Раздел содержит инструкцию по установке и настройке Служб сертификации в операционной системе Windows Server 2012 R2.
Для настройки необходим компьютер с установленной операционной системой Windows 2012 R2 Server Rus и драйверами Рутокен, а также дистрибутив этой ОС.
Все описанные далее действия производятся с правами администратора системы.
В качестве примера используется учетная запись Administrator.
Этапы установки и настройки Служб сертификации:
1 этап: Установка Служб сертификации.
2 этап: Добавление шаблонов сертификатов в Центр Сертификации.
3 этап: Выписка сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли.
Установка Служб сертификации
Для установки Служб сертификации:
- Откройте Диспетчер серверов.
- Щелкните по названию пункта меню Управление и выберите пункт Добавить роли и компоненты.
- В окне Мастер добавления ролей и компонентов ознакомьтесь с информацией и нажмите Далее.
- Установите переключатель в положение Установка ролей или компонентов и нажмите Далее.
- Установите переключатель в положение Выберите сервер из пула серверов.
- В таблице Пул серверов щелкните по имени необходимого сервера.
- Нажмите Далее.
- Установите флажок Службы сертификации Active Directory.
- В появившемся окне нажмите Добавить компоненты. В результате флажок отобразится рядом с названием выбранной роли сервера.
- Нажмите Далее.
- В окне для выбора компонентов нажмите Далее.
- Ознакомьтесь с информацией и нажмите Далее.
- Установите флажок Центр сертификации и нажмите Далее.
- Чтобы запустить процесс установки нажмите Установить.
- Дождитесь завершения процесса установки и нажмите Закрыть.
- В левой части окна Диспетчер серверов щелкните по названию пункта Службы сертификации Active Directory.
- Щелкните по ссылке Подробнее.
- В строке с названием необходимой задачи в столбце Действие щелкните по ссылке Настроить службы сертификатов Active Directory.
- Ознакомьтесь с информацией и нажмите Далее.
- Установите флажок Центр сертификации и нажмите Далее.
- Установите переключатель рядом с названием необходимого варианта установки ЦС (в данном примере выбирается ЦС предприятия) и нажмите Далее.
- Установите переключатель рядом с названием типа ЦС (в данном примере выбирается Корневой ЦС, поскольку это будет основной центр сертификации в домене). Нажмите Далее.
- В окне для указания типа закрытого ключа укажите секретный ключ, который будет использоваться для центра сертификации (в данном примере выбирается пункт Создать новый закрытый ключ, поскольку ранее не был создан секретный ключ для центра сертификации). Нажмите Далее.
- В следующем окне для указания параметров шифрования в раскрывающемся списке Выберите поставщика служб шифрования выберите криптопровайдер.
- В раскрывающемся списке Длина ключа выберите необходимое значение.
- Щелкните по названию необходимого хеш-алгоритма.
- Нажмите Далее.
-
В окне для указания имени ЦС введите значения всех полей и нажмите Далее.
Введенные здесь данные носят информативный характер. Рекомендуется их внести. Аббревиатуры несут следующий смысл: «O» — Organization, «OU» — Organization Unit, «L» — City (Location), «S» — State or province, «C» — Country/region, «E» — E-mail.
-
Введите период действия сертификата для создаваемого ЦС.
По истечении срока действия сертификата ЦС необходимо будет перевыпустить сертификаты всем действующим пользователям.
- В поле Расположение базы данных сертификатов введите путь до базы данных и нажмите Далее.
- Ознакомьтесь с информацией и нажмите Настроить.
- Дождитесь завершения процесса установки и нажмите Закрыть.
Добавление шаблонов сертификатов в Центр Сертификации
Для добавления шаблонов сертификатов:
- Откройте Панель управления.
- Два раза щелкните по названию пункта Администрирование.
- Два раза щелкните по названию оснастки Центр сертификации.
- Правой кнопкой мыши щелкните по названию папки Шаблоны сертификатов и выберите пункт Управление.
- Правой кнопкой мыши щелкните по названию шаблона Пользователь со смарт-картой и выберите пункт Скопировать шаблон. Откроется окно Свойства нового шаблона.
-
Выберите следующие настройки:
Значение параметра Минимальный размер ключа должно быть не менее 1024.
- Нажмите Применить.
- Нажмите OK.
- Перейдите в окно Центр сертификации.
- Правой кнопкой щелкните по названию папки Шаблон сертификатов.
- Выберите пункт Создать и подпункт Выдаваемый шаблон сертификата.
- В окне Включение шаблонов сертификатов щелкните по названию шаблона Агент регистрации.
- Удерживайте клавишу Ctrl.
- Щелкните по названию шаблона Пользователь с RuToken.
- Нажмите ОК.
- Закройте окно Центр сертификации.
Выписка сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли
Для выписки сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли:
- Нажмите комбинацию клавиш Windows + X и выберите пункт меню Выполнить.
- Введите команду «mmc» и нажмите OK.
- В окне Консоль1 выберите пункт меню Файл и подпункт Добавить или удалить оснастку…
- В левой части окна Добавление и удаление оснасток щелкните по названию оснастки Сертификаты.
- Нажмите Добавить.
- В открывшемся окне установите переключатель моей учетной записи пользователя и нажмите Готово.
- В окне Добавление и удаление оснасток нажмите OK.
- В левой части окна Консоль 1 щелкните по названию папки Личные.
- Щелкните по названию папки Сертификаты.
- В правой части окна щелкните правой кнопкой мыши в свободном месте окна.
- Выберите пункт Все задачи и подпункт Запросить новый сертификат…
- В окне Регистрация сертификатов ознакомьтесь с информацией и нажмите Далее.
- Нажмите Далее.
- Установите флажок Администратор и нажмите Заявка.
- Нажмите Готово.
- В левой части окна Консоль 1 щелкните по названию папки Личное.
- Щелкните по названию папки Сертификаты.
- В правой части окна щелкните правой кнопкой мыши в свободном месте окна.
- Выберите пункт Все задачи и подпункт Запросить новый сертификат…
- В окне Регистрация сертификатов ознакомьтесь с информацией. Нажмите Далее.
- Нажмите Далее.
- Установите флажок Агент регистрации и нажмите Заявка.
- Нажмите Готово.
- В левой части окна Консоль 1 щелкните по названию папки Личное.
- Правой кнопкой мыши щелкните по названию папки Сертификаты и выберите пункт Все задачи.
- Выберите подпункт Дополнительные операции.
- Выберите подпункт Зарегистрироваться от имени…
- Ознакомьтесь с информацией и нажмите Далее.
- Нажмите Далее.
- Нажмите Обзор.
- Щелкните по имени сертификата типа Агент регистрации (чтобы определить тип сертификата откройте свойства сертификата).
- Нажмите OK.
- Нажмите Далее.
- Установите переключатель в положение Пользователь с RuToken и нажмите Далее.
- В окне Регистрация сертификатов нажмите Обзор.
- В поле Введите имена выбираемых объектов введите имя пользователя, которому будет выписан сертификат типа Пользователь RuToken.
- Нажмите Проверить имена.
- Нажмите OK.
- Поле Имя пользователя или псевдоним заполнится автоматически.
- Нажмите Заявка.
- Введите PIN-код Пользователя и нажмите OK.
- Нажмите Закрыть.
- В результате сертификат типа Пользователь с RuToken выписан и сохранен на токене.
- Чтобы просмотреть свойства этого сертификата нажмите Открыть сертификат.
- Чтобы закрыть окно сертификата нажмите OK.
- Аналогичным способом выпишите сертификаты для всех пользователей, которым они необходимы. Пользователю Администратор так же необходимо выписать сертификат типа Пользователь с RuToken.
- В окне Консоль1 выберите пункт: Файл — Добавить или удалить оснастку.
- В окне для добавления и удаления оснастки выберите в списке доступных оснасток пункт Сертификаты.
- Установите переключатель учетные записи компьютера.
- Выберите пункт: Корень консоли — Сертификаты — Личные — Сертификаты — Все задачи — Запросить новый сертификат.
- Установите галочку Проверка подлинности контроллера домена и нажмите Заявка.
-
Закройте окно Консоль1. Для сохранения консоли нажмите Да.
Рекомендуется сохранить данную консоль для удобства использования в дальнейшем. Причем если работать в системе с правами учетной записи User, то в консоли Сертификаты — текущий пользователь будут отображаться сертификаты пользователя User. Любой пользователь домена на локальном компьютере из консоли Сертификаты — текущий пользователь может запросить сертификат.
- Если консоль не надо сохранять, то нажмите Нет. При этом не сохранятся только настройки консоли, выписанные сертификаты будут сохранены в системе.
- Введите имя файла для хранения настроек консоли и нажмите Сохранить.
На этом настройка Центра Сертификации и выдача сертификатов пользователям завершены.
Установка и настройка подчиненного центра сертификации Microsoft CA на MS Windows Server 2012 R2
При установке подчиненного центра сертификации будет считать, что домен
уже имеется, DNS-сервер и доменная служба Active Directory установлены.
Порядок установки будет следующим:
-
Установить подчиненный Центр сертификации уровня ЦС предприятия (со
службой сертификации и службой регистрации в центре сертификации через
Интернет) MS Windows Server 2012 R2, задать имя центра сертификации,
подразделение, организацию, город и страну для сертификата, отправить
запрос на сертификат в корневой центр сертификации. -
Установить сертификат корневого центра сертификации и актуальный
список отозванных сертификатов. - Настроить службу на автоматический выпуск сертификатов.
- Включить аудит работы службы, сделать настройки безопасности.
-
Добавить ссылки на точку распространения отозванных сертификатов и
корневого сертификата центра сертификации, которые будут добавляться в
каждый выпущенный сертификат. - Выпустить внеочередной список отозванных сертификатов.
Установка службы сертификации из состава MS Windows
Установка службы сертификации производится с использованием Мастера в следующей последовательности:
- Открыть окно Диспетчер серверов.
- В окне выбрать Добавить роли и компоненты.
-
В окне Мастера добавления ролей и компонентов
оставить по умолчанию тип установки Установка ролей или компонентов. - В окне Выбор целевого сервера оставить все без изменения.
- Поставить флажок Служба регистрации в центре сертификации через Интернет.
- Нажмите Далее.
- После проверки выбранных параметров установки нажмите Установить.
Далее выбрать роль сервера Службы сертификатов Active Directory. В Появившемся
окне оставить все по умолчанию и нажать кнопку Добавитькомпоненты.
За процессом установки можно наблюдать в окне Результаты.
После установки службы сертификации необходимо ее настроить. Для этого
нажать Настроить службы сертификации Active Directory на конечном сервере.
В окне учетные данные нажать Далее.
В окне выбора службы роли для настройки отметить флажками Центр сертификации и
Служба регистрации в центре сертификации через Интернет. Нажать кнопку Далее.
Далее следует выбрать ЦС предприятия.
Затем Подчиненный ЦС.
При создании нового ключа ЦС выбрать опцию Создать новый закрытый ключ.
Далее следует выбрать криптопровайдер RSA#Microsoft Software Key Storage Provider и
установить опцию Разрешить взаимодействие с администратором, если центр сертификации
обращается к закрытому ключу.
Далее ввести сведения о ЦС. Имя ЦС может быть введено
как кириллицей, так и латиницей. При этом если имя вводится кириллицей,
то его длина не должна превышать 50 символов.
Если Имя вводится латиницей, то его длина не должна превышать 250 символов.
Имя ЦС по умолчанию состоит из имени сервера и приставки CA.
Ввести сведения о Вашей организации в поле Суффикс различающегося имени, разделив значения
запятыми (после запятой пробел не ставить), по следующему примеру:
OU = название отдела
O = название организации
L = город местонахождения
C = RU
На сообщение о расширенной кодировке имен выбираем Да:
Сохранить запрос на сертификат в файл:
По окончанию появится окно с успешной установкой:
Файл запроса на сертификат будет сохранен в корне диска C:\.
Установка сертификата корневого центра сертификации и актуального списка отозванных сертификатов
Вначале следует загрузить веб-сайт корневого центра сертификации.
Для этого запустить браузер, ввести в строку поиска адрес Вашего корневого центра
сертификации, например, по имени сервера:
https://«имя вашего корневого сервера»/certsrv.
Для изготовления сертификата выберите действие Запрос сертификата:
Выбрать Расширенный запрос сертификата, затем
Выдать запрос, используя base-64 шифрованный файл…:
Открыть файл с запросом на сертификат в Блокноте, выделить все
содержимое в файле (комбинация клавиш Ctrl+A) и скопировать в буфер
обмена (комбинация клавиш Ctrl+C):
Вставить содержимое буфера обмена (комбинация клавиш Ctrl+V) в окно
выдачи запроса на сертификат на веб-сайте корневого центра сертификации
и нажмите кнопку Выдать>:
В результате обработки запроса корневым центром сертификации будет
выдан сертификат, который нужно сохранить на подчиненном центре
сертификации, нажав на строку Загрузить сертификат:
Для запуска подчиненного центра сертификации необходимо встроить
цепочку доверия
к корневому центру сертификации, установив корневой
сертификат и актуальный список отозванных сертификатов. Для загрузки нужно
перейти на начальную страницу веб-сайта корневого центра сертификации,
нажав на ссылку Домой в верхнем правом углу сайта:
Нажать на строку Загрузка сертификата ЦС, цепочки сертификатов или CRL:
Скачать и сохранить на подчиненном центре сертификации сертификат ЦС и
актуальный список отозванных сертификатов, нажав по ссылкамЗагрузка сертификата ЦС
и Загрузка последнего базового CRL:
Установить корневой сертификат на сервер. Для этого кликнуть правой
кнопкой мыши на корневой сертификат, в появившемся контекстном меню
выбрать Установить сертификат. В мастере импорта
сертификатов выбрать хранилище – Локальный компьютер:
Выбрать хранилище вручную, установив переключатель на Поместить все сертификаты в следующее хранилище и
отметить в списке Доверенные корневые центры сертификации/Реестр:
При установке списка отозванных сертификатов выполнить аналогичные
действия, при этом в окне Выбор хранилища сертификата
установить флажок Показать физические хранилища, в
списке выделить Промежуточные центры сертификации/Локальный компьютер.
Запустить Центр сертификации Пуск\Приложения\Центр сертификации:
Подчиненный центр сертификации еще не работает, т.к. сертификат для
него не установлен. Установка сертификата проводится при первом старте
службы. Нажать кнопку старта службы:
На запрос об установке сертификата нажать кнопку Да и
указать место, куда был сохранен выданный сертификат.
Если все действия были выполнены правильно, служба центра сертификации успешно запуститься.
Настройка подчиненного Центра сертификации
Чтобы просмотреть настройки Центра сертификации, нужно вызвать
контекстное меню и выбрать Свойства:
Настроить центр сертификации на выпуск сертификатов в автоматическом
режиме. Для этого перейти в закладку Модуль политики,
нажать кнопку Свойства. В открывшемся окне выбрать
режим Следовать параметрам, установленным в шаблоне….:
Перейти в закладку Модуль выхода. Нажать кнопку Свойства:
Установить (если не установлен) флажок Разрешить публикацию сертификатов в файловой системе:
Перейти в закладку Аудит. Включить протоколирование
некоторых событий безопасности, например, архивации и восстановления
базы данных, изменения настроек ЦС и параметров безопасности и т.д.:
Перейти в закладку Безопасность. Разрешить
Администратору запрашивать сертификаты. Установить флажок в графе Разрешить
для строки Запросить сертификаты:
Перейти в закладку Расширения. Выполнить настройку
публикации списка отозванных сертификатов. Для этого в меню Выберите расширение
выбрать Точка распространения списка отзыва (CDP) Удалить
точки распространения, кроме C:\Windows….. Добавить
путь, например, https://servername/Public/servername.crl,
где servername – имя сервера, где будет настроено публичное хранилище:
Включить настройки Включать в CDP-расширение выданных сертификатов и
Включать в расширения IDP выданных CRL. Перезапустить Центр сертификации:
В дополнение к CDP, необходимо сконфигурировать дополнение включающее
информацию о локализации сертификата ЦС AIA. Для этого в поле Выберите
расширение перейти к Authority Information Access (AIA). Удалить доступы к
сведениям о центрах сертификации, кроме C:\Windows…..
Добавить путь, например, https://servername/Public/servername.cer, где
servername – имя сервера, где будет настроено публичное хранилище.
Включить настройки Включать в AIA- расширение выданных сертификатов.
Перезапустить Центр сертификации:
Поскольку значения дополнений CDP и AIA изменены, то для учета изменений
необходимо выпустить и опубликовать CRL. Для публикации CRL необходимо в
дереве консоли Центра сертификации нажать правой кнопкой мыши на узел
Отозванные сертификаты. В появившемся меню выбрать
Все задачи — Публикация:
По умолчанию списки отозванных сертификатов размещены в папке
C:\Windows\System32\Certsrv\CertEnroll
В этой статье я подробно расскажу о процессе установки и настройки Active Directory Certificate Services.
Служба сертификации Active Directory создает центр сертификации, предназначенный для выдачи сертификатов пользователям. Служба может быть настроена и работать через веб-интерфейс.
В примере я разбираю Active Directory Certificate Services на операционной системе Windows Server 2012.
Первым делом нам нужно установить службу сертификации Active Directory.
Для этого нужно запустить диспетчер сервера.
Далее жмем «Добавить роли и компоненты». Кнопка далее.
Выбираем пункт установка ролей или компонентов, а затем выбираем наш сервер.
В следующем окне выбираем пункт службы сертификатов Active Directory.
В окне выбора компонентов жмем далее.
В окне служба ролей выбираем пункт центр сертификации.
Запускаем процесс установки.
После этого по аналогии устанавливаем веб-службу регистрации сертификатов.
Установка завершена. Перейдем к настройке.
Настройка службы сертификатов Active Directory
Заходим в настройки.
Выбираем службу центр сертификации.
Вариант установки – центр сертификации предприятия.
Тип центра сертификации – корневой. Это необходимо для того, что бы в дальнейшем мы могли самостоятельно выдавать и подписывать сертификаты.
В следующем окне нужно выбрать пункт создать новый закрытый ключ.
Затем необходимо указать параметры шифрования. Вы можете указать свои параметры, или параметры как у меня на рисунке ниже.
В следующем окне указывается имя центра шифрования.
Затем указывается срок действия центра сертификации. По умолчанию он равен 5 годам. Так и оставим.
После нажатия кнопки далее вам нужно будет указать физическое место на жестком диске для хранения базы данных.
Подтверждаем настройку.
Перейдем к настройке web-службы регистрации сертификатов.
Настройка web-службы регистрации сертификатов
В окне указать центр сертификации для веб-службы регистрации сертификатов выбираем пункт «Имя ЦС».
Тип проверки подлинности – имя пользователя и пароль.
Учетная запись службы CES – использовать встроенное удостоверение пула приложений.
В окне выбора сертификата проверки подлинности сервера выберите существующий сертификат, затем нажмите кнопку настроить.
Настройка выполнена.
Выберите тип проверки подлинности – имя и пароль пользователя.
Включите режим обновления на останове ключей. Этот режим позволяет автоматически обновлять сертификаты ключей для компьютеров, которые не подключены к внутренней сети.
Перезагрузите сервер.
Установка и настройка удостоверяющего центра
Запустите консоль управления Microsoft (пуск, выполнить, mmc).
Далее нажмите файл, а затем добавить или удалить оснастку.
В левой части нужно выбрать пункт «Сертификаты» и нажать кнопку добавить.
В появившемся окне выбрать пункт учетной записи компьютера.
В следующем окне ничего не меняем и нажимаем кнопку готово. Оснастка добавлена.
В левой части окна можно увидеть папки, в которых хранятся сертификаты (11 штук). Они сортированы по типам сертификатов. Если нажать на папку «Личное» то можно посмотреть сертификаты в этой папке.
Запросим новый ключ, для этого нужно нажать на сертификате и выбрать меню «все задачи», а затем «запросить сертификат с новым ключом».
Появится окно перед началом работы. Жмем далее.
Видим окно запрос сертификатов и нажимаем «заявка».
Запускается процесс установки сертификата. После успешной установки появиться следующая надпись «Состояние: Успешно».
Теперь нам нужно связать сертификат с веб-сервером. Для этого нужно запустить диспетчер служб IIS.
В левой части окна нажать сайты, default web site, изменить привязки.
В появившемся окне нажмите добавить и введите данные как на изображении ниже.
Сохраните изменения и закройте окно.
Для проверки работоспособности Центра сертификации запустите браузер Internet Explorer и в строке навигации наберите адрес «https://192.168.0.1/certsrv/» (ip-адрес может отличаться от того, который указали вы).
Управление шаблонами сертификата
Работа с шаблонами сертификата требует установки оснастки «Шаблоны сертификатов». Откроем нашу консоль, которую мы создавали ранее и добавим оснастку «Шаблоны сертификатов».
Откроем шаблоны в главном окне консоли. Создадим новый шаблон.
Сначала нужно выбрать любой шаблон сертификата и нажать скопировать его.
Настроим шаблон. Выберите совместимость шаблона сертификата.
Задайте общие свойства шаблона.
В поле «отображаемое имя» , в строке «имя шаблона» будет тоже самое только без пробелов.
Параметры достоверности по умолчанию и периода обновления для сертификатов, выдаваемых службами сертификатов Active Directory (AD CS), предназначены удовлетворить большинство требований безопасности. Однако для сертификатов, используемых определенными группами пользователей, может потребоваться указать другие параметры достоверности и обновления, такие как более короткие срок действия или периоды обновления.
За это два параметра отвечают для поля «период действия» и «период обновления».
Параметр «опубликовать сертификат в Active Directory» определяет, будут ли сведения о шаблоне сертификата доступными по всему предприятию.
Параметр «не использовать автоматическую перезаявку, если такой сертификат уже существует в Active Directory». С помощью этого параметра автоматическая подача заявки на сертификат не подаст запрос повторной заявки, если в доменных службах Active Directory (AD DS) существует дубликат сертификата. Это дает возможность обновлять сертификаты, но предотвращает выдачу нескольких дубликатов сертификатов.
Обработка запроса. Цель имеет 4 возможных параметра:
- Вход с подписью и смарт-картой. Разрешает первоначальный вход в систему с помощью смарт-карты и цифровую подпись данных. Нельзя использовать для шифрования данных.
- Подпись. Содержит шифровальные ключи только для подписи данных.
- Подпись и шифрование. Охватывает все основные применения шифровального ключа сертификата, включая шифрование данных, дешифрование данных, первоначальный вход в систему и цифровую подпись данных.
- Шифрование. Содержит шифровальные ключи для шифрования и дешифрования.
Параметр «включить симметричные алгоритмы, разрешенные субъектом» позволяет администратору выбрать алгоритм стандарта AES для шифрования закрытых ключей, когда они передаются в ЦС для архивации ключа.
Если установлен этот параметр, клиент будет использовать симметричное шифрование AES-256 (наряду с сертификатом обмена ЦС для асимметричного шифрования), чтобы отправить закрытый ключ в ЦС для архивации.
Параметр «авторизация дополнительных учетных записей служб для доступа к закрытому ключу» позволяет задать настраиваемый список управления доступом (ACL) к закрытым ключам сертификатов компьютеров на основе любых шаблонов сертификатов компьютера версии 3 за исключением корневого ЦС, подчиненного ЦС и перекрестных шаблонов ЦС.
Настраиваемый список управления доступом необходим в случае, если учетная запись службы, которой требуется доступ к закрытому ключу, не включена в разрешения по умолчанию.
Вкладка шифрование. Определяется максимальный размер ключа. Я оставлю его без изменений.
Безопасность можно настроить по вашему усмотрению.
Шаблон сертификата готов.
На этом статья подходит к концу. Мы установили и настроили Active Directory Certificate Services.
Сертификаты являются важной составляющей безопасности сети и информации, передаваемой по ней. Центр сертификации Windows Server 2012 R2 предоставляет возможность создавать и управлять сертификатами, используя различные криптографические алгоритмы и протоколы.
В этой подробной инструкции мы рассмотрим, как создать сертификат в Центре сертификации Windows Server 2012 R2. Мы охватим все необходимые шаги, начиная от установки и настройки Центра сертификации, и заканчивая самим процессом создания сертификата.
Шаг 1: Установка и настройка Центра сертификации Windows Server 2012 R2
Перед тем как приступить к созданию сертификата, необходимо установить и настроить Центр сертификации Windows Server 2012 R2. Для этого откройте Панель управления, найдите и запустите Управление Центром сертификации. После установки и настройки Центра сертификации, вы будете готовы к созданию сертификатов.
Шаг 2: Создание шаблона сертификата
Прежде чем создать сертификат, необходимо создать шаблон, который будет использоваться для его генерации. Шаблон определяет параметры и ограничения сертификата, такие как срок его действия, цели использования и другие. Для создания шаблона откройте Центр сертификации, перейдите в раздел «Шаблоны сертификатов» и выберите «Создать шаблон сертификата». Заполните необходимые поля, укажите параметры и сохраните шаблон.
Шаг 3: Создание сертификата
Теперь, когда у вас есть шаблон сертификата, можно приступить к его созданию. Для этого вернитесь в Центр сертификации, выберите «Выдать новый сертификат» и выберите созданный ранее шаблон. Заполните необходимые поля, укажите параметры сертификата и нажмите «Выдать». Поздравляю! Вы только что создали сертификат в Центре сертификации Windows Server 2012 R2!
Помните, что хранение и управление сертификатами требует особой осторожности и безопасности. Обеспечьте безопасность своих сертификатов, регулярно обновляйте их и удаляйте ненужные сертификаты.
Теперь вы знаете, как создать сертификат в Центре сертификации Windows Server 2012 R2. Следуйте этой инструкции и вы сможете генерировать и управлять сертификатами по своему усмотрению, обеспечивая безопасность своей сети и информации.
Содержание
- Описание Центра сертификации Windows Server 2012 R2
- Шаг 1: Установка службы Active Directory Certificate Services (AD CS)
- Регистрация в Центре сертификации Windows Server 2012 R2
- Шаг 2: Создание запроса на сертификат
- Выбор типа сертификата
- Шаг 3: Создание запроса на сертификат
- Заполнение анкеты для создания сертификата
Описание Центра сертификации Windows Server 2012 R2
Центр сертификации Windows Server 2012 R2 (Certification Authority) представляет собой компонент операционной системы Windows Server, который позволяет создавать, управлять и распространять электронные сертификаты.
Сертификаты, созданные с помощью Центра сертификации Windows Server 2012 R2, используются для аутентификации, шифрования, цифровой подписи и других операций, связанных с обеспечением безопасности информации.
Центр сертификации Windows Server 2012 R2 предоставляет гибкую систему настройки и управления сертификатами, позволяя задавать правила выдачи, сроки действия, уровень безопасности и другие параметры сертификатов.
Для работы с Центром сертификации Windows Server 2012 R2 необходимо выполнить установку роли «Удостоверяющий центр» (Certification Authority) на сервере с установленной операционной системой Windows Server 2012 R2.
После установки роли «Удостоверяющий центр» и настройки параметров, Центр сертификации Windows Server 2012 R2 готов к созданию и управлению сертификатами.
Чтобы создать сертификат в Центре сертификации Windows Server 2012 R2, необходимо выполнить следующие шаги:
- Открыть Центр сертификации Windows Server 2012 R2;
- Выбрать тип сертификата (личный или удостоверяющий центр);
- Задать параметры сертификата (имя, описание, срок действия и другие);
- Сгенерировать закрытый ключ и запрос на сертификат (Certificate Signing Request);
- Отправить запрос на сертификат на сервер Центра сертификации;
- Подтвердить запрос и получить сертификат.
Кроме того, Центр сертификации Windows Server 2012 R2 позволяет выполнять другие операции с сертификатами, такие как отзыв и повторную выдачу, управление списками отозванных сертификатов и т. д.
Использование Центра сертификации Windows Server 2012 R2 позволяет организациям эффективно управлять безопасностью информации, обеспечивать аутентификацию пользователей и компьютеров, а также обеспечивать шифрование данных для защиты от несанкционированного доступа.
Шаг 1: Установка службы Active Directory Certificate Services (AD CS)
Перед созданием сертификатов в Центре сертификации Windows Server 2012 R2 необходимо установить службу Active Directory Certificate Services (AD CS). Для этого выполните следующие действия:
- Откройте «Установку ролей и компонентов» в меню «Управление сервером».
- Перейдите на вкладку «Роли» и выберите «Active Directory Certificate Services».
- Нажмите «Далее» и принимайте все значения по умолчанию, указывая соответствующие настройки.
- На странице «Сервисы роли» активируйте «Центр сертификации» и «Веб-службы сертификатов».
- Установите все зависимости и дополнительные файлы, необходимые для работы службы, нажав «Далее».
- Пройдите через остальные страницы мастера установки, принимая значения по умолчанию, и завершите процесс установки.
- После установки службы AD CS перезагрузите сервер, если потребуется.
После завершения установки службы AD CS вы будете готовы к созданию и управлению сертификатами в Центре сертификации Windows Server 2012 R2.
Регистрация в Центре сертификации Windows Server 2012 R2
Для начала процесса регистрации необходимо выполнить следующие шаги:
- Запустите Центр сертификации Windows Server 2012 R2, нажав на соответствующую иконку в панели инструментов.
- В появившемся окне выберите опцию «Регистрация нового пользователя» и нажмите «Далее».
- Введите необходимые данные для создания учетной записи нового пользователя, такие как имя, фамилию и адрес электронной почты. Убедитесь, что выбрано правильное местоположение учетной записи.
- Выберите тип пользователя, для которого будет создан сертификат, и установите необходимые разрешения доступа.
- Подтвердите введенные данные и нажмите «Завершить» для завершения регистрации нового пользователя в Центре сертификации.
После завершения регистрации, пользователю будет назначен уникальный идентификатор и создана учетная запись в Центре сертификации Windows Server 2012 R2. Теперь вы можете приступить к созданию и выпуску сертификатов для данного пользователя и установке их на сервер для обеспечения безопасности ишифрования данных.
Регистрация в Центре сертификации Windows Server 2012 R2 является важным шагом для обеспечения безопасности и защиты вашего сервера. Следуя указанным выше инструкциям, вы сможете успешно зарегистрироваться в Центре сертификации и получить необходимые сертификаты.
Шаг 2: Создание запроса на сертификат
После настройки Центра сертификации Windows Server 2012 R2 необходимо создать запрос на сертификат, который будет отправлен в удостоверяющий центр (УЦ). Это позволит получить цифровой сертификат для использования на сервере.
Следуйте этим шагам, чтобы создать запрос на сертификат:
- Откройте консоль управления Центром сертификации, нажав клавишу Win+X и выбрав пункт «Центр сертификации».
- На панели инструментов выберите «Создание запроса на сертификат».
- В появившемся окне «Создание запроса на сертификат» укажите данные для создания сертификата, такие как имя сервера, название организации, дополнительные сведения и т. д.
- Выберите подходящий алгоритм шифрования и ключевые параметры для сертификата.
- Укажите имя файла и путь для сохранения запроса на сертификат.
- Нажмите «ОК», чтобы завершить создание запроса на сертификат.
После создания запроса на сертификат необходимо отправить его в УЦ для получения самого сертификата. Для этого обратитесь к инструкциям удостоверяющего центра.
Выбор типа сертификата
В Центре сертификации Windows Server 2012 R2 предоставляется возможность создания разных типов сертификатов в зависимости от потребностей и целей.
Основные типы сертификатов, которые можно создать, включают:
- Самоподписанный сертификат: создается самостоятельно и не требует подтверждения со стороны других организаций или учреждений. Удобен для тестирования или использования внутри организации.
- Сертификат службы Active Directory: используется для обеспечения безопасности служебных учетных записей в Active Directory.
- Сертификат шлюза Интернета: предназначен для использования в сети шлюза Интернета и обеспечивает безопасную связь с внешними ресурсами.
- Сертификат веб-службы: используется для обеспечения безопасности веб-служб и обмена данными.
- Сертификат персонала: выдается от имени конкретного пользователя и используется для идентификации его личности.
- Сертификат устройства: выдается устройству и используется для его идентификации и обеспечения безопасной коммуникации.
Выбор типа сертификата должен базироваться на конкретных потребностях организации или пользователей. При выборе типа сертификата необходимо учесть его предназначение и возможность его использования в конкретной ситуации.
Шаг 3: Создание запроса на сертификат
Чтобы создать сертификат в Центре сертификации Windows Server 2012 R2, необходимо сначала создать запрос на сертификат. Этот запрос будет содержать информацию о том, какие данные должны быть включены в сертификат.
Для создания запроса на сертификат выполните следующие действия:
- Откройте Центр сертификации Windows Server 2012 R2.
- На панели навигации выберите «Сертификаты».
- В левом главном меню выберите «Запрос на сертификат».
- Выберите тип сертификата, который вы хотите создать.
- Нажмите кнопку «Далее».
- Введите данные, которые должны быть включены в сертификат, такие как имя организации, владельца сертификата, доменное имя и другие.
- Нажмите кнопку «Далее» и укажите расположение, где будет сохранен запрос на сертификат.
- Проверьте введенные данные и нажмите кнопку «Завершить», чтобы создать запрос на сертификат.
После создания запроса на сертификат вы можете отправить его в Центр сертификации или сохранить для последующего использования. Далее вам понадобится подтвердить запрос на сертификат и получить готовый сертификат.
Заполнение анкеты для создания сертификата
Для создания сертификата в Центре сертификации Windows Server 2012 R2 требуется заполнить анкету, в которой указываются основные данные для сертификата. Ниже приведены шаги по заполнению анкеты:
Шаг 1:
Перейдите на веб-страницу Центра сертификации и выберите опцию «Создать сертификат».
Шаг 2:
Заполните следующие поля:
— Название сертификата: введите название сертификата, которое будет использоваться для его идентификации;
— Компания: указываете название вашей компании;
— Адрес электронной почты: введите вашу электронную почту;
— Страна/регион: выберите вашу страну или регион;
— Штат: укажите штат или область, где находится ваша компания;
— Город/населенный пункт: введите название города или населенного пункта, где находится ваша компания;
— Отдел/подразделение: укажите отдел или подразделение компании;
— Использовать имя субъекта из указанного субъекта запроса (CSR): установите флажок, чтобы использовать имя субъекта из CSR.
Шаг 3:
Проверьте правильность заполнения всех полей и нажмите кнопку «Создать».
После успешного заполнения анкеты и создания сертификата вы получите файл сертификата, который можно будет использовать для различных целей, например, для обеспечения безопасного соединения с сервером.
Certification Authority Installation on Windows Server
Certification Authority Installation on Windows Server
Would you like to learn how to install a Certification Authority on Windows Server? In this tutorial, we are going to show you how to install and configure a Certification Authority on a computer running Windows server.
• Windows 2012 R2
Hardware List:
The following section presents the list of equipment used to create this Windows tutorial.
Every piece of hardware listed above can be found at Amazon website.
Windows Playlist:
On this page, we offer quick access to a list of videos related to Windows installation.
Don’t forget to subscribe to our youtube channel named FKIT.
Windows Related Tutorial:
On this page, we offer quick access to a list of tutorials related to Windows installation.
Tutorial — Certification Authority Installation on Windows
Open the Server Manager application.
Access the Manage menu and click on Add roles and features.
Access the Server role screen, select the Active Directory Certificate Services and click on the Next button.
On the following screen, click on the Add features button.
Keep clicking on the Next button until you reach the role service screen.
Enable the option named Certification Authority and click on the Next button.
On the confirmation screen, click on the Install button.
Wait the Certification Authority installation to finish.
You have finished the Active directory Certification Authority installation on Windows server.
Tutorial — Active Directory Certification Authority Configuration
Open the Server Manager application.
Click on the yellow flag menu and select the option: Configure Active Directory Certificate Services
On the credentials screen, click on the Next button.
Select the Certification Authority option and click on the Next button.
Select the Enterprise CA option and click on the Next button.
Select the Create a new private key option and click on the Next button.
Keep the default cryptography configuration and click on the Next button.
Set a common name to the Certification authority and click on the Next button.
In our example, we set the common name: TECH-CA
Set the Windows Certification authority validity period.
Keep the default Windows Certification authority database location.
Verify the summary and click on the Configure button.
Wait for the Windows server certification authority installation to finish.
After finishing the certification authority installation, reboot your computer.
You have finished the Windows Certification authority installation.
VirtualCoin CISSP, PMP, CCNP, MCSE, LPIC22019-10-01T22:05:20-03:00
Related Posts
Page load link
Ok