Сертификаты windows server 2008 r2

Установка корневого центра сертификации Microsoft CA на MS Windows Server 2008 R2

Назначение корпоративного центра сертификации

Шифрование, сертификаты, цифровые подписи плотно вошли в повседневную
деятельность организаций. Ведущие игроки на рынке программного активно
продвигают идеологию «безопасного интернета», требуя поддержки цифровых
сертификатов.

Однако текущее положение в этой области не позволяет решать вопросы
безопасного интернета без существенных финансовых затрат на
приобретение SSL- сертификатов. При этом
бесплатные сертификаты сервиса
Let’s Encrypt покрывают лишь узкий спектр корпоративных потребностей в
сертификатах. Например, не покрываются сертификаты для шифрования
документов, почты, цифровых подписей, аутентификация клиентов. Для
использования публичных сертификатов, выданных коммерческими CA вам
необходимо иметь публичный домен. Получить сертификат для веб-сервера
на имя domain.local от Let’s Encrypt технически невозможно. Именно
поэтому актуальность частных корпоративных центров сертификации
остаётся на очень высоком уровне.

Двухуровневая схема развертывания иерархии центра сертификации (ЦС) для
небольших и средних предприятий является наиболее оптимальной,
поскольку она позволяет обеспечить должный уровень безопасности и
приемлемый уровень гибкости разделения ЦС на определённые функции.

Здесь корневой ЦС
выпускает сертификаты для подчинённых ЦС, а уже
подчинённый ЦС
выдаёт сертификаты конечным потребителям. Это позволяет
изолировать корневой ЦС от сети, что автоматически сводит к нулю шанс
компрометации такого ЦС. Основное время корневой ЦС жизни может и
должен проводить в выключенном состоянии. Включать его нужно только для
обновления собственного сертификата, подчинённого ЦС или для публикации
нового списка отозванных сертификатов (CLR). Другим достоинством
двухуровневой иерархии является улучшенная гибкость в разбиении
подчинённых ЦС на классы, например, для разных групп потребителей или
отдельно для рабочих станций, отдельно для пользователей.

Также можно выделить один ЦС для выдачи сертификатов с повышенными требованиями к
сертификатам (например, сертификаты для аутентификации и цифровой
подписи) и ЦС общего назначения.

Типовая схема двухуровневой схемы центра сертификации (ЦС):

Установка корневого центра сертификации Microsoft CA на MS Windows Server 2008 R2

Для того чтобы установить корневой центр сертификации, необходимо:

1. Создать файл политик центра сертификации.
2. Установить автономный корневой Центр сертификации (со службой
   сертификации и службой регистрации в центре сертификации через
   Интернет) MS Windows Server 2008 R2. Настроить службу на
   автоматический выпуск сертификатов.
3. Настроить службу на автоматический выпуск сертификатов.
4. Включить аудит работы службы, сделать настройки безопасности.
5. Добавить ссылки на точку распространения отозванных сертификатов и
   корневого сертификата центра сертификации, которые будут добавляться в
   каждый выпущенный сертификат.

Создание файла политик CAPolicy.inf корневого ЦС

Считаем, что для самоподписанного сертификата корневого Центра
сертификации нет необходимости указания точки распределения списка
отозванных сертификатов (расширение CDP). Для этого в файле политик
значение CRL Distribution Point (точка распределения списка отозванных
сертификатов) сделать пустым.

Содержимое файла CAPolicy.inf будет следующим:

[Version] Signature=”$Windows NT$”

[CRLDistributionPoint]

URL=» «

Установка службы сертификации из состава MS Windows

Установка службы сертификации производится с использованием Мастера
компонентов Windows в следующей последовательности:

1. Открыть окно Панели управления, выполнив команды Пуск, Панель управления.
2. В окне Панели управления открыть пункт Администрирование и выбрать
   Диспетчер сервера.
3. Выбрать пункт Роли. В правой части окна нажать Добавить роли и выделить пункт
   Службы сертификации Active Directory.
   В следующем окне мастера выбрать пункты Центр Сертификации —и Служба регистрации
   в центре сертификации через Интернет.



4. В появившемся окне нажать кнопкуДобавить требуемые службы роли:





5. Далее следует выбрать Автономный ЦС, затем – Корневой ЦС.
6. При создании нового ключа ЦС выбрать опцию Создать новый закрытый ключ.
7. Далее следует выбрать криптопровайдер RSA#Microsoft Software Key
   Storage Provider и установить опцию Разрешить взаимодействие с администратором,
   если центр сертификации обращается к закрытому ключу.



8. Далее следует ввести сведения о ЦС. Имя ЦС (в примере это MS-Root-CA)
   может быть введено как кириллицей, так и латиницей. При этом если имя
   вводится кириллицей, то его длина не должна превышать 50 символов. Если
   Имя вводится латиницей, то его длина не должна превышать 250 символов.
   Имя ЦС может быть любым.
9. Ввести сведения о Вашей организации по следующему
   примеру:

OU= название отдела

O=название организации

L=город местонахождения

C=RU

На сообщение о расширенной кодировке имен выбираем Да.

10. Далее нужно задать срок действия сертификата ЦС 15 лет и затем следовать указаниям Мастера
    установки службы, выбирая предлагаемые значения по умолчанию.

Настройка корневого Центра сертификации

Запускаем центр сертификации: Пуск\Все программы\Администрирование\Центр сертификации.

Просмотреть настройки Центра сертификации — вызвать контекстное меню и выбрать Свойства.

В окне можно просмотреть выпущенный самоподписанный сертификат корневого Центра сертификации
и проверить, какая информация легла в сертификат из файла политик CAPolicy.inf и при установке Центра
сертификации.

Настроить Модуль политики на выдачу сертификатов в
автоматическом режиме. Установить переключатель в строку Следовать параметрам…

Перейти в закладку Аудит. Включить протоколирование
событий безопасности. Активировать события безопасности, кроме Сохранение и
восстановление архивированных ключей и Запуск и остановка службы сертификатов Active Directory

Перейди в закладку Безопасность. Разрешите Администратору
запрашивать сертификаты:

Настройка публикации списка отозванных сертификатов

Перейти в закладку Расширения. В меню Выберите расширение
выбрать Точка распространения списка отзыва (CDP).
Удалить точки распространения, кроме C:\Windows.Добавить путь,
например, https://servername /Public/Certname.crl, где
servername – сервер, на котором будет настроено публичное
хранилище, а Certname – название сертификата.

Включить настройки Включать в CDP-расширение выданных сертификатов и
Включать в расширения IDP выданных CRL. Перезапустить центр сертификации.

В дополнение к CDP, необходимо сконфигурировать дополнение, включающее
информацию о локализации сертификата ЦС AIA. Для этого в поле Выберите расширение
перейти к Authority Information Access (AIA). Удалить доступы к
сведениям о центрах сертификации, кроме C:\Windows…. Добавить путь,
например, https://servername/Public/Certname.ce, где servername –
сервер, на котором будет настроено публичное хранилище, а Certname – название сертификата.

Включить настройки Включать в AIA-расширение выданных сертификатов.
Перезапустить Центр сертификации.

Поскольку значения дополнений CDP и AIA изменены, то для учета
изменений необходимо выпустить и опубликовать CRL. Для публикации CRL
необходимо в дереве консоли Центра сертификации нажать правой кнопкой
мыши на узел Отозванные сертификаты. В появившемся меню
выбрать Все задачи — Публикация

Оставить по умолчанию тип публикуемого CRL – Новый базовый CRL.
Нажать кнопку ОК.

Для просмотра и изменения параметров публикации CRL в окне контекстного
меню выберем Свойства.

Посмотреть выпущенные списки отозванных сертификатов можно в закладке
Просмотр списков отзыва сертификатов (CRL).

Списки отозванных сертификатов размещены в папке
C:\Windows\System32\Certsrv\CertEnroll,
куда по умолчанию публикуются списки.

Центр сертификации Windows Server 2008 R2 — это инструмент, позволяющий создавать и управлять цифровыми сертификатами в среде операционной системы Windows Server 2008 R2. Он обеспечивает безопасность и подтверждение подлинности данных путем применения цифровых подписей. Центр сертификации является важной частью инфраструктуры открытых ключей (PKI) и позволяет организациям создавать, управлять и распространять сертификаты для использования в различных приложениях и услугах.

Настройка и использование Центра сертификации Windows Server 2008 R2 включает несколько шагов. Сначала необходимо выполнить установку роли службы центра сертификации на сервере Windows Server 2008 R2. Затем следует настроить параметры центра сертификации, такие как типы сертификатов, срок действия и правила выдачи. После настройки можно защитить Центр сертификации с помощью различных методов аутентификации и авторизации, чтобы предотвратить несанкционированный доступ и использование сертификатов.

После настройки Центра сертификации можно использовать его для создания и выпуска сертификатов. Цифровые сертификаты могут быть использованы для различных целей, включая защиту соединений SSL/TLS, аутентификацию пользователей и компьютеров в сети, шифрование данных и подпись электронных документов. Кроме того, Центр сертификации Windows Server 2008 R2 позволяет автоматизировать процесс управления сертификатами через функцию автоматического выпуска и обновления сертификатов.

Важно отметить, что правильная настройка и использование Центра сертификации Windows Server 2008 R2 является критически важным для обеспечения безопасности и подтверждения подлинности данных в организации. Неправильная настройка или незащищенный доступ к сертификатам может привести к утечке конфиденциальной информации, атакам на систему и другим серьезным последствиям. Поэтому рекомендуется следовать процедурам и руководствам безопасности при настройке и использовании Центра сертификации Windows Server 2008 R2.

Подготовка к сертификации

Перед началом подготовки к сертификации необходимо полностью ознакомиться с основными возможностями и функциями Windows Server 2008 R2. Необходимо изучить архитектуру операционной системы, уметь настраивать и обеспечивать безопасность сервера, а также иметь опыт работы с основными сервисами и ролями, такими как Active Directory, DNS, DHCP и другими.

Важной частью подготовки к сертификации является также изучение материалов, специально разработанных Microsoft для подготовки к данной сертификации. Можно использовать официальные учебные пособия и курсы, подготовленные Microsoft, а также другие материалы, доступные в Интернете.

Рекомендуется также самостоятельное выполнение практических заданий и лабораторных работ на реальном экземпляре Windows Server 2008 R2 или на виртуальной машине. Это поможет закрепить теоретические знания и получить практический опыт работы с операционной системой.

Для успешной подготовки к сертификации необходимо также уделить внимание общим принципам и подходам к администрированию Windows Server 2008 R2, таким как установка и конфигурация сервера, мониторинг и отладка, управление данными и хранилищами, а также восстановление после сбоев и резервное копирование.

Важно не забывать про практику и саморазвитие. В процессе работы с Windows Server 2008 R2 постоянно возникают новые ситуации и задачи, с которыми можно столкнуться только на практике. Регулярное обучение и самообучение позволят углубить знания и быть готовым к сертификации.

Выбор подходящего экзамена

Для получения сертификата по Windows Server 2008 R2 необходимо успешно сдать один из экзаменов, предлагаемых Microsoft. Выбор подходящего экзамена зависит от ваших целей и области специализации.

Если вы планируете работать как системный администратор Windows Server 2008 R2, рекомендуется выбрать экзамен 70-640: «Configuring Windows Server 2008 R2 Active Directory». Этот экзамен оценивает ваши навыки в настройке и управлении службами каталогов Active Directory.

Если ваши цели связаны с настройкой сетевой инфраструктуры Windows Server 2008 R2, рекомендуется выбрать экзамен 70-642: «Configuring Windows Server 2008 R2 Network Infrastructure». Этот экзамен оценивает ваши навыки в настройке сети, DNS, DHCP, VPN и других сетевых служб.

Если вас интересует обеспечение безопасности в Windows Server 2008 R2, то вам подойдет экзамен 70-646: «Windows Server 2008 R2, Server Administrator». Этот экзамен оценивает ваши навыки в установке, настройке и обеспечении безопасности Windows Server 2008 R2.

Существует также возможность выбрать экзамены, связанные с виртуализацией в Windows Server 2008 R2 или разработкой приложений для этой платформы. Убедитесь, что выбранный экзамен соответствует вашим целям и интересам.

Регистрация на экзамен и оплата

Для получения сертификации Windows Server 2008 R2 необходимо пройти соответствующий экзамен. Регистрация на экзамен и оплата процессов, регулирующих эту сертификацию, осуществляются через официальный сайт Microsoft.

Чтобы зарегистрироваться на экзамен, вам потребуется создать учетную запись в системе Microsoft Certification Program (MCP). После создания учетной записи вы сможете выбрать нужный экзамен и приступить к его регистрации.

После выбора экзамена вам потребуется оплатить его. Стоимость экзамена может зависеть от различных факторов, включая ваше местоположение и валюту платежа. Обычно стоимость экзамена указана на официальном сайте. Вы можете оплатить экзамен с помощью кредитных или дебетовых карт, а также с помощью ваучеров, выданных вам организацией или складывающихся в рамках программы лояльности Microsoft.

После успешной оплаты вы получите подтверждение регистрации на экзамен. Вам потребуется подготовиться к экзамену, изучив указанный в описании материал. После подготовки вы сможете приступить к сдаче экзамена в одном из специализированных тест-центров. В случае успешной сдачи экзамена вы получите сертификат, подтверждающий вашу компетентность в использовании Windows Server 2008 R2.

Для успешной подготовки к экзамену необходимо:

1. Ознакомиться с официальными материалами, предоставленными Microsoft.
2. Изучить рекомендуемую литературу по теме сертификации.
3. Практиковаться в использовании Windows Server 2008 R2 в реальных ситуациях.
4. Пройти тренинги и курсы, предлагаемые специализированными учебными центрами.
5. Использовать онлайн-ресурсы и форумы для получения дополнительной информации и поддержки.

Важно иметь систематизированный подход к подготовке, разбивая материал на небольшие блоки и регулярно повторяя уже изученное. Также полезно выполнять практические задания и симуляции экзаменов, чтобы узнать, в каких областях нужно усилить свои знания и навыки.

Не стоит забывать о психологической подготовке. Перед экзаменом рекомендуется отдохнуть, выспаться и правильно питаться. Во время экзамена необходимо сохранять спокойствие и сосредоточиться на заданиях.

Подготовка к экзамену по сертификации Windows Server 2008 R2 требует усилий и времени, но ее успешное завершение открывает двери к новым возможностям и карьерному росту в области IT.

Прохождение экзамена

Для того чтобы получить сертификат по настройке и использованию Центра сертификации Windows Server 2008 R2, необходимо успешно пройти экзамен.

Экзамен состоит из нескольких секций, каждая из которых оценивает определенные навыки и знания. Важно подготовиться к экзамену, изучив все темы, связанные с Центром сертификации, включая установку, настройку и управление.

Перед приступлением к экзамену рекомендуется пройти специальные курсы подготовки, которые позволят освоить все необходимые материалы. Такие курсы часто предлагаются сертифицированными тренерами или можно воспользоваться онлайн-курсами.

Во время экзамена важно не только знать теорию, но и уметь применять полученные знания на практике. Поэтому необходимо обязательно решать практические задания и участвовать в симуляционных упражнениях.

При подготовке к экзамену полезно использовать ресурсы, предоставляемые Microsoft, включая учебные материалы, видеоуроки, форумы и практические задания.

После успешного прохождения экзамена и получения сертификата, вы сможете подтвердить свои навыки и знания в области настройки и использования Центра сертификации Windows Server 2008 R2.

Советы по прохождению экзамена
Ознакомьтесь с форматом экзамена и требованиями
Поставьте себе реальные сроки для подготовки
Создайте план подготовки и следуйте ему
Используйте различные источники информации
Практикуйтесь на реальных заданиях и участвуйте в симуляционных упражнениях
Проверьте свои знания с помощью онлайн-тестов и практических заданий
Участвуйте в дискуссиях и общайтесь с другими участниками
Не забывайте о перерывах и отдыхе
Уверенно отвечайте на вопросы и доводьте задания до конца

Получение сертификата и его использование

В Windows Server 2008 R2 для получения сертификата необходимо выполнить несколько шагов:

1. Создание запроса на сертификат (Certificate Signing Request, CSR). Для этого можно воспользоваться MMC (Microsoft Management Console) или командной строкой с помощью утилиты certreq.exe. В запросе необходимо указать основную информацию о сертификате, включая имя хоста, организацию и ключевые параметры.

2. Отправка запроса на сертификат на центр сертификации. Для этого необходимо указать URL-адрес сертификационного учреждения и передать созданный ранее CSR файл. Центр сертификации произведет проверку и подпись сертификата.

3. Получение сертификата от центра сертификации. После подписи сертификата центр сертификации отправляет его обратно на сервер. Сертификат можно получить в разных форматах, таких как DER или PEM.

Полученный сертификат можно использовать для различных целей, таких как:

• Защита веб-сайтов с помощью протокола HTTPS. Для этого необходимо установить сертификат на веб-сервере и настроить поддержку HTTPS.

• Авторизация пользователей при подключении к сети или службам. Для этого сертификат может быть использован в качестве средства аутентификации.

• Шифрование данных для обеспечения их конфиденциальности при передаче по сети. Сертификат может использоваться для защиты соединений с помощью протокола SSL/TLS.

Все эти действия позволяют использовать сертификат для обеспечения безопасности операционной системы и приложений на базе Windows Server 2008 R2.

Windows Server 2008 R2 — это операционная система для серверов, разработанная корпорацией Microsoft. Для обеспечения безопасности и качества программного обеспечения, работающего на данной операционной системе, необходимо создать центр сертификации.

Центр сертификации Windows Server 2008 R2 — это специальное программное обеспечение, которое предназначено для создания и управления цифровыми сертификатами. Сертификаты используются для идентификации и проверки подлинности участников взаимодействия в сетевой инфраструктуре.

Настройка центра сертификации Windows Server 2008 R2 включает в себя несколько этапов. Сначала необходимо установить роль сервера сертификации на сервере, затем подготовить и настроить базу данных, на которой будут храниться выданные сертификаты. После этого следует настроить шаблон сертификатов, определить параметры выдачи и установить правила автоматического отзыва сертификатов.

Особенности центра сертификации Windows Server 2008 R2 заключаются в его гибкости и масштабируемости. Он может быть использован в различных сетевых сценариях, таких как защищенное виртуальное частное облако или сеть корпоративных ресурсов. Благодаря нему можно обеспечить безопасность и подлинность обмена информацией между участниками сети.

В заключение, настройка центра сертификации Windows Server 2008 R2 является важной задачей для предоставления защиты сети и обеспечения целостности данных. Процесс настройки относительно прост и прозрачен, что делает его доступным для администраторов систем, даже без глубоких знаний в области криптографии и цифровых сертификатов.

Что такое Центр сертификации Windows Server 2008 R2?

Центр сертификации Windows Server 2008 R2 (Certification Authority) представляет собой службу в операционной системе Windows Server 2008 R2, которая обеспечивает возможность создания, управления и проверки сертификатов безопасности в сетевой инфраструктуре.

Центр сертификации является ключевым компонентом в структуре открытых ключей (Public Key Infrastructure, PKI), который обеспечивает аутентификацию, целостность и защиту конфиденциальности данных в сетевой среде.

Сертификаты, выданные Центром сертификации, позволяют клиентам и серверам установить доверительные отношения и обеспечить безопасное взаимодействие по сети. Такие сертификаты используются, например, при установке защищенных соединений HTTPS, подписи и шифрования электронной почты, аутентификации пользователей в сети и многих других сценариях.

Центр сертификации Windows Server 2008 R2 предлагает широкий спектр функций и возможностей для управления сертификатами, включая генерацию и регистрацию сертификатов, отзыв сертификатов, установку и конфигурацию цепочек сертификации и многое другое.

Преимущества Центра сертификации Windows Server 2008 R2:
Удобное управление и ведение реестра сертификатов
Высокий уровень безопасности и контроля доступа
Интеграция с другими службами Windows Server
Масштабируемость и гибкость настройки

Короче говоря, Центр сертификации Windows Server 2008 R2 обеспечивает создание и управление сертификатами безопасности, что позволяет обеспечить безопасное взаимодействие клиентов и серверов в сетевой инфраструктуре.

Зачем нужна настройка Центра сертификации?

1. Обеспечение безопасности данных: Центр сертификации позволяет создавать и распространять цифровые сертификаты, которые могут использоваться для шифрования данных и обеспечения их конфиденциальности. Такой сертификат может быть использован, например, для шифрования электронной почты или безопасной передачи файлов.
2. Аутентификация пользователей и устройств: Цифровой сертификат может быть использован для проверки подлинности пользователя или устройства, что обеспечивает более надежные механизмы аутентификации в сетевой инфраструктуре. Настройка Центра сертификации позволяет выпускать такие сертификаты и управлять их распространением.
3. Управление доступом: Цифровой сертификат может быть использован для контроля доступа к ресурсам сети. Настройка Центра сертификации позволяет определить параметры доступа (например, условия и правила доступа) на основе сертификатов, что обеспечивает более точный контроль над использованием ресурсов и повышает безопасность системы.
4. Соблюдение требований регулирования: В зависимости от отрасли и юрисдикции, существуют требования по безопасности данных и аутентификации пользователей, которые должны быть соблюдены организацией. Настройка Центра сертификации позволяет внедрить соответствующие механизмы и процедуры, чтобы удовлетворить эти требования.

Таким образом, настройка Центра сертификации в Windows Server 2008 R2 является неотъемлемой частью построения безопасной и надежной сетевой инфраструктуры, которая обеспечивает защиту данных, аутентификацию пользователей и устройств, а также управление доступом в соответствии с требованиями безопасности и регулирования.

Особенности настройки Центра сертификации Windows Server 2008 R2

Центр сертификации Windows Server 2008 R2 представляет собой мощный инструмент для управления и выдачи сертификатов в сети. Настройка данного центра имеет свои особенности, которые важно учитывать при работе с ним.

Одной из основных особенностей является необходимость установки роли Certifiсation Authority (Центр сертификации) на сервере. При этом важно правильно выбрать тип распределения ключей, который будет использоваться. В Windows Server 2008 R2 доступны три типа: корневой и вторичный (подкорневой) Центры сертификации, а также самообслуживаемый Центр сертификации. Выбор типа зависит от конкретных потребностей и требований организации.

При настройке Центра сертификации следует также учесть необходимость правильной конфигурации параметров шаблонов сертификатов. Шаблоны позволяют определить разрешения и настройки для выдаваемых сертификатов. Кроме того, следует учесть требования к безопасности при генерации и обновлении сертификатов, в том числе длину и сложность ключей.

Важной особенностью настройки Центра сертификации Windows Server 2008 R2 является также необходимость правильного конфигурирования процедур аттестации и регистрации пользователей, которые будут работать с сертификатами. Необходимо определить требования к процедурам, установить сопутствующие правила и процессы, а также обеспечить безопасность и контроль доступа к выдаваемым сертификатам.

Для эффективной работы Центра сертификации важно также настроить правильную политику управления сертификатами в организации. Правильно определить правила и требования к использованию сертификатов, провести аудит и управление их жизненным циклом — это задачи, которые стоит учитывать при настройке Центра сертификации Windows Server 2008 R2.

Особенности настройки Центра сертификации Windows Server 2008 R2

Особенность	Описание
Выбор типа Центра сертификации	Важно определить, какой тип распределения ключей будет использоваться: корневой, вторичный или самообслуживаемый Центр сертификации.
Настройка параметров шаблонов сертификатов	Необходимо правильно настроить параметры шаблонов, определяющие разрешения и настройки для выдаваемых сертификатов.
Конфигурирование процедур аттестации и регистрации пользователей	Необходимо определить требования к процедурам аттестации и регистрации пользователей, а также обеспечить безопасность и контроль доступа к сертификатам.
Настройка политики управления сертификатами	Необходимо определить правила и требования к использованию сертификатов, провести аудит и управление их жизненным циклом.

Подготовка сервера к установке Центра сертификации

Перед установкой Центра сертификации Windows Server 2008 R2 необходимо выполнить ряд подготовительных операций. Эти шаги помогут гарантировать успешную установку и настройку сертификационного центра. Вот некоторые из этих действий:

Шаг 1:	Проверьте, что сервер, на котором будет установлен Центр сертификации, соответствует системным требованиям. Убедитесь, что сервер имеет достаточный объем оперативной памяти, свободное место на жестком диске и процессор с достаточной производительностью.
Шаг 2:	Установите необходимые компоненты, необходимые для работы Центра сертификации. Обычно это включает в себя установку службы Active Directory Certificate Services (AD CS), службы управления IIS и других компонентов, которые могут быть требованы в зависимости от вашей сетевой инфраструктуры.
Шаг 3:	Настройте сетевые параметры сервера, на котором будет установлен сертификационный центр. Убедитесь, что сервер имеет статический IP-адрес, правильно skonfigurowanych server DNS i że można się do niego zalogować zdalnie.
Шаг 4:	Создайте учетную запись пользователя, которая будет использоваться для установки и настройки Центра сертификации. Учетная запись должна обладать необходимыми правами и привилегиями для выполнения этих действий.

После завершения этих подготовительных шагов вы будете готовы к установке Центра сертификации Windows Server 2008 R2 и его настройке в вашей среде.

Процесс установки Центра сертификации на сервер

Установка Центра сертификации на сервер с операционной системой Windows Server 2008 R2 состоит из нескольких основных шагов. Ниже описаны особенности этого процесса:

1. Установка роли службы CertifCenter – для начала установки требуется запустить «Установку роли службы» в Панели управления. Далее необходимо выбрать роль CertifCenter и следовать указаниям мастера установки.
2. Настройка базы данных Центра сертификации – после установки роли CertifCenter необходимо создать базу данных, где будут храниться сертификаты. В этом шаге пользователю предлагается указать тип базы данных и настроить параметры доступа к ней.
3. Настройка основных параметров Центра сертификации – после создания базы данных следует настроить основные параметры Центра сертификации, например, указать имя и описание сервера, установить политику управления сертификатами и настроить параметры запроса на выдачу сертификатов.
4. Генерация и установка корневого сертификата – для безопасности работы Центра сертификации рекомендуется создать и установить корневой сертификат. Этот сертификат будет использоваться для подписи сертификатов, которые будут выдаваться сервером.
5. Импорт сертификатов – после установки корневого сертификата, пользователю необходимо импортировать сертификаты, которые будут выдаваться сервером Центра сертификации. Это можно сделать, например, импортировав уже существующие сертификаты с других серверов или создав новые сертификаты.
6. Настройка и тестирование Центра сертификации – после установки всех сертификатов и настройки необходимых параметров, следует проверить правильность работы сервера Центра сертификации. Для этого можно выполнять различные тесты и проверки работоспособности сертификационного центра.

Процесс установки Центра сертификации на сервер с операционной системой Windows Server 2008 R2 может потребовать определенного выделения времени и знания техники, однако, правильно настроенный Центр сертификации обеспечивает безопасность и защиту конфиденциальности информации, передаваемой посредством сертификатов.

Обязательные условия для наличия возможности работы с ЭЦП в системе ELMA:

• наличие установленного веб-браузера Internet Explorer;
• наличие установленного приложения CAPICOM;
• наличие активированного приложения ECM+;
• в веб-приложении в разделе Администрирование – Система – Настройки системы в блоке Настройки ЭЦП в качестве криптопровайдера должен быть выбран Внутренний ;
• в веб-приложении в разделе Администрирование – Документооборот – Настройка шаблонов ЭЦП должны быть заполнены и сохранены все шаблоны подписи;
• пользователь должен иметь права на подписание документов. Права назначаются администратором системы в разделе Администрирование – Документооборот — Права доступа к модулю «Документооборот».

Основные требования к системе:

1. Работа с сертификатами обязательно должна осуществляться в веб-браузере Internet Explorer.
2. Для обеспечения возможности настройки шаблона сертификата, добавления ролей, а также для выполнения дополнительных настроек системы необходимо членство в группе Администраторы домена, Администраторы предприятия или в эквивалентной группе.
3. Для обеспечения возможности работы с ЭЦП в системе ELMA всем пользователям Windows необходимо состоять в одном домене.

Создание и настройка центра сертификации состоит из нескольких этапов.

Добавление ролей Windows Server

Добавление ролей состоит из нескольких шагов.

1. Запуск Диспетчера служб . Для этого необходимо нажать на кнопку Пуск – Все программы – Администрирование – Диспетчер сервера.

2. В дереве консоли (в левой части окна) необходимо вызвать контекстное меню пункта Роли и нажать на пункт меню Добавить роли (рис. 1).

Рис. 1. Дерево консоли. Кнопка контекстного меню «Добавить роли»

3. В открывшемся диалоговом окне Мастер добавления ролей (рис. 2), необходимо нажать на кнопку Далее .

Рис. 2. Диалоговое окно «Мастер добавления ролей»

4. В окне Выбор ролей сервера (рис. 3) необходимо установить флажок Службы сертификации Active Directory . После этого в дереве консоли (в левой части окна Диспетчер сервера ) будут отображены дополнительные пункты меню. Для продолжения работы необходимо нажать на кнопку Далее .

Рис. 3. Диалоговое окно «Выбор ролей сервера»

5. В окне Знакомство со службами сертификации Active Directory (рис. 4) необходимо нажать на кнопку Далее .

Рис. 4. Диалоговое окно «Знакомство со службами сертификации Active Directory»

6. В окне Выбор служб ролей (рис. 5) необходимо установить флажок Служба регистрации в центре сертификации через Интернет . При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

Рис. 5. Диалоговое окно «Выбор служб ролей»

При нажатии на флажок Служба регистрации в центре сертификации через Интернет будет открыто диалоговое окно (рис. 6), в котором необходимо нажать на кнопку Добавить требуемые службы роли . После этого в окне Выбор служб ролей необходимо нажать на кнопку Далее .

Рис. 6. Диалоговое окно добавления требуемых служб ролей

7. В окне Задание типа установки (рис. 7) необходимо установить переключатель в положение Предприятие и нажать на кнопку Далее .

Рис. 7. Диалоговое окно «Задание типа установки»

8. В окне Задание типа ЦС (рис. необходимо установить переключатель в положение Корневой ЦС и нажать на кнопку Далее .

Рис. 8. Диалоговое окно «Задание типа ЦС»

9. В окне Установка закрытого ключа (рис. 9) необходимо установить переключатель в положение Создать новый закрытый ключ и нажать на кнопку Далее .

Рис. 9. Диалоговое окно «Установка закрытого ключа»

10. В окне Настройка шифрования для ЦС (рис. 10) необходимо нажать на кнопку Далее .

Рис. 10. Диалоговое окно «Настройка шифрования для ЦС»

11. В окне Задание имени ЦС (рис. 11) необходимо ввести требуемое имя и нажать на кнопку Далее .

Рис. 11. Диалоговое окно «Задание имени ЦС»

12. В окне Установить срок действия (рис. 12) необходимо выбрать требуемый срок и нажать на кнопку Далее .

Рис. 12. Диалоговое окно «Установить срок действия»

13. В окне Настройка базы данных сертификатов (рис. 13) необходимо выбрать требуемое расположение хранения сертификатов и нажать на кнопку Далее .

Рис. 13. Диалоговое окно «Настройка базы данных сертификатов»

14. В окне Веб-сервер (IIS) (рис. 14) необходимо нажать на кнопку Далее .

Рис. 14. Диалоговое окно «Веб-сервер (IIS)»

15. В окне Выбор служб ролей (рис. 15) необходимо нажать на кнопку Далее .

Рис. 15. Диалоговое окно «Выбор служб ролей»

16. В окне Подтверждение выбранных элементов для установки (рис. 16) необходимо проверить выбранные для установки элементы и нажать на кнопку Установить . При необходимости данные параметры могут быть изменены путем перехода к требуемой настройке с помощью кнопки Назад .

Рис. 16. Диалоговое окно «Подтверждение выбранных элементов для установки»

17. Ход выполнения установки будет отображен в соответствующем окне (рис. 17).

Рис. 17. Диалоговое окно «Ход выполнения установки»

После завершения установки необходимо нажать на кнопку Закрыть (рис. 18).

Рис. 18. Диалоговое окно «Результаты установки»

18. В дереве консоли (в левой части экрана) будет отображен пункт Службы сертификации Active Directory (рис. 19) с установленным центром сертификации (ЦС).

Рис. 19. Дерево консоли

19. Далее необходимо подключить расширения в настройках созданного ЦС. Для этого необходимо вызвать контекстное меню данного ЦС и выбрать пункт Свойства . Далее необходимо перейти на вкладку Расширения , в списке отзыва сертификата выбрать пункт http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl и установить ниже него все доступные флажки (рис. 20).

Рис. 20. Свойства ЦС. Вкладка «Расширения»

Далее в списке отзыва сертификата необходимо выбрать пункт file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl и установить ниже него флажки № 3 и 4 (рис. 21).

Рис. 21. Свойства ЦС. Вкладка «Расширения»

Для сохранения изменений необходимо нажать на кнопку Применить . В открывшемся диалоговом окне (рис. 22) необходимо нажать на кнопку ДА .

Рис. 22. Диалоговое окно «Центр сертификации»

После выполнения перезапуска службы сертификации необходимо нажать на кнопку ОК . Далее необходимо перезагрузить компьютер для применения внесенных изменений.

Создание шаблона сертификата

Создание шаблона сертификата состоит из нескольких шагов.

1. В  Диспетчере сервера необходимо перейти в раздел Шаблоны сертификатов и выполнить команду Скопировать шаблон (рис. 23) на существующем шаблоне (например, скопировать шаблон Пользователь) .

Рис. 23. Диспетчер сервера. Раздел «Шаблоны сертификатов». Пункт контекстного меню «Скопировать шаблон»

2. В открывшемся диалоговом окне (рис. 24) обязательно необходимо установить переключатель в положение Windows Server 2003 Enterprise. Для подтверждения выбора необходимо нажать на кнопку ОК .

Рис. 24. Диалоговое окно копирования шаблона

3. В открывшихся свойствах шаблона (рис. 25) необходимо на вкладке Общие указать имя шаблона и снять флажок Опубликовать сертификат в  Active Directory .

Рис. 25. Свойства шаблона. Вкладка «Общие»

4. Необходимо перейти на вкладку Обработка запроса (рис. 26) и в поле Цель выбрать пункт Подпись .

Рис. 26. Свойства шаблона. Вкладка «Обработка запроса»

5. Необходимо перейти на вкладку Имя субъекта (рис. 27) и сверить ее заполнение с приведенным ниже изображением.

Рис. 27. Свойства шаблона. Вкладка «Имя субъекта»

6. Необходимо перейти на вкладку Безопасность (рис. 28) и для группы Прошедшие проверку требуется установить флажок Заявка в колонке «Разрешить».

Рис. 28. Свойства шаблона. Вкладка «Безопасность»

7. Необходимо перейти на вкладку Расширения (рис. 29) и изменить настройки Политики применения . Для этого необходимо нажать на кнопку Изменить .

Рис. 29. Свойства шаблона. Вкладка «Расширения»

8. В открывшемся диалоговом окне (рис. 30) необходимо выбрать политику Подписывание документа и нажать на кнопку ОК . В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить .

Рис. 30. Диалоговое окно «Изменение расширения политик применения»

9. В открывшемся диалоговом окне (рис. 31) необходимо выбрать Подписывание документа и нажать на кнопку ОК .

Рис. 31. Диалоговое окно «Добавление политики применения»

10. После выполнения всех требуемых настроек необходимо нажать на кнопку Применить – ОК (в окне создания шаблона).

Далее следует добавить шаблон в настроенный ранее ЦС. Для этого:

1. В  Диспетчере сервера необходимо вызвать контекстное меню пункта Шаблоны сертификатов , в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата (рис. 32).

Рис. 32. Диспетчер сервера. Пункт меню «Шаблоны». Кнопка контекстного меню «Создать – Выдаваемый шаблон сертификата»

2. В открывшемся диалоговом окне (рис. 33) необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК .

Рис. 33. Диалоговое окно «Включение шаблонов сертификатов»

Установка и настройка шаблона сертификатов закончена.

Далее необходимо осуществить проверку состояния службы Служба состояний ASP. NET (рис. 34). Данная служба не должна быть остановлена. В том случае, если служба остановлена, необходимо нажать на кнопку Пуск .

Рис. 34. Диспетчер сервера. Служба состояний ASP.NET

Проверка работы ЦС

Для первоначальной проверки работоспособности ЦС необходимо запустить оснастку Центр сертификации ( Пуск – Администрирование – Центр Сертификации ). В том случае, если все настроено верно, будет отображено следующее окно (рис. 35).

Рис. 35. Центр сертификации

Получение корневого сертификата

Для этого необходимо запустить веб-браузер Internet Explorer, в адресной строке которого следует указать адрес http://имя_сервера/certsrv , где имя_сервера – имя сервера ЦС. В случае попытки подключения на том же компьютере, где установлен ЦС, может быть указан адрес http://localhost/certsrv. Будет открыта главная страница (рис. 36) центра сертификации.

Рис. 36. Главная страница центра сертификации

Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных корневых центров сертификации. Если в вашей сети несколько ЦС, следует загрузить и установить цепочку сертификатов. Для этого следует выбрать: Загрузка сертификата ЦС, цепочки сертификатов или CRL , затем Загрузка сертификата ЦС и сохранить сертификат в любую папку на данном компьютере.

Теперь перейдем к установке. Для этого необходимо в контекстном меню сертификата нажать на кнопку Установить сертификат (рис. 37) . Будет открыт мастер импорта.

Рис. 37. Контекстного меню сертификата. Кнопка «Установить сертификат»

В открывшемся диалоговом окне (рис. 38) необходимо нажать на кнопку Далее .

Рис. 38. Диалоговое окно «Мастер импорта сертификатов»

В открывшемся диалоговом окне (рис. 39) необходимо установить переключатель Поместить все сертификаты в следующее хранилище и нажимаем на кнопку Обзор… .

Рис. 39. Диалоговое окно ручного выбора хранилища сертификатов

В открывшемся диалоговом окне (рис. 40) необходимо выбрать пункт Доверенные корневые центры сертификации и нажать на кнопку ОК.

Рис. 40. Диалоговое окно выбора хранилища сертификатов

В окне Мастер импорта сертификатов (рис. 41) нажимаем на кнопку Далее . В следующем окне нажимаем на кнопку Готово .

Рис. 41. Диалоговое окно «Завершение мастера импорта сертификатов»

Будет открыто диалоговое окно (рис. 42) с уведомлением о результате импорта. Необходимо нажать на кнопку ОК .

Рис. 42. Диалоговое окно с уведомлением о результате импорта

Теперь данный ПК будет доверять всем сертификатам, выданным данным ЦС.

Получение клиентского сертификата

Для получения клиентского сертификата необходимо открыть сайт ЦС в браузере в Internet Explorer и выбрать Запрос сертификата – расширенный запрос сертификата – Создать и выдать запрос к этому ЦС .

При попытке создать запрос сертификата может быть отображено следующее предупреждение (рис. 43), в котором необходимо нажать на кнопку ОК . В данном случае необходимо добавить текущий узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны.

Рис. 43. Уведомление о необходимости добавления текущего узла в зону «Надежные узлы»

Для этого необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 44).

Рис. 44. Настройки веб-браузера Internet Explorer. Кнопка «Свойства обозревателя»

В открывшемся диалоговом окне (рис. 45) необходимо перейти на вкладку Безопасность и для зоны Надежные узлы установить переключатель уровня безопасности в положение Ниже среднего .

Рис. 45. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность»

Далее требуется добавить текущий сайт к надежным узлам. Для этого необходимо на данной вкладке ( Безопасность ) нажать на кнопку Узлы и в открывшемся диалоговом окне (рис. 46) нажать на кнопку Добавить , а также снять флажок Для всех узлов этой зоны требуется проверка серверов ( https:). Для сохранения изменений необходимо нажать на кнопку Закрыть .

Рис. 46. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность». Диалоговое окно «Надежные узлы»

Также необходимо разрешить загрузку неподписанных ActiveX . Для этого необходимо на вкладке Безопасность нажать на кнопку Другой… и в окне Параметры безопасности (рис. 47) в группе Элементы ActiveX и модули подключения установить все переключатели в положение Включить . Для сохранения внесенных изменений необходимо нажать на кнопку ОК .

Рис. 47. Диалоговое окно «Свойства обозревателя». Вкладка «Безопасность». Диалоговое окно «Параметры безопасности»

Далее будет отображено предупреждение (рис. 48), в котором необходимо нажать на кнопку Да .

Рис. 48. Диалоговое окно с предупреждением о изменении настроек зоны

Далее необходимо нажать на кнопку Применить – ОК .

Далее необходимо перейти в веб-браузер Internet Explorer и заполнить форму запроса (рис. 49).

В поле Шаблон сертификата необходимо выбрать пункт Только подпись пользователя и нажать на кнопку Выдать .

Рис. 49. Веб- браузер Internet Explorer. Форма расширенного запроса сертификата

Будет отображено сообщение о выдаче сертификата (рис. 50), в котором необходимо нажать на кнопку Установить этот сертификат .

Рис. 50. Веб- браузер Internet Explorer. Сообщение о выдаче сертификата

Будет отображено сообщение об установке сертификата (рис. 51).

Рис. 51. Веб- браузер Internet Explorer. Сообщение об установке сертификата

Следует отметить, что по истечении срока действия клиентского сертификата его необходимо удалить, а затем получить и установить заново.

Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов. Все успешно выданные сертификаты отображаются в  Центре сертификации в разделе Выданные сертификаты (рис. 52).

Рис. 52. Центр сертификации. Раздел «Выданные сертификаты»

При необходимости все выданные сертификаты могут быть отозваны.

Для просмотра всех полученных личных сертификатов в веб-браузере Internet Explorer необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 53).

Рис. 53. Настройки веб-браузера Internet Explorer. Кнопка «Свойства обозревателя»

В открывшемся диалоговом окне (рис. 54) необходимо перейти на вкладку Содержание и в блоке настроек Сертификаты нажать на кнопку Сертификаты .

Рис. 54. Диалоговое окно «Свойства обозревателя». Вкладка «Содержание»

В открывшемся диалоговом окне (рис. 55) на вкладке Личные будут отображены все личные сертификаты, полученные текущим пользователем.

Рис. 55. Диалоговое окно «Свойства обозревателя». Вкладка «Содержание». Диалоговое окно «Сертификаты»

После выполнения всех описанных выше настроек необходимо загрузить с официального сайта Microsoft свободно распространяемый набор средств разработки CAPICOM. Данное ПО будет необходимо для осуществления подписания документа в веб-приложении ELMA с использованием ЭЦП.