headermask image
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Разворачивание цепочки центров сертификации на основе Microsoft CA

В данной статье деться пошаговая инструкция по установке и настройке центров сертификации (Certification authority) на основе служб сертификатов (Certificate services) Microsoft входящей в Windows 2003.

Схема, которую будем реализовывать:

ca_shema.png

Корневой центр сертификации будем устанавливать на компьютер с именем RootCA.

Для развёртывания корневого центра сертификации необходим компьютер под управлением ОС Windows Server с установленным IIS версии 6.0 или выше. Необходимо проверить наличие ASP на сервере IIS. Компьютер не должен входить в домен. Подключать данный компьютер к сети так же не обязательно, однако, сетевая карта на компьютере должна присутствовать.

Установка центра сертификации проходит по умолчанию. То есть во время установки никакие настройки менять не надо. Убеждаемся, что выбрана установка Stand-alone root CA

rootca_pic1.png

Единственная вещь, которую необходимо указать – это имя нашего корневого центра сертификации (назовём его ROOT CA).

rootca_pic2.png

Так как данный компьютер не будет доступен по сети, то нам необходимо указать место в нашей сети, где будет лежать файлик, содержащий список отозванных сертификатов. Допустим, данным местом будет сервер, на котором будет установлен подчинённый центр сертификации – это компьютер с именем SubCA. Для этого нам необходимо подправить свойства корневого центра сертификации.

  1. Заходим с свойства корневого центра сертификации.

    rootca_pic3.png

  2. Переходим на вкладку Extensions

    rootca_pic4.png

  3. На этой вкладке в выпадающем списке выбираем значение CRL Distribution Point.
  4. Затем в поле ниже удаляем две записи начинающиеся на http:// и file://
  5. Далее в этом же поле добавляем две записи вида:
    • http://SubCA.domain.local/CertEnroll/<CaName><CRLNameSuffix><DeldaCRLAllowed>.crl
    • file://\\SubCA.domain.local\CertEnroll\<CaName><CRLNameSuffix><DeldaCRLAllowed>.crl
    • для каждой добавленной записи устанавливаем галочки:
      1. Include in CRLs. Clients use this to find Delta CRL locations.
      2. Include in the CDP extension of issued certificates.

      rootca_pic5.png

  6. Затем на вкладке в выпадающем списке выбираем значение Authority Information Access.
  7. В поле ниже удаляем две записи начинающиеся на http:// и file://
  8. Далее в этом же поле добавляем две записи вида:
    • http://SubCA.domain.local/CertEnroll/<CaName><CRLNameSuffix><DeldaCRLAllowed>.crl
    • file://\\SubCA.domain.local\CertEnroll\<CaName><CRLNameSuffix><DeldaCRLAllowed>.crl
    • для каждой добавленной записи устанавливаем галочку:
      1. Include in the AIA extension of issued certificates.

      rootca_pic6.png

      Обратите внимание, что указывается полное (FQDN) доменное имя компьютера.
      Данными действиями мы указали хранилище, в котором будет лежать файл, содержащий список отозванных сертификатов корневого сервера.

Затем необходимо настроить срок годности списка отозванных сертификатов (по умолчанию неделя), иначе придётся каждую неделю публиковать новый список отозванных сертификатов, и выкладывать его в сеть (так как наш корневой центр сертификации не подключён к сети). Для этого, правой кнопкой мыши нажимаем на Revoked Certificates и в контекстном меню выбираем пункт Свойства.

rootca_pic2_1.png

Затем в появившемся окне меняем значение CRL Publication Interval на необходимое, например, на 1 год. (Это означает, что список отозванных сертификатов, будет действителен в течении года).

rootca_pic2_2.png

После этих действий, список отозванных сертификатов может перестать публиковаться в виде файла (наверное, это фича, а не бага), и его придётся экспортировать из реестра (как это сделать будет описано ниже).

После всех действий рекомендуется перегрузить центр сертификации.

На этом настройка корневого центра сертификации закончена. Но он нам ещё понадобиться для выписки сертификата.

Теперь займёмся установкой подчинённого центра сертификации. Для развёртывания подчинённого центра сертификации необходим компьютер под управлением ОС Windows Server 2003 Enterprise с установленным IIS версии 6.0 или выше. Необходимо проверить наличие ASP на сервере IIS. Компьютер должен быть членом домена (может быть контроллером домена).

При установке центра сертификации необходимо указать, что наш сервер является Enterprise Subordinate CA

subca01.png

И задать ему имя (например, SUB CA).

subca02.png

После установки, подчинённый центр сертификации попросит указать корневой центр сертификации или сохранить запрос на сертификат в файл. Так как корневой центр сертификации не доступен по сети, то мы сохраняем запрос в файл.

subca03.png

Затем переносим этот файл запроса на корневой центр (ROOT CA) сертификации, импортируем запрос в центр сертификации:

rootca_pic1_1.png

rootca_pic1_2.png

и затем, на основе импортированного запроса выдаём сертификат:

rootca_pic1_3.png

rootca_pic1_4.png

Затем данный сертификат экспортируется в файл.

rootca_pic1_5.png

rootca_pic1_6.png

Далее публикуем список отозванных сертификатов (даже если у нас нет отозванных сертификатов, данную операцию всё равно необходимо выполнить).

rootca_pic1_9.png

Затем нам необходимо 3 файла перенести с машины, где установлен корневой центр сертификации на машину с подчинённым центром сертификации:

  • Файл, содержащий открытый ключ корневого центра сертификации, в нашем случае RootCA_ROOT CA.cer находиться в папке %system root%\system32\certsrv\certenroll – это должен быть единственный файл сертификата, в имени которого содержится имя компьютера и имя центра сертификации.
  • Файл, содержащий сертификат, выданный подчинённому центру сертификации на основании запроса. В нашем случае это SubCA.domian.local_SUB CA.cer. Местоположение данного файла указывается при экспортировании данного сертификата в файл (как было описано выше).
  • И последний файл, это файл, содержащий список отозванных сертификатов. Этот файл находиться в папке %system root%\system32\certsrv\certenroll и имеет расширение .crl. В нашем случае это ROOT CA.crl (файл содержащий в конце имени файла знак «+», содержит дельту списка отозванных сертификатов). Однако, как было описано выше, файла, содержащего список отозванных сертификатов, может не быть в этой папке, тогда этот файл необходимо экспортировать из реестра. Для этого открываем консоль управления сертификатами локального компьютера, и экспортируем необходимый список отозванных сертификатов в файл:

    rootca_pic2_4.png

Как было сказано выше, эти три файла мы переносим с корневого центра сертификации на подчинённый. Сертификат корневого центра сертификации импортируем на компьютер с установленным подчинённым центром сертификации (для этого достаточно просто открыть файл сертификата и нажать кнопку «установить сертификат»). Файл, содержащий список отозванных сертификатов необходимо положить в папку %system root%\system32\certsrv\certenroll (это тот путь, который мы указывали, когда меняли свойства корневого центра сертификации). А так же необходимо импортировать в реестр, с помощью остнастки – сертификаты. Файл, содержащий сертификат подчинённого центра сертификации необходимо импортировать в подчинённый центр сертификации:

subca04.png

subca05.png

Теперь запускаем подчинённый центр сертификации.

После того, как подчинённый центр сертификации стартовал, корневой центр сертификации можно выключать и убирать в сейф. Он нам потом может понадобиться в двух случаях:

  • Мы заходим поднять ещё один подчинённый центр сертификации второго уровня;
  • Нам понадобиться перевыписать сертификат подчинённого центра сертификации;

Теперь необходимо настроить подчинённый центр сертификации.

В список доступных к выдачи шаблонов сертификатов необходимо добавить два шаблона Enrollment Agent (Computer) и Enrollment Agent, для этого нажимаем правой кнопкой мыши на Certificate Templates, из контекстного меню выбираем New и затем Certificate Template to Issue.

subca1_1.png

В появившемся окне выбираем два шаблона сертификатов Enrollment Agent и Enrollment Agent (Computer) и нажимаем «Ok».

subca1_2.png

И убеждаемся, что эти шаблоны сертификатов появились в списке доступных к выдачи шаблонов сертификатов:

subca1_3.png

Далее, для сотрудника, отвечающего за выдачу сертификатов, необходимо выписать сертификат Enrollment Agent. Это можно сделать через Web-интерфейс. Для этого идём на адрес http://имя_компьютера_подчинённого_ЦС/certsrv (в нашем случае http://SubCA/certsrv). На странице выбираем пункт: Request a certificate:

subca2_1.png

Далее выбираем Advanced certificate request:

subca2_2.png

Затем Create and submit a request to this CA:

subca2_3.png

Затем из выпадающего списка выбираем шаблон Enrollment Agent и нажимаем Submit. После этого устанавливаем полученный сертификат на компьютер.

Для того, чтобы выписывать сертификаты другим пользователям необходимо или иметь сертификат Enrollment Agent установленный в профиле пользователя, который будет выдавать сертификаты, или Enrollment Agent (Computer), установленный на компьютере, на котором будет осуществляться выдача сертификатов.

Для того, чтобы запросить сертификат Enrollment Agent или Enrollment Agent (Computer) необходимо входить в группу Администраторов Домена.

Пользователю, который будет выписывать сертификаты другим пользователям, входить в группу администраторов домена не обязательно, достаточно входить в группу пользователи домена. Но ему необходимо настроить права доступа на запись и чтение на цент сертификации, а так же права на запись, чтение, выдачу и автовыдачу на шаблон, по которому будут сертификаты выдаваться. На локальной машине, пользователь должен входить в группу продвинутых пользователей, это необходимо для запуска ActiveX комнонентов.

Для проверки возможности авторизации в домене на основе сертификата необходимо проверить, что с компьютера, с которого осуществляется вход, доступна сетевая папка \\имя_сервера_подчинённого_ЦС\certenroll (в нашем случае \\SubCA\certenroll) и все файлы, имеющие расширение .crl доступны для чтения.
Оригинал тут

Похожие посты
  • Веб-трансляция: Особенности служб сертификации в Windows Server 2008
  • 23 ноября. Веб-трансляция “Обзор Windows Server Virtualization”
  • Microsoft Office Live Workspace. Попытка раз.
  • Data Protection Manager 2010 (V3)
  • Веб-трансляция: Active Directory Rights Management Services в Windows Server 2008
  • Веб-трансляция: Внешний доступ к службам RMS (Windows Server 2008)
  • Веб-трансляция: Новые приемы управления серверами в Windows Server 2008: Server Manager и PowerShell
  • 1 октября. Веб-трансляция “Windows Server Core: отличия от полной версии Windows Server 2008. Варианты применения.”
  • WSUS станет опциональной ролью для Windows Server 2008 Server Manager
  • Немного о Windows Server 2008, калькулятор в Windows 7, про библиотеку.
  • 2 комментов оставлено (Add 1 more)

    1. Читатели, обратите внимание… в статье есть несколько критических ошибок, по невнимательности из за которых приходится теперь все перенастраивать. В частности, как уже отмечено выше в путях публикации CDP и AIA ошибка, DeldaCRLAllowed вместо DeltaCRLAllowed…. а так же ошибка с расширением файлов, для CDP должно быть crl а для AIA crt

      1. Donner on March 1st, 2014 at 5:25 pm
    2. Возможно имелось ввиду не DeldaCRLAllowed, а DeltaCRLAllowed

      2. ILF on March 30th, 2010 at 10:45 am