “PKI” label.

The PKI Certificate Request and Issuance Process

Fundamentally, the process of requesting and issuing PKI certificates does not depend on any particular vendor technology. It follows this pattern:

1. A public and private key is generated to represent the identity.
2. A “Certificate Signing Request” (CSR) is generated using the public key and some information about the identity.
3. The certification authority uses information from the CSR, its own public key, authorization information, and a “signature” generated by its private key to issue a certificate.

The particulars of these steps vary among implementations. You might have some experience generating CSRs to send to third-party signers. You might also have some experience using web or MMC interfaces. All the real magic happens during the signing process, though. Implementations also vary on that, but they all create essentially the same final product.

I want you to focus on the issuance portion. You do not need to know in-depth details unless you intend to become a security expert. However, you do need to understand that certificate issuance follows a process. Sometimes, an issuer might automate that process. You may have encountered one while signing up for a commercial web certificate. Let’s Encrypt provides a high degree of automation. At the other end, “Extended Validation” certificates require a higher level of interaction. At the most extreme, one commercial issuer used to require face-to-face contact before issuing a certificate. Regardless of the degree, every authority defines and follows a process that determines whether or not it will issue.

In your own environment, you can utilize varying levels of automation. More automation means more convenience, but also greater chances for abuse. Less automation requires greater user and administrative effort but might increase security. I lean toward more automation, myself, but will help you to find your own suitable solutions.

Auto-Enroll Method

I am a devoted fan of auto-enrollment for certificates. You only need to set up a basic group policy object, tie it to the right places, and everything takes care of itself.

If you recall from the previous article on certificate templates, you control who has the ability to auto-enroll a certificate by setting security on the template. You use group policy to set the scope of who will attempt to enroll a certificate.

In the above graphic, the template’s policy allows all members of the default security group named “Domain Computers” to auto-enroll. Only the example “Certified Computers” OU links a group policy that allows auto-enrollment. Therefore, only members of the Certified Computers OU will receive the certificate. However, if Auto-Enroll is ever enabled for any other OU that contains members of the “Domain Computers” group, those members will receive certificates as well.

In summary, in order for auto-enroll to work, an object must:

• Have the Autoenroll security permission on the certificate template
• Fall within the scope of a group policy that enables it to auto-enroll certificates

You saw how to set certificate template security permissions in the previous article. We’ll go to the auto-enrollment policies next.

Auto-Enrollment Group Policies

The necessary policies exist at Computer or User ConfigurationPoliciesWindows SettingsSecurity SettingsPublic Key Policies. I am concerned with two policies: Certificate Services Client – Auto-Enrollment Settings and Certificate Services Client – Certificate Enrollment Policy.

First, Certificate Services Client – Auto-Enrollment Settings. To get going, you only need to set Configuration Model to Enabled. The default enrollment policy uses Windows Authentication to pull certificate information from Active Directory. If you’ve followed my directions, then you have an Active-Directory-integrated certification authority and this will all simply work. You will need to perform additional configuration if you need other enrollment options (such as requesting certificates from non-domain accounts).

Second, Certificate Services Client – Certificate Enrollment Policy. You only need to set Configuration Model to Enabled. Choose other options as desired.

I think the first option explains itself. The second, Update certificates that use certificate templates, allow the certificate bearer to automatically request a replacement certificate when the certificate has updates. I showed you how to do that in the previous article.

Auto-Enrollment Security Implications

In general, you should not have many concerns with automatic certificate issuance. As followed so far, my directions keep everything under Active Directory’s control. However, you can enable auto-enrollment using other techniques, such as simple user/password verification via a URI. Anyone with local administrative powers can set local policies. Certificate templates can allow the requester to specify certificate subject names. Furthermore, some systems, like network access controls, sometimes simply require a particular certificate.

Think through who can request a certificate and who will accept them when configuring auto-enrollment scopes.

MMC Enrollment Procedure

MMC enrollment provides a great deal of flexibility. You can request certificates for you, your computer, or another entity entirely. It works on every single version of Windows and Windows Server in support, as long as they have a GUI. Since you can connect the console to another computer, you can overcome the need for a GUI. The procedure takes some effort to explain, but don’t let that deter. Once you have the hang of it, you can get through the process quickly.

First, you need to access the necessary console.

Accessing Certificate MMCs on Recent Windows Versions

On Windows 10 or Windows Server 2016+, just open up the Start menu and start typing “certificate”. At some point, Cortana will figure out what you want and show you these options:

These options will work only for the local computer and the current user. If you want to target another computer, you can follow the upcoming steps.

Note: If you will use the console to request a certificate on behalf of another entity, it does not matter which console you start. The certificate template must allow exporting the private key for this mode to have any real use.

Accessing Specific Certificate MMCs Directly

On any version of Windows, you can quickly access the local computer and user certificates by calling their console snap-ins. You can begin from the Start menu, a Run dialog, or a command prompt. For the local computer, you must run the console using elevated credentials. Just enter the desired snap-in name and press Enter:

• certlm.msc: Local machine certificates
• certmgr.msc: Current user certificates

Note: If you will use the console to request a certificate on behalf of another entity, it does not matter which console you start. The certificate template must allow exporting the private key for this mode to have any real use.

Manually Add Specific Certificate Targets in MMC

You can manually add the necessary snap-in(s) from an empty MMC console.

1. From the Start menu, any Run dialog, or a command prompt (elevated, if you need to use a different account to access the desired target), run mmc.exe.
   
2. From the File menu, select Add/Remove Snap-in…
   
3. Highlight Certificates and click Add:
   
4. Choose the object type to certify. In this context, My user account means the account currently running MMC. If you pick My user account, the wizard finishes here.
   
5. If you picked Service account or Computer account in step 4, the wizard switches to the computer selection screen. If you choose any computer other than local, you will view that computer’s certificate stores and changes will save to those stores. If you choose Computer account, the wizard finishes here.
   
6. If you selected Service account in step 4, you will now have a list of service accounts to choose from.
   
7. If you want, you can repeat the above steps to connect one console to multiple targets:
   
8. Once you have the target(s) that you like, click OK on the Add or Remove Snap-ins window. You will return to the console and your target(s) will appear in the left pane’s tree view.

Using the Certificates MMC Snap-In to Request Certificates

Regardless of how you got here, certificate requests all work the same way. We operate in the Personal branch, which translates to the My store in other tools.

Requesting a Certificate Using Template Defaults

You can quickly enroll a certificate template with template defaults. This is essentially the manual corollary to auto-enroll. You could use this method to perform enrollment on behalf of another entity, provided that you the template allows you to override the subject name. For that, you must have selected a console that matches the basic certificate type (a user console can only request user certificates and a computer console can only request computer certificates). You must also use an account with Enroll permissions on the desired template. I recommend that you only use this method to request certificates for the local computer or your current user. Skip to the next section for a better way to request certificates for another entity.

To request a certificate using a template’s defaults:

1. Right-click Certificates and click Request New Certificate.
   
2. The first screen is informational. The next screen asks you for a certificate enrollment policy. Thus far, we only have the default policy. You would use the Configured by you policy if you needed to connect without Active Directory. Click Next.
   
3. You will see certificate templates that you have Enroll permissions for and that match the scope of the console. In this screenshot, I used a computer selection, so it has computer certificates. If you expand Details, it will show some of the current options set in the certificate. If you click Properties, you can access property sheets to control various aspects of the certificate. I will go over some of those options in the next section. Remember that the certificate template to manually supply subject name information or it will ignore any such settings in your requests. Click Enroll when you are ready. The certificate will appear in the list.
   

Once you have a certificate in your list, double-click it or right-click it and click Open. Verify that the certificate looks as expected. If you requested the certificate for another entity, you will find the Export wizard on the certificate’s All Tasks context menu.

Creating an Advanced Certificate Request

You can use MMC to create an advanced certificate request. Most importantly, this process works offline by creating a standard certificate signing request file (CSR). Since it does not check your permissions in real time, you have much greater flexibility. I recommend that you use this method when requesting certificates on behalf of another entity. Follow these steps:

1. Right-click Certificates, go to All Tasks, then Advanced Operations, and click Create Custom Request.
   
2. The first screen is informational only. Click Next. On the next screen, choose your enrollment policy. If you’ve followed my guide, you only have two (real) choices: the default Active Directory policy or a completely custom policy. You could also choose to create a new local policy, which I will not cover. If you pick the Active Directory policy, it will allow you to pick from all of its known templates, which you can customize if needed. If you choose to Proceed without enrollment policy, you will start with an empty template and need to provide almost every detail. Make your selection and click Next.
   
3. I took this screenshot after choosing the Active Directory enrollment policy. I then selected one base template. You can see that you also have options for the CSR format to use. If you chose to proceed without a policy, your Template options are No template (CNG key) or No template (Legacy key). CNG (Certificate Next Generation) creates v3 certificates while the Legacy option generates v2 certificates. Practically, they mostly deal with how the private key is stored and accessed. Common Microsoft apps (like IIS) work with CNG. Legacy works with almost everything, so choose that if you need to guess.
   
4. On the Certificate Information screen, you will either see the template name that you chose or Custom request if you did not select an enrollment policy. To the right of that, near the edge of the dialog, click the down-pointing triangle next to Details. If you selected a policy, that will show the defaults. If you did not, it will show empty information. Click the Properties button to access property sheets where you can specify certificate options. Look at the screenshot in step 3 in the previous section. I will show the details dialog in the next section. Click Next when you have completed this screen.
5. Choose the output file name and format. Most CAs will work with either type. Most prefer the default of Base64.
   
6. You can now process the request on your Certification Authority.

Configuring Advanced Certificate Options in a Request

As mentioned step 3 in the above directions on using MMC to request a default template and in step 4 of the advanced request, you can use the Properties button on the Details section to modify parts of the certificate request prior to submitting it to the CA. If you selected a template that requires you to supply information, you will see an additional link that opens this dialog. You should always take care to inspect such a certificate after issuance to ensure that the CA honored the changes.

I will not cover every single detail. We will look at a few common items.

• General: These fields are cosmetic. They appear when you see the certificate in the list.
  
• Subject: This busy tab contains identity information about the certificate holder. If the template only allows Active Directory information, then the CA will not accept anything that you enter here. For each type on the left, you can add multiple values. Make certain that you Add items so that they move to the right panes! Some of the more important parts:
  • Subject Name group: The fields in this group appear all combine to describe the certificate holder.
    • Common name: The primary identity of the certificate. Use a fully-qualified domain name for a computer or a full name for a user. Modern browsers no longer accept the value in the common name for authentication. Other tools still expect it. Always provide a value for this field to ensure the completeness of the subject group.
    • Country, Locality, Organization, etc.: Public CAs often require several of these other identity fields.
  • Alternative Name group: The fields in this group appear in the “Subject Alternate Name” (SAN) section of a certification. Browsers and some other tools will match entries in the SAN fields with the URL or other access points
    • DNS: Use this field to designate fully-qualified and short names that clients might use to access the certificate holder. Since web browsers no longer use the common name, enter all names that the owner might present during communications, including what you entered as the common name. Only use short names with LAN-scoped certificates. For instance, I might have a certificate with a common name of “internalweb.sironic.life” and give it an alternative DNS entry of “internalweb”. For load-balanced servers in a farm, I might have multiple DNS entries like “webserver1.sironic.life”, “webserver2.sironic.life”, etc.
    • IP Address (v4 and v6): If clients will access the certified system by IP address, you might want to add those IPs in these fields.

The wizard will contain your options in the certificate request. The CA may choose to issue the certificate without accepting all of them.

Handling Certificate Signing Requests from a Linux System on a Microsoft Certification Authority

You can use a utility on a non-Windows system to create certificate requests. Linux systems frequently employ OpenSSL. These non-Microsoft tools generally do not know anything about templates, which the Windows Certification Authority requires. You could use the MMC tool on a Windows system to request a certificate on behalf of another. But, if you have a certificate signing request file, you can use the certreq.exe tool on a Windows system to specify a template during the request.

You can use OpenSSL to create CSRs fairly easily. Most of the one-line instructions that you will find today still generate basic requests that identify the system with the Common Name field. Modern browsers will reject such a certificate. So, generating a usable CSR takes a bit more work.

1. Locate openssl.cnf on your Linux system (some potential locations: /etc/pki/tls, /etc/ssl). I recommend creating a backup copy. Open it in the text editor of your choice.
2. Locate the [ req ] section. Find the following line, and remove the # that comments it out (or add it if it is not present):

   req_extensions = v3_req

3. Locate the section named [ v3_req ]. Create one if you cannot find it. Add the following line:

   subjectAltName = @alt_names

4. Create a section named [ alt_names ]. Use it to add at least the system’s Common Name. You can use it to add as many names as you like. It will also accept IP addresses. If you will host the system on an internal network, you can use short names as well. Remember that most public CAs will reject CSRs with single-level alternative names because it looks like you are trying to make a certificate for a top-level domain.

   [ alt_names ]
   DNS.1 = pkidemo.sironic.life
   DNS.2 = pkidemo   # only works internally
   DNS.3 = load-balanced-pkidemo.sironic.life
   IP.1 = 192.168.20.47
   IP.2 = 10.10.60.3
   

5. Make any other changes that you like. Remember that if the CA has a preset value for a setting, it will override. Save the file and exit your editor.
6. Make sure that you’re in a directory that your current user account can write in and that you can transfer files out of. You could:

   mkdir ~/csr
   cd ~/csr

7. Execute the following (feel free to research these options and change any to fit your needs):

   openssl req -new -newkey rsa:2048 -keyout demo.key -out demo.csr -nodes

8. You will receive prompts for multiple identifier fields. If you explicitly set them in openssl.cnf, then it will present them as defaults and you can press Enter to accept them. I recommend skipping the option to create a challenge password. That does not passphrase-protect the key. To do that, you first need to run openssl with the genpkey command, then pass the generated key file to the openssl req command using the key parameter instead of newkey/keyout. A ServerFault respondent explains the challenge password and key passphrase well, and includes an example.
9. Move the key file to a properly secured location and set permissions accordingly. Remember that if anyone ever accesses this file, then your key, and therefore any certificate generated for it, is considered compromised. Do not transfer it off of its originating system! Example location: /etc/pki/tls/private.
10. Transfer the CSR file to a Windows system using the tool of your choice.
11. On the Windows system, ensure that you have logged on with an account that has Enroll permissions for the template that you wish to use.
12. Discover the Name of the template. Do not use the Display Name (which is usually the Name, with spaces). You can uncover the name with PowerShell if you have the ADCSAdministration module loaded. Use Get-CATemplate:
    
    Alternatively, open up the Certification Authority snap-in and access template management. Find the template you want to use and open its properties sheet. Check the Template name field.
    
13. On the Windows system where you transferred the file, run the following, substituting your file name and template name:

    certreq -submit -attrib "CertificateTemplate:SironicWebServerManual"

14. The utility will ask you to browse to the request file. You may need to change the filter to select all files.
    
15. You will next need to select the certification authority.
    
16. The utility will show the CA’s response to your request. If it issues a certificate, it will prompt you to save it. Be aware that even though you can choose any extension you like, it will always create an x509 encoded certificate file.
    

At this point, you have your certificate and the request/signing process is complete. However, in the interest of convenience, follow these steps to convert the x509 certificate into PEM format (which most tools in Linux will prefer):

1. Transfer the certificate file back to the Linux system.
2. Run the following:

   openssl x509 -in pkidemo.crt -outform PEM -out pkidemo.pem

3. Move the created file to its final location (such as /etc/pki/tls/certs).

This procedure has multiple variants. Check the documentation or help output for the commands.

Deprecated Web Enrollment Method

Once upon a time, Microsoft built an ASP page to facilitate certificate requests. They have not updated it for quite some time, and as I understand it, have no plans to update it in the future. It does still work, though, with some effort. One thing to be aware of: it can only provide v2 (legacy) certificates. It was not updated to work with v3 (CNG). If a certificate template specifies the newer cryptography provider, web enrollment will not present it as an enrollable option. Certificates must use the Legacy Cryptographic Service Provider.

First, you must issue it a certificate. It responds on 80 and 443, but some features behave oddly on a port 80 connection. Installation of the Web Enrollment role creates the web site and enables it for 443, but leaves it without a certificate.

Follow the steps in the previous article to set up a web server certificate (requires Server Authentication extended key usage). Once you finish that, use one of the MMC methods above to request a certificate for the site. Remember to use its FQDN and optionally its NetBIOS names as DNS fields on the Subject tab. Then, follow these steps to assign it to the certificate server’s web site:

1. Open Internet Information Services (IIS) Manager on the system running the Web Enrollment service or on any system that can connect to it.
2. Highlight the server in the left pane. In the right pane, under IIS, double-click Server Certificates.
   
   
3. The newly-issued certificate should appear here. Highlight it and click Enable automatic rebind of renewed certificate in the right pane. If it does not appear here, verify that it appears in MMC and reload this page. If it still does not appear, then you made a mistake during the certificate request or issuance process.
4. In the left pane, drill down from the server name to Sites, then Default Web Site. Right-click Default web site and click Edit Bindings. You can also find a Bindings link in the far right pane.
   
5. Double-click the https line or highlight it and click Edit… at the right.
   
6. Under SSL certificate, choose the newly-issued certificate. Click OK, then Close to return to IIS Manager.
   
7. Drill down under Default web site and click on CertSrv. In the center pane, double-click Authentication.
   
8. In the center pane, highlight Windows Authentication. It should already be Enabled. In the right pane, click Providers.
   
9. NTLM should appear in the provider list. If it does not, use the drop-down to select it, then Add to put it in the list. Use the Up button to move NTLM to the top of the list. Ensure that your dialog looks like the following screenshot, then click OK.
   

You can now access the site via https://yourcertserver.domain.tld/certsrv. You will need to supply valid credentials. It will display the start screen, where you can begin your journey.

Because of the v2 certificate limitation, I neither use nor recommend this site for certificate requests. However, it does provide a convenient access point for your domain’s certificate chain and CRL.

Alternative Request Methods

The methods that I displayed above are the easiest and most universally-applicable ways to request certificates. However, anything that generates a CSR may suffice. Some tools have interfaces that can communicate directly with your certificate server. Some examples:

• certreq.exe: Microsoft provides a built-in command-line based tool for requesting certificates. You can use it to automate bulk requests without involving auto-enroll. Read up on its usage on docs.microsoft.com.
• IIS Manager
• Exchange Management Console

Other tools exist.

What’s Next

At this point, you can create PKI certificate templates and request them. With an Active Directory-integrated certificate system, all should work easily for you. However, if you were following the directions for the custom request, you ended up with a CSR. Passing a CSR to the certification authority requires different tools. In the next article, I will show how to perform routine operations from the Certification Authority side, such as accepting CSRs and revoking certificates.