Настройка центра сертификации windows 2020 r2: Windows Server. Создание автономного центра сертификации.

Установка центра сертификации | Microsoft Docs

• 
  08.08.2020
• Чтение занимает 3 мин

В этой статье

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Эту процедуру можно использовать для установки служб сертификатов Active Directory (AD CS), чтобы можно было зарегистрировать сертификат сервера на серверах, на которых выполняется сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или оба.You can use this procedure to install Active Directory Certificate Services (AD CS) so that you can enroll a server certificate to servers that are running Network Policy Server (NPS), Routing and Remote Access Service (RRAS), or both.

Важно!

• Перед установкой служб Active Directory сертификатов необходимо присвоить компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену.Before you install Active Directory Certificate Services, you must name the computer, configure the computer with a static IP address, and join the computer to the domain. Дополнительные сведения о выполнении этих задач см. в разделе сетевого руководствапо Windows Server 2016 Core.For more information on how to accomplish these tasks, see the Windows Server 2016 Core Network Guide.
• Для выполнения этой процедуры компьютер, на котором устанавливается AD CS, должен быть присоединен к домену, где установлена служба домен Active Directory Services (AD DS).To perform this procedure, the computer on which you are installing AD CS must be joined to a domain where Active Directory Domain Services (AD DS) is installed.

Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры.Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

Примечание

Чтобы выполнить эту процедуру с помощью Windows PowerShell, откройте Windows PowerShell и введите следующую команду и нажмите клавишу ВВОД.To perform this procedure by using Windows PowerShell, open Windows PowerShell and type the following command, and then press ENTER.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

После установки AD CS введите следующую команду и нажмите клавишу ВВОД.After AD CS is installed, type the following command and press ENTER.

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Установка служб сертификатов Active DirectoryTo install Active Directory Certificate Services

Совет

Если вы хотите использовать Windows PowerShell для установки служб Active Directory Certificate Services, см. раздел Install-адксцертификатионаусорити для командлетов и необязательных параметров.If you want to use Windows PowerShell to install Active Directory Certificate Services, see Install-AdcsCertificationAuthority for cmdlets and optional parameters.

1. Войдите в систему как член группы «Администраторы предприятия» и группу «Администраторы домена корневого домена».Log on as a member of both the Enterprise Admins group and the root domain’s Domain Admins group.

2. Откройте диспетчер серверов, щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты.In Server Manager, click Manage, and then click Add Roles and Features. Откроется мастер добавления ролей и компонентов.The Add Roles and Features Wizard opens.

3. На странице Перед началом работы нажмите кнопку Далее.In Before You Begin, click Next.

   Примечание

   Страница Перед началом работы мастера добавления ролей и компонентов не отображается, если при предыдущем запуске мастера был установлен флажок Пропустить эту страницу по умолчанию.The Before You Begin page of the Add Roles and Features Wizard is not displayed if you have previously selected Skip this page by default when the Add Roles and Features Wizard was run.

4. На странице Выбор типа установки убедитесь, что выбрана Установка ролей или компонентов, затем нажмите кнопку Далее.In Select Installation Type, ensure that Role-Based or feature-based installation is selected, and then click Next.

5. На странице Выбор целевого сервера убедитесь, что выбран пункт Выберите сервер из пула серверов.In Select destination server, ensure that Select a server from the server pool is selected. На странице Пул серверов проверьте, что выбран локальный компьютер.In Server Pool, ensure that the local computer is selected. Щелкните Далее.Click Next.

6. В окне Выбор ролей серверав списке роливыберите Active Directory службы сертификации.In Select Server Roles, in Roles, select Active Directory Certificate Services. Когда появится запрос на добавление необходимых компонентов, щелкните Добавить компоненты, а затем нажмите кнопку Далее.When you are prompted to add required features, click Add Features, and then click Next.

7. В окне Выбор компонентовнажмите кнопку Далее.In Select features, click Next.

8. В Active Directory службах сертификациипрочтите предоставленные сведения и нажмите кнопку Далее.In Active Directory Certificate Services, read the provided information, and then click Next.

9. На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.In Confirm installation selections, click Install. Не закрывайте мастер в процессе установки.Do not close the wizard during the installation process. После завершения установки щелкните настроить Active Directory службы сертификатов на целевом сервере.When installation is complete, click Configure Active Directory Certificate Services on the destination server. Откроется мастер настройки служб сертификатов Active Directory.The AD CS Configuration wizard opens. Прочтите учетные данные и при необходимости укажите учетные данные для учетной записи, которая является членом группы «Администраторы предприятия».Read the credentials information and, if needed, provide the credentials for an account that is a member of the Enterprise Admins group. Щелкните Далее.Click Next.

10. В службах ролейщелкните центр сертификации, а затем нажмите кнопку Далее.In Role Services, click Certification Authority, and then click Next.

11. На странице тип установки убедитесь, что выбран параметр ЦС предприятия , и нажмите кнопку Далее.On the Setup Type page, verify that Enterprise CA is selected, and then click Next.

12. На странице Укажите тип страницы ЦС убедитесь, что выбран параметр корневой ЦС , и нажмите кнопку Далее.On the Specify the type of the CA page, verify that Root CA is selected, and then click Next.

13. На странице Указание типа закрытого ключа убедитесь, что выбран параметр создать новый закрытый ключ , а затем нажмите кнопку Далее.On the Specify the type of the private key page, verify that Create a new private key is selected, and then click Next.

14. На странице шифрование для центра сертификации сохраните параметры по умолчанию для CSP (поставщик хранилища ключей RSA) и алгоритм хэширования (SHA2) и определите максимальную длину символов ключа для развертывания.On the Cryptography for CA page, keep the default settings for CSP (RSA#Microsoft Software Key Storage Provider) and hash algorithm (SHA2), and determine the best key character length for your deployment. Большие ключевые длины символов обеспечивают оптимальную безопасность; Однако они могут повлиять на производительность сервера и могут быть несовместимы с устаревшими приложениями.Large key character lengths provide optimal security; however, they can impact server performance and might not be compatible with legacy applications. Рекомендуется использовать значение по умолчанию 2048.It is recommended that you keep the default setting of 2048. Щелкните Далее.Click Next.

15. На странице имя ЦС сохраните Предлагаемое общее имя ЦС или измените имя в соответствии с вашими требованиями.On the CA Name page, keep the suggested common name for the CA or change the name according to your requirements. Убедитесь, что имя ЦС совместимо с соглашениями об именовании и целями, так как вы не можете изменить имя ЦС после установки служб AD CS.Ensure that you are certain the CA name is compatible with your naming conventions and purposes, because you cannot change the CA name after you have installed AD CS. Щелкните Далее.Click Next.

16. На странице срок действия в поле Укажите срок действиявведите число и выберите значение времени (годы, месяцы, недели или дни).On the Validity Period page, in Specify the validity period, type the number and select a time value (Years, Months, Weeks, or Days). Рекомендуется использовать значение по умолчанию, равное пяти годам.The default setting of five years is recommended. Щелкните Далее.Click Next.

17. На странице база данных ЦС в поле укажите расположения базы данныхукажите расположение папки для базы данных сертификатов и журнала базы данных сертификатов.On the CA Database page, in Specify the database locations, specify the folder location for the certificate database and the certificate database log. Если указаны расположения, отличные от расположений по умолчанию, убедитесь, что папки защищены с помощью списков управления доступом (ACL), которые не позволяют неавторизованным пользователям или компьютерам получать доступ к базе данных и файлам журналов ЦС.If you specify locations other than the default locations, ensure that the folders are secured with access control lists (ACLs) that prevent unauthorized users or computers from accessing the CA database and log files. Щелкните Далее.Click Next.

18. В окне Подтверждениенажмите кнопку настроить , чтобы применить параметры, а затем нажмите кнопку Закрыть.In Confirmation, click Configure to apply your selections, and then click Close.

GOST ГОСТ. Как развернуть собственный Удостоверяющий Центр УЦ CA win

Установка и настройка Удостоверяющего Центра на базе Windows Server

1)Изменим имя сервера (Computer name) — Панель управления\Система и безопасность \ Система

и установим крипто провайдера CSPSetup-4.0.9842.exe

Перезагружаем компьютер
После установки Microsoft CA изменить имя сервера нельзя.
2)Добавляем Роль сервис через оснастку Диспетчер серверов (Server Manager)

2.1)Выбираем сервер

2.2)Роли сервера:Отмечаем Веб-сервер (IIS) , Службы сертификатов Active Ditectory (active directory certificate services)

2.3)Службы ролей: Отмечаем Служба регистрации в центре сертификации через Интернет (Online Certificate Authority Registration Service)

2.4)Подтверждение нажимаем кнопку Установить

3)Диспетчер серверов \ Настройка службы сертификатов Active directory

3.1)Службы ролей отметим: Центр сертификации , Служба регистрации в центре сертификации Интернет

3.2)Вариант установки — Автономный ЦС

3.3)Укажите тип ЦС — Корневой ЦС

3.4)Укажите тип закрытого ключа — Создать новый закрытый ключ

3.5)Шифрование для ЦС crypto-pro gost r 34.10-2012 cryptographic service provider 512
Отметить Разрешить взаимодействие с администратором , если ЦС обращается к закрытому ключу

3.6)Закрытый ключ ,заполняем Имя ЦС

3.7)Срок действия — укажите период действия корневого сертификата , водить мышкой при запросе

3.8)Выберете устройство\место хранение сертификата и задайте пароль

3.9)КриптоПро csp Установить новый пароль , запомнить пароль

4.0)Настройка установка Службы сертификации Active Diretory завершена

4.1)Диспетчер служб IIS — Сертификат сервера

4.2)Создать самозаверенн ый сертификат.. указать имя — web

4.3)Сайты Default Web Site , Привязки.. добавить тип httpS , SSL-сертификат web

5)Настройка Центр сертификации crtsrv
CRL Distribution Points (CDP) Списки отзывов сертификатов
Authority Information Access (AIA) Сведения о центрах сертификации

Отметить Включить в CRL . Клиенты используют для поиска в размещениях Delta CRL , Включать в CDP-расширения выданных сертификатов

5.1)Настройка политики выдачи сертификатов — по умолчанию требуется подтверждение администратора

6)Выпуск \ получение сертификата через веб интерфейс httpS://msk01-ca/certsrv/

Запрос сертификата\Расширенный запрос сертификата\Создать и выдать запрос к этому ЦС

Примечание:

Для возможности дальнейшего выбора криптопровайдера “КриптоПро CSP” в окне создания запроса на сертификат, выполните следующее:

в файле System32\certsrv\certsgcl.inc измените значение константы Const  nMaxProvType с 25 на 99. В стандартном скрипте перечислено только 25 типов криптопровайдера.

https://www.youtube.com/channel/UCnu9HxldaUZZg_DzCKcK23w/ https://www.youtube.com/watch?v=_SOIUW22e-o

КриптоПро 4 ошибки в журнале событий Windows

Установка и настройка корневого центра сертификации (RootCA)

Установка и настройка корневого центра сертификации (RootCA)

Следующий этап внедрения инфраструктуры открытых ключей – установка корневого удостоверяющего центра. Как правило это виртуальная машина, при этом ее не следует подключать к сети, поскольку это может создать потенциальный риск компрометации. Весь информационный обмен: перенос сертификатов и списков отзыва, передача запросов к центру сертификации и выданных сертификатов с него осуществляется с помощью внешнего защищенного носителя, доступ к которому ограничен доверенным кругом лиц.

Процедура самой установки службы сертификатов не отличается от установки любой другой роли Windows Server 2016, и знакома системному администратору. Добавляется новая роль – Active Directory Certificate Service. Перед установкой следует разместить файл capolicy.inf [1], содержимое которого мы обсуждали в предыдущей статье [3] в папке systemroot. См. рис. 1.

Установка и настройка корневого центра сертификации (RootCA)

рис. 1.

Это позволит нам выполнить начальную конфигурацию сервера сертификатов. В процессе установки сервиса, вернее будет сказать послеустановочной настройки см. рис. 2., потребуется задать учетную запись, от имени которой будет работать служба, тип развертывания – «Stand Alone CA», роль удостоверяющего центра – «RootCA».

рис. 2.

Также будет необходимо создать новый частный ключ, указать требуемый криптоалгоритм и длину ключа, алгоритм хеширования, срок жизни сертификата. После этого может сложится впечатление, что настройка завершена, однако это не так. Дело в том, что многие параметры работы сервера сертификатов останутся в состоянии «по-умолчанию», что приведет к неверной работе. Так, например, точки публикации сертификатов (AIA) см. рис. 3 и списков отзыва (CDP) см. рис. 4, порядок их опроса не будут соответствовать нашим потребностям, параметры логирования не будут заданы вовсе.

рис. 3.

рис. 4.

AIA расшифровывается как Authority Information Access и определяет место хранение актуальных сертификатов нашего сервера. CDP – дает нам возможность определить место хранения списков отзывов, подписанных нашим сервером сертификатов. Оба эти расширения содержаться во всех выданных удостоверяющим центром сертификатах и, соответственно, должно быть доступны всем потребителям.

Получается, клиенты должны обладать возможностью проверять цепочку сертификатов и список отзыва, обращаясь по тем, которые указаны в сертификате, то есть определены в AIA и CDP расширениях при настройке. Если это сделать не получится, то сервисы, ради которых внедрялась инфраструктура открытых ключей будет неработоспособна. Например, вы хотели использовать сертификаты для аутентификации с помощью смарт карт, но пользователь не смог проверить список отзыва по заданному вами пути, в этом случае войти по смарт карте не выйдет.

Изменение этих настроек может быть выполнено разными способами. Может быть использован графический интерфейс (GUI), утилита certutil [4], с помощью которой можно полностью выполнять любые задачи из командной строки, наконец воспользоваться командлетами powershell.

Certutil.exe – программа командной строки, которая устанавливается как часть служб сертификации. Используется для сбора информации о конфигурации удостоверяющего центра, настройки служб сервиса, резервного копирования и восстановления компонентов ЦС и проверки сертификатов, пар ключей и цепочек сертификатов.

Администратор может вносить изменения в AIA и CDP расширения, однако на уже выданные сертификаты это никак не повлияет, они содержат предыдущие значения, соответственно, надо учитывать этот факт, и не лишать обладателей ранее выданных сертификатов возможности работы. Порядок строк в CDP, определяет последовательность проверки списка отзыва сертификатов. Получается, что, при наличии внешних клиентов, надо учесть, что проверка, скажем LDAP пути, который по-умолчанию стоит раньше в списке, будет для них просто невозможна. То есть будут возникать задержки [5] пока получится добраться до «рабочего» варианта. В этой ситуации, будет целесообразно, первым разместить HTTP путь. Это же будет относится и к не Windows клиентам, которые не будут использовать LDAP для поиска сертификатов и списков отзыва.

Вообще, наиболее часто используемым будет именно HTTP вариант, поскольку он универсален и подходит любому типу клиента независимо от его членства в домене AD DS и типа.

Стоит отметить, что у нас нет возможности частичной корректировки уже внесенной строки. Также невозможно изменить порядок следования строк. И, поскольку указанный по-умолчанию вариант в большинстве случаем не подходит, то ничего не остается, как только удалить эти строки полностью и внести новые значения, соответствующие требованиям. На этом этапе должны быть уже определены места хранения сертификатов и списков отзыва и подготовлен веб сервер, что уже обсуждалось в предыдущей статье [3].

Еще один важный момент – как выполнить эти настройки? Конечно, это может быть сделано «вручную» с помощью графического интерфейса, однако при таком способе вероятность ошибок из-за невнимательности возрастает, поэтому лучше будет воспользоваться заранее подготовленным и отлаженным скриптом, который и выполнит все необходимые модификации реестра и настроит CA.

Для настройки параметров CDP будем применять утилиту certutil и воспользуемся следующей командой:

CertUtil [Options] -setreg [{ca|restore|policy|exit|template|enroll|chain|PolicyServers}[ProgId]]RegistryValueName Value+ ,

с помощью, которой и назначим точки публикации CRL.

Определимся с тем, каких результатов нам требуется добиться.

Список отзыва сертификатов публикуется на самом сервере сертификатов в виде обычного файла с расширением CRL. Стало быть, надо указать папку, где будет этот файл храниться. Например, тот вариант, который предлагается по-умолчанию:

C:\Windows\system32\CertSrv\CertEnroll.

Он нам вполне подойдет. Следует понимать, что клиенты его получить не смогут, поскольку наш корневой сервер сертификатов для них недоступен. RootCA отключен от сети, да и вообще выключен. Значит файл его списка отзыва должен храниться где-то еще. То есть на сервере распространения – это наш веб сервер, который мы раньше установили. Нам придется его туда скопировать. Мы вернемся к вопросу переноса данных чуть позже в следующих статьях этого цикла.

Пусть все настроено и наши клиенты уже работают с сертификатами, например, пытаются подключиться по SSL.

Получив сертификат веб сервера при попытке установить соединение с ним, проверяется не отозван ли сам сертификат и сертификаты выдавшего центра сертификации, и всех удостоверяющих центров до корневого включительно и действительна ли цепочка сертификатов не устарели ли они.

Значит список отзыва RootCA должен быть включен в выданные им сертификаты.

Какие пути надо включить? Первым будет HTTP, а вторым LDAP путь для клиентов AD. Вероятней всего, до проверки LDAP дело не дойдет, но мы все-таки дополнительно внесем и этот путь.

Включим публикацию этих путей в сертификате. То есть получив сертификат, клиент точно будет знать куда идти для проверки. С дополнительными параметрами в этой команде можно познакомиться в статье [5].

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://pki.nwtraders.msft/PKI/%3%8.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10”

Сам сертификат УЦ тоже должен где-то храниться, мы используем путь по-умолчанию: C:\Windows\system32\CertSrv\CertEnroll.

Теперь то, что касается проверки цепочки доверия сертификатов, клиенты будут проверять сами сертификаты, то есть надо включить информацию о их месте нахождения. Точно также мы воспользуемся http и ldap путями.

Настройку AIA выполним таким образом:

certutil -setreg CA\CACertPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%4.crt\n2:http://pki.nwtraders.msft/PKI//%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11”

Для настройки срока действия сертификата и периодичности публикации CRL, если нам требуется изменить уже внесенные с помощью capolicy.inf значения, с помощью все той же утилиты certutil делается нижеследующее:

certutil -setreg CA\ValidityPeriodUnits 20

certutil -setreg CA\ValidityPeriod “Years”

certutil -setreg CA\CRLPeriodUnits 26

certutil -setreg CA\CRLPeriod “Weeks”

certutil -setreg CA\CRLOverlapUnits 2

certutil -setreg CA\CRLOverlapPeriod “Weeks”

certutil -setreg CA\CRLDeltaPeriodUnits 0

certutil -setreg CA\CRLDeltaPeriod “Hours”

Последовательно здесь настраиваются:

• Период действия сертификата центра сертификации
• Единицы измерения для ValidityPeriodUnits
• Периодичность выпуска списков CRL и Delta CRL, а также срок продленного действия списков CRL

Последнее, что осталось сделать – настроить аудит.

certutil -setreg CA\AuditFilter 127

Наконец, для определения значения переменной %6 -<ConfigurationContainer> выполните следующую команду:

certutil -setreg ca\DSConfigDN “CN=Configuration,DC=nwtraders,DC= msft”

Вот теперь мы можем считать, что корневой центр сертификации развернут.

источник

Записки IT специалиста: Установка Центра Сертификации Windows.

Центр сертификации (ЦС, СА) —  важнейший элемент в безопасности ИТ инфраструктуры организации. Для того чтобы выдавать серверам и рабочим станциям сертификаты, нам нужно иметь в нашей локальной сети минимум один ЦС. Для этого на любом сервере нашей сети под управлением Windows 2008 R2 (непринципиально) нам нужно установить роль Службы сертификации Active Directory. 



Установка:

1. Открываем Диспетчер Сервера и нажимаем «Добавить роли» (Рис.1):

    Рис.1.

     2.  На странице приветствия нажимаем Далее (Рис.2):

    Рис.2.

     3.  Выбираем роль «Службы сертификации Active Directory» и нажимаем Далее (Рис.3):

    Рис.3.

     4.  На странице знакомства со службами сертификации нажимаем Далее (Рис.4):

    Рис.4.

     5.  На странице «Выбор служб ролей» добавляем галку «Служба регистрации в центре сертификации через Интернет», откроется «Мастер добавления ролей», нажимаем «Добавить требуемые службы роли». Окно «Мастера добавления ролей» закроется и в окне «Выбор служб ролей» жмем Далее (Рис.5-6):

    Рис.5.

    Рис.6.

     6.  Далее, в окне «Задание типа установки» выбираем «Предприятие» и нажимаем Далее (Рис.7):

    Рис.7.

     7.  В окне «Задание типа ЦС» выбираем «Корневой ЦС» и нажимаем Далее (Рис.8):

    Рис.8.

     8.  В окне «Установка закрытого ключа» выбираем «Создать новый закрытый ключ» и нажимаем Далее (Рис.9):

    Рис.9.

     9.  В окне «Настройка шифрования для ЦС» нажимаем Далее (Рис.10):

    Рис.10.

     10.  На странице «Задание имени ЦС» нажимаем Далее (Рис.11):

    Рис.11.

     11.  В окне «Установить срок действия» устанавливаем нужный нам срок действия сертификата и нажимаем Далее (Рис.12):

    Рис.12.

     12.  В окне «Настройка базы хранения сертификатов» можем изменить каталог с БД или оставить по умолчанию. Нажимаем Далее (Рис.13):

    Рис.13.

     13.  На странице «Веб-сервер» нажимаем Далее (Рис.14):

    Рис.14.

     14.  На странице «Выбор служб ролей» оставляем все по умолчанию и нажимаем Далее (Рис.15):

    Рис.15.

     15.  Далее будет страница «Подтверждение выбранных элементов для установки», нажимаем Установить (Рис.16):

    Рис.16.

     16.  После успешной установки нажимаем Закрыть (Рис.17):

    Рис.17.

     17.  Консоль Центра Сертификации можно открыть так: Пуск -> Администрирование -> Центр Сертификации (Рис.18):

    Рис.18.

     18.  Запрашивать, загружать и проверять статус запроса на сертификат необходимо через браузер по адресу: http://your_server/certsrv (Рис.19):

    Рис.19.

Успехов!

Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows

Как добавить корневой сертификат в доверенные в Windows на уровне системы

1. Мастер импорта сертификатов

Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:

В открывшемся окне нажмите кнопку «Установить сертификат»:

Выберите один из вариантов:

• «Текущий пользователь» — сертификат будет иметь эффект только для одного пользователя
• «Локальный компьютер» — сертификат будет иметь эффект для всех пользователей данного компьютера

Выберите «Пометить все сертификаты в следующие хранилища»:

Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:

Нажмите «Далее»:

Нажмите «Готово»:

Сообщение об успешном импорте:

Теперь сертификат будет доступен в Менеджере Сертификатов:

2. Добавление root CA сертификата в Менеджере Сертификатов

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

certmgr.msc

Кликните правой кнопкой мыши по пункту «Доверенные корневые центры сертификации», выберите пункт «Все задачи» → «Импорт»:

Нажмите «Далее»:

Укажите папку и имя файла:

Нажмите «Далее»:

Всё готово:

Подтвердите:

Теперь действительно всё готово:

Только что импортированный сертификат в Менеджере Сертификатов:

Как добавить корневой сертификат в доверенные в Windows в веб браузеры

Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.

Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:

• В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Нажмите кнопку «Импортировать»:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Связанные статьи:

Уход сертификаций Microsoft MCSA и MCSE : с июня 2020 года

Новости о серьёзных изменениях в сертификациях Microsoft появились и подтвердили недавние опасения.

Суть достаточно проста – сертификации “по продуктам”, а также вся линейка MCSA и MCSE – уходят.

Сертификаций по новым продуктам – Windows Server 2019 и SQL Server 2019 – не будет. Также с июня прекратится приём экзаменов на предыдущие линейки продуктов – Windows Server 2012 R2 и Windows Server 2016.

Картинка новых сертификаций будет выглядеть примерно так:

Сплошь натаскивание на конкретные продукты, базовых технологий – около нуля. От этого – очевидная “ликвидность” подобных сертификаций вне худеющей экосистемы Microsoft.

Особняком стоит новая и очередная попытка Microsoft сделать экспертную сертификацию (старожилы засмеются, вспомнив MCA и MCM) – MS365 Enterprise Administrator Expert. Учитывая, что на нового эксперта надо будет сдать аж два экзамена (MS-100 и MS-101), что примерно в 4 раза меньше, чем надо было сдавать экзаменов на MCSE:Security по Windows Server 2003, судьбу попытки предугадать несложно. Безусловно, свою популярность в среде впроголодь торгующих дампами по Exchange карликов данная сертификация, в силу схожести габаритов, получит – но большой вопрос, какова будет ликвидность оной в мире людей.

Что ж, в ситуации есть и плюсы – люди, хорошо разбирающиеся в базовой платформе Windows Server, станут выше цениться. Если конвейер начинает штамповать одинаковый операционный персонал, который знает где в интерфейсе Exchange поставить какую галочку, но теряется при вопросах про работу Schema Master в Active Directory, то стоимость/доходы этого персонала падают, а те, кто знают предмет лучше и глубже, начинают стоить дороже.

Поэтому где-то с июня поставим трек по Windows Server 2016/2019 – на базе курсов линейки Microsoft 20740B -> Microsoft 20744B. Как обычно – с возможностью для обладателей абонемента Knowledge Assurance присутствовать на занятиях без доп.оплаты.

Дата последнего редактирования текста: 2020-03-11T15:32:43+08:00

Настройка веб-службы регистрации сертификатов для продления на основе ключей сертификата через настраиваемый порт

• 
  11/12/2019
• Чтение занимает 9 мин

В этой статье

Авторы: Житеш сакур, мира Мохидин, технические рекомендации с группой Windows.Authors: Jitesh Thakur, Meera Mohideen, Technical Advisors with the Windows Group.
Инженер службы поддержки Анкит тяги с группой WindowsAnkit Tyagi Support Engineer with the Windows Group

СводкаSummary

В этой статье приводятся пошаговые инструкции по реализации веб-служба политик регистрации сертификатов (CEP) и веб-служба регистрации сертификатов (CES) на настраиваемом порту, отличном от 443, для продления на основе ключа сертификата, чтобы воспользоваться функцией автоматического продления CEP и CES.This article provides step-by-step instructions to implement the Certificate Enrollment Policy Web Service (CEP) and Certificate Enrollment Web Service (CES) on a custom port other than 443 for certificate key-based renewal to take advantage of the automatic renewal feature of CEP and CES.

В этой статье также объясняется, как работают методы CEP и CES и предоставляются рекомендации по установке.This article also explains how CEP and CES works and provides setup guidelines.

Примечание

Рабочий процесс, который входит в эту статью, относится к конкретному сценарию.The workflow that’s included in this article applies to a specific scenario. Один и тот же рабочий процесс может не работать в другой ситуации.The same workflow may not work for a different situation. Однако принципы останутся прежними.However, the principles remain the same.

Заявление об отказе: Эта настройка создается для конкретного требования, при котором не требуется использовать порт 443 для HTTPS-соединений по умолчанию для серверов CEP и CES.Disclaimer: This setup is created for a specific requirement in which you do not want to use port 443 for the default HTTPS communication for CEP and CES servers. Хотя такая настройка возможна, она имеет ограниченную поддержку.Although this setup is possible, it has limited supportability. Службы и поддержка для пользователей помогут вам в том, чтобы при соблюдении этого руководством тщательно использовать минимальное отклонение от предоставленной конфигурации веб-сервера.Customer Services and Support can best assist you if you follow this guide carefully using minimal deviation from the provided web server configuration.

СценарийScenario

В этом примере инструкции основаны на среде, использующей следующую конфигурацию:For this example, the instructions are based on an environment that uses the following configuration:

• Лес Contoso.com, в котором есть инфраструктура открытых ключей (PKI) служб Active Directory Certificate Services (AD CS).A Contoso.com forest that has an Active Directory Certificate Services (AD CS) public key infrastructure (PKI).

• Два экземпляра CEP/CES, настроенные на одном сервере, работающем под учетной записью службы.Two CEP/CES instances that are configured on one server that’s running under a service account. Один экземпляр использует имя пользователя и пароль для первоначальной регистрации.One instance uses username and password for initial enrollment. Другой использует проверку подлинности на основе сертификатов для продления на основе ключей в режиме только возобновления.The other uses certificate-based authentication for key-based renewal in renewal only mode.

• Пользователь имеет компьютер с Рабочей группой или не присоединенным к домену, для которого он будет регистрировать сертификат компьютера, используя учетные данные пользователя и пароль.A user has a workgroup or non-domain-joined computer for which he will be enrolling the computer certificate by using username and password credentials.

• Подключение пользователя к CEP и CES по протоколу HTTPS происходит через пользовательский порт, например 49999.The connection from the user to CEP and CES over HTTPS occurs on a custom port such as 49999. (Этот порт выбирается из динамического диапазона портов и не используется в качестве статического порта любой другой службой.)(This port is selected from a dynamic port range and is not used as a static port by any other service.)

• Когда время существования сертификата приближается к концу, компьютер использует обновление на основе ключей CES для продления сертификата по тому же каналу.When the certificate lifetime is nearing its end, the computer uses certificate-based CES key-based renewal to renew the certificate over the same channel.

Инструкции по настройкеConfiguration instructions

ОбзорOverview

1. Настройте шаблон для обновления на основе ключей.Configure the template for key-based renewal.

2. В качестве необходимого компонента настройте сервер CEP и CES для проверки подлинности имени пользователя и пароля.As a prerequisite, configure a CEP and CES server for username and password authentication.
   В этой среде мы будем называть экземпляр «CEPCES01».In this environment, we refer to the instance as «CEPCES01».

3. Настройте другой экземпляр CEP и CES с помощью PowerShell для проверки подлинности на основе сертификата на том же сервере.Configure another CEP and CES instance by using PowerShell for certificate-based authentication on the same server. Экземпляр CES будет использовать учетную запись службы.The CES instance will use a service account.

   В этой среде мы будем называть экземпляр «CEPCES02».In this environment, we refer to the instance as “CEPCES02”. Используемая учетная запись службы — «цепцессвк».The service account that’s used is ”cepcessvc”.

4. Настройте параметры на стороне клиента.Configure client-side settings.

КонфигурацияConfiguration

В этом разделе описаны шаги по настройке первоначальной регистрации.This section provides the steps to configure the initial enrollment.

Примечание

Для работы CES можно также настроить любую учетную запись службы пользователя, MSA или GMSA.You can also configure any user service account, MSA, or GMSA for CES to work.

В качестве необходимого компонента необходимо настроить CEP и CES на сервере, используя проверку имени пользователя и пароля.As a prerequisite, you must configure CEP and CES on a server by using username and password authentication.

Настройка шаблона для продления на основе ключейConfigure the template for key-based renewal

Можно создать дубликат существующего шаблона компьютера и настроить следующие параметры шаблона:You can duplicate an existing computer template, and configure the following settings of the template:

1. На вкладке Имя субъекта шаблона сертификата убедитесь, что выбрано предложение в запросе и использование сведений о субъекте из существующих сертификатов для параметров запросов на продление автоматической регистрации .On the Subject Name tab of the certificate template, make sure that the Supply in the Request and Use subject information from existing certificates for autoenrollment renewal requests options are selected.

2. Перейдите на вкладку » требования к выдаче » и установите флажок » утверждение диспетчером сертификатов ЦС «.Switch to the Issuance Requirements tab, and then select the CA certificate manager approval check box.

3. Назначьте разрешение Чтение и Регистрация учетной записи службы цепцессвк для этого шаблона.Assign the Read and Enroll permission to the cepcessvc service account for this template.

4. Опубликуйте новый шаблон в центре сертификации.Publish the new template on the CA.

Настройка экземпляра CEPCES01Configure the CEPCES01 instance

Шаг 1. Установка экземпляраStep 1: Install the instance

Чтобы установить экземпляр CEPCES01, используйте один из следующих методов.To install the CEPCES01 instance, use either of the following methods.

Метод 1Method 1

Пошаговые инструкции по включению CEP и CES для проверки подлинности имени пользователя и пароля см. в следующих статьях.See the following articles for step-by-step guidance to enable CEP and CES for username and password authentication:

Руководство по веб-служба политик регистрации сертификатовCertificate Enrollment Policy Web Service Guidance

Руководство по веб-служба регистрации сертификатовCertificate Enrollment Web Service Guidance

Примечание

Убедитесь, что не установлен флажок «включить обновление на основе ключей», если вы настроили экземпляры CEP и CES с проверкой подлинности имени пользователя и пароля.Make sure that you do not select the “Enable Key-Based Renewal” option if you configure both CEP and CES instances of username and password authentication.

Метод 2.Method 2

Для установки экземпляров CEP и CES можно использовать следующие командлеты PowerShell:You can use the following PowerShell cmdlets to install the CEP and CES instances:

Import-Module ServerManager
Add-WindowsFeature Adcs-Enroll-Web-Pol
Add-WindowsFeature Adcs-Enroll-Web-Svc

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username -SSLCertThumbprint "sslCertThumbPrint"

Эта команда устанавливает веб-служба политик регистрации сертификатов (CEP), указывая, что для проверки подлинности используется имя пользователя и пароль.This command installs the Certificate Enrollment Policy Web Service (CEP) by specifying that a username and password is used for authentication.

Примечание

В этой команде <SSLCertThumbPrint> — это отпечаток сертификата, который будет использоваться для привязки служб IIS.In this command, <SSLCertThumbPrint> is the thumbprint of the certificate that will be used to bind IIS.

Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig "CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Username

Эта команда устанавливает веб-служба регистрации сертификатов (CES), чтобы использовать центр сертификации для имени компьютера CA1.contoso.com и общего имени ЦС contoso-CA1-CA.This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA. Удостоверение CES указывается в качестве удостоверения пула приложений по умолчанию.The identity of the CES is specified as the default application pool identity. Тип проверки подлинности — username.The authentication type is username. Сслцертсумбпринт — это отпечаток сертификата, который будет использоваться для привязки служб IIS.SSLCertThumbPrint is the thumbprint of the certificate that will be used to bind IIS.

Шаг 2. Проверка консоли диспетчера службы IIS (IIS)Step 2 Check the Internet Information Services (IIS) Manager console

После успешной установки вы увидите, что в консоли диспетчера службы IIS (IIS) отображается следующее.After a successful installation, you expect to see the following display in the Internet Information Services (IIS) Manager console.

В разделе веб-сайт по умолчаниювыберите ADPolicyProvider_CEP_UsernamePassword, а затем откройте Параметры приложения.Under Default Web Site, select ADPolicyProvider_CEP_UsernamePassword, and then open Application Settings. Запишите идентификатор и URI.Note the ID and the URI.

Можно добавить понятное имя для управления.You can add a Friendly Name for management.

Настройка экземпляра CEPCES02Configure the CEPCES02 instance

Шаг 1. Установите CEP и CES для продления на том же сервере.Step 1: Install the CEP and CES for key-based renewal on the same server.

Выполните следующую команду в PowerShell:Run the following command in PowerShell:

Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -SSLCertThumbprint "sslCertThumbPrint" -KeyBasedRenewal

Эта команда устанавливает веб-служба политик регистрации сертификатов (CEP) и указывает, что для проверки подлинности используется сертификат.This command installs the Certificate Enrollment Policy Web Service (CEP) and specifies that a certificate is used for authentication.

Примечание

В этой команде <SSLCertThumbPrint> — это отпечаток сертификата, который будет использоваться для привязки служб IIS.In this command, <SSLCertThumbPrint> is the thumbprint of the certificate that will be used to bind IIS.

Продление на основе ключей позволяет клиентам сертификатов обновлять свои сертификаты, используя ключ существующего сертификата для проверки подлинности.Key-based renewal lets certificate clients renew their certificates by using the key of their existing certificate for authentication. При использовании режима обновления на основе ключей служба возвращает только шаблоны сертификатов, настроенные для продления на основе ключей.When in key-based renewal mode, the service will return only certificate templates that are set for key-based renewal.

Install-AdcsEnrollmentWebService -CAConfig "CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Certificate -ServiceAccountName "Contoso\cepcessvc" -ServiceAccountPassword (read-host "Set user password" -assecurestring) -RenewalOnly -AllowKeyBasedRenewal

Эта команда устанавливает веб-служба регистрации сертификатов (CES), чтобы использовать центр сертификации для имени компьютера CA1.contoso.com и общего имени ЦС contoso-CA1-CA.This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA.

В этой команде удостоверение веб-служба регистрации сертификатов указывается в качестве учетной записи службы цепцессвк .In this command, the identity of the Certificate Enrollment Web Service is specified as the cepcessvc service account. Тип проверки подлинности — Certificate.The authentication type is certificate. Сслцертсумбпринт — это отпечаток сертификата, который будет использоваться для привязки служб IIS.SSLCertThumbPrint is the thumbprint of the certificate that will be used to bind IIS.

Командлет реневалонли позволяет выполнить команду CES в режиме только обновления.The RenewalOnly cmdlet lets CES run in renewal only mode. Командлет алловкэйбаседреневал также указывает, что CES будет принимать запросы продления на основе ключей для сервера регистрации.The AllowKeyBasedRenewal cmdlet also specifies that the CES will accept key based renewal requests for the enrollment server. Это допустимые сертификаты клиента для проверки подлинности, которые не сопоставлены с субъектом безопасности напрямую.These are valid client certificates for authentication that do not directly map to a security principal.

Примечание

Учетная запись службы должна входить в группу иисусерс на сервере.The service account must be part of IISUsers group on the server.

Шаг 2. Проверка консоли диспетчера IISStep 2 Check the IIS Manager console

После успешной установки вы увидите, что в консоли диспетчера IIS отображается следующее.After a successful installation, you expect to see the following display in the IIS Manager console.

Выберите KeyBasedRenewal_ADPolicyProvider_CEP_Certificate в разделе веб-сайт по умолчанию и откройте Параметры приложения.Select KeyBasedRenewal_ADPolicyProvider_CEP_Certificate under Default Web Site and open Application Settings. Запишите идентификатор и URI.Take a note of the ID and the URI. Можно добавить понятное имя для управления.You can add a Friendly Name for management.

Примечание

Если экземпляр установлен на новом сервере, проверьте его идентификатор, чтобы убедиться, что он совпадает с ИДЕНТИФИКАТОРом, созданным в экземпляре CEPCES01.If the instance is installed on a new server double check the ID to make sure that the ID is the same one that was generated in the CEPCES01 instance. Можно скопировать и вставить значение напрямую, если оно отличается.You can copy and paste the value directly if it is different.

Завершение настройки веб-служб регистрации сертификатовComplete Certificate Enrollment Web Services configuration

Чтобы иметь возможность зарегистрировать сертификат от имени функций CEP и CES, необходимо настроить учетную запись компьютера рабочей группы в Active Directory а затем настроить ограниченное делегирование для учетной записи службы.To be able to enroll the certificate on behalf of the functionality of CEP and CES, you have to configure the workgroup’s computer account in Active Directory and then configure constrained delegation on the service account.

Шаг 1. Создание учетной записи компьютера рабочей группы в Active DirectoryStep 1: Create a computer account of the workgroup computer in Active Directory

Эта учетная запись будет использоваться для проверки подлинности при обновлении на основе ключа и параметра «опубликовать в Active Directory» в шаблоне сертификата.This account will be used for authentication towards key-based renewal and the “Publish to Active Directory” option on the certificate template.

Примечание

Не нужно присоединяться к домену на клиентском компьютере.You do not have to domain join the client machine. Эта учетная запись поступает в изображение при выполнении проверки подлинности на основе сертификатов в КБР для службы дсмаппер.This account comes into picture while doing certificate based authentication in KBR for dsmapper service.

Шаг 2. Настройка учетной записи службы для ограниченного делегирования (S4U2Self)Step 2: Configure the service account for Constrained Delegation (S4U2Self)

Выполните следующую команду PowerShell, чтобы включить ограниченное делегирование (S4U2Self или любой протокол проверки подлинности):Run the following PowerShell command to enable constrained delegation (S4U2Self or any authentication protocol):

Get-ADUser -Identity cepcessvc | Set-ADAccountControl -TrustedToAuthForDelegation $True
Set-ADUser -Identity cepcessvc -Add @{'msDS-AllowedToDelegateTo'=@('HOST/CA1.contoso.com','RPCSS/CA1.contoso.com')}

Примечание

В этой команде <cepcessvc> используется учетная запись службы, а <CA1.contoso.com >является центром сертификации.In this command, <cepcessvc> is the service account, and <CA1.contoso.com >is the Certification Authority.

Важно!

В этой конфигурации не включен флаг РЕНЕВАЛОНБЕХАЛОФ в ЦС, так как мы используем ограниченное делегирование для того же задания.We are not enabling the RENEWALONBEHALOF flag on the CA in this configuration because we are using constrained delegation to do the same job for us. Это позволяет избежать добавления разрешения для учетной записи службы в систему безопасности ЦС.This lets us to avoid adding the permission for the service account to the CA’s security.

Шаг 3. Настройка пользовательского порта на веб-сервере IISStep 3: Configure a custom port on the IIS web server

1. В консоли диспетчера IIS выберите веб-сайт по умолчанию.In the IIS Manager console, select Default Web Site.

2. В области Действие выберите Изменить привязку сайта.In the action pane, select Edit Site Binding.

3. Измените значение параметра порта по умолчанию с 443 на пользовательский порт.Change the default port setting from 443 to your custom port. На снимке экрана примера показан параметр порта 49999.The example screenshot shows a port setting of 49999.

Шаг 4. изменение объекта служб регистрации ЦС на Active DirectoryStep 4: Edit the CA enrollment services Object on Active Directory

1. На контроллере домена откройте ADSIEdit. msc.On a domain controller, open adsiedit.msc.

2. Подключитесь к разделу конфигурациии перейдите к объекту службы регистрации ЦС:Connect to the Configuration partition, and navigate to your CA enrollment services object:

   CN = ЕНТКА, CN = службы регистрации, CN = открытые ключи Services, CN = Services, CN = Configuration, DC = contoso, DC = comCN=ENTCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com

3. Щелкните правой кнопкой мыши и измените объект CA.Right click and edit the CA Object. Измените атрибут мспки-регистрации-Servers , используя пользовательский порт с URI сервера CEP и CES, которые были найдены в параметрах приложения.Change the msPKI-Enrollment-Servers attribute by using the custom port with your CEP and CES server URIs that were found in the application settings. Например:For example:

   140https://cepces.contoso.com:49999/ENTCA_CES_UsernamePassword/service.svc/CES0
   181https://cepces.contoso.com:49999/ENTCA_CES_Certificate/service.svc/CES1
   

Настройте клиентский компьютер.Configure the client computer

На клиентском компьютере настройте политики регистрации и политику автоматической регистрации.On the client computer, set up the Enrollment policies and Auto-Enrollment policy. Для этого выполните следующие действия:To do this, follow these steps:

1. Выберите Пуск > выполнитьи введите gpedit. msc.Select Start > Run, and then enter gpedit.msc.

2. Последовательно выберите Конфигурация компьютеранастройки > Windowsпараметры > безопасности, а затем политики открытого ключа.Go to Computer Configuration > Windows Settings > Security Settings, and then click Public Key Policies.

3. Включите политику автоматической регистрации клиента служб сертификатов для соответствия параметрам на следующем снимке экрана.Enable the Certificate Services Client — Auto-Enrollment policy to match the settings in the following screenshot.

4. Включите политику регистрации сертификатов клиента служб сертификатов.Enable Certificate Services Client — Certificate Enrollment Policy.

   а.a. Нажмите кнопку Добавить , чтобы добавить политику регистрации и ввести идентификатор URI CEP с UserNamePassword , который мы редактировали в ADSI.Click Add to add enrollment policy and enter the CEP URI with UsernamePassword that we edited in ADSI.

   b.b. В качестве типа проверки подлинностивыберите имя пользователя и пароль.For Authentication type, select Username/password.

   c.c. Задайте приоритет 10, а затем проверьте сервер политики.Set a priority of 10, and then validate the policy server.

   Примечание

   Убедитесь, что номер порта добавлен в URI и разрешен в брандмауэре.Make sure that the port number is added to the URI and is allowed on the firewall.

5. Зарегистрируйте первый сертификат для компьютера с помощью certlm. msc.Enroll the first certificate for the computer through certlm.msc.

   Выберите шаблон КБР и зарегистрируйте сертификат.Select the KBR template and enroll the certificate.

6. Снова откройте gpedit. msc .Open gpedit.msc again. Измените политику регистрации сертификатов клиента служб сертификатов, а затем добавьте политику регистрации продления на основе ключей.Edit the Certificate Services Client – Certificate Enrollment Policy, and then add the key-based renewal enrollment policy:

   а.a. Нажмите кнопку Добавить, введите URI CEP с сертификатом , измененным в ADSI.Click Add, enter the CEP URI with Certificate that we edited in ADSI.

   b.b. Задайте приоритет 1, а затем проверьте сервер политики.Set a priority of 1, and then validate the policy server. Вам будет предложено выполнить аутентификацию и выбрать сертификат, который был зарегистрирован изначально.You will be prompted to authenticate and choose the certificate we enrolled initially.

Примечание

Убедитесь, что значение приоритета политики регистрации продления на основе ключей ниже приоритета политики регистрации паролей для имени пользователя.Make sure that the priority value of the key-based renewal enrollment policy is lower than the priority of the Username Password enrollment policy priority. Первая предпочтение присваивается наименьшему приоритету.The first preference is given to the lowest priority.

Тестирование установкиTesting the setup

Чтобы обеспечить работоспособность автоматического продления, убедитесь, что обновление вручную выполняется путем продления сертификата с тем же ключом с помощью MMC.To make sure that Auto-Renewal is working, verify that manual renewal works by renewing the certificate with the same key using mmc. Кроме того, во время обновления вам будет предложено выбрать сертификат.Also, you should be prompted to select a certificate while renewing. Вы можете выбрать сертификат, который мы зарегистрировали ранее.You can choose the certificate we enrolled earlier. Ожидается запрос.The prompt is expected.

Откройте личное хранилище сертификатов компьютера и добавьте представление «архивные сертификаты».Open the computer personal certificate store, and add the “archived certificates” view. Для этого добавьте оснастку учетной записи локального компьютера в mmc.exe, выделите Сертификаты (локальный компьютер) , щелкнув его, щелкните Просмотр на вкладке действие справа или в верхней части консоли MMC, щелкните Просмотр параметров, выберите архивные сертификаты, а затем нажмите кнопку ОК.To do this, add the local computer account snap-in to mmc.exe, highlight Certificates (Local Computer) by clicking on it, click view from the action tab at the right or the top of mmc, click view options, select Archived certificates, and then click OK.

Метод 1Method 1

Выполните следующую команду:Run the following command:

certreq -machine -q -enroll -cert <thumbprint> renew

Метод 2Method 2

Передайте время и дату на клиентском компьютере в момент продления шаблона сертификата.Advance the time and date on the client machine into the renewal time of the certificate template.

Например, шаблон сертификата имеет срок действия в 2 дня и настроенный 8-часовой параметр обновления.For example, the certificate template has a 2-day validity setting and an 8-hour renewal setting configured. Пример сертификата был выпущен в 4:00 утра.The example certificate was issued at 4:00 A.M. в течение 18 дней месяца срок действия истекает в 4:00 утра.on 18th day of the month, expires at 4:00 A.M. на 20.on the 20th. Подсистема автоматической регистрации активируется при перезапуске и каждые 8 часов (приблизительно).The Auto-Enrollment engine is triggered on restart and at every 8-hour interval (approximately).

Таким образом, если вы перейдете время на 8:10 P.M.Therefore, if you advance the time to 8:10 P.M. на 19-часовом уровне, так как для нашего продленного периода в шаблоне задано значение 8, выполнение команды certutil-Pulse (для активации подсистемы AE) регистрирует сертификат автоматически.on the 19th since our renewal window was set to 8-hour on the template, running Certutil -pulse (to trigger the AE engine) enrolls the certificate for you.

После завершения теста верните параметр времени в исходное значение, а затем перезапустите клиентский компьютер.After the test finishes, revert the time setting to the original value, and then restart the client computer.

Примечание

На предыдущем снимке экрана приведен пример, демонстрирующий, что механизм автоматической регистрации работает должным образом, поскольку для даты ЦС по-прежнему устанавливается значение 18.The previous screenshot is an example to demonstrate that the Auto-Enrollment engine works as expected because the CA date is still set to the 18th. Таким образом, он будет продолжать выдавать сертификаты.Therefore, it continues to issue certificates. В реальной ситуации не произойдет такого большого количества продлений.In a real-life situation, this large amount of renewals will not occur.

СсылкиReferences

Test Lab Guide: Demonstrating Certificate Key-Based RenewalTest Lab Guide: Demonstrating Certificate Key-Based Renewal

Веб-службы регистрации сертификатовCertificate Enrollment Web Services

Install-АдксенроллментполицивебсервицеInstall-AdcsEnrollmentPolicyWebService

Install-АдксенроллментвебсервицеInstall-AdcsEnrollmentWebService

См. также статьюSee also

Форум по обеспечению безопасности Windows ServerWindows Server Security Forum

Инфраструктура открытых ключей (PKI) служб сертификатов Active Directory: вопросы и ответыActive Directory Certificate Services (AD CS) Public Key Infrastructure (PKI) Frequently Asked Questions (FAQ)

Справочная документация и библиотека по Windows PKIWindows PKI Documentation Reference and Library

Блог о Windows PKIWindows PKI Blog

Настройка ограниченного делегирования Kerberos (только S4U2Proxy или Kerberos) в пользовательской учетной записи службы для прокси-страниц регистрации в ИнтернетеHow to configure Kerberos Constrained Delegation (S4U2Proxy or Kerberos Only) on a custom service account for Web Enrollment proxy pages

Руководство по сертификации

| Документы Microsoft

• 31.08.2016
• 25 минут на чтение

В этой статье

Применимо к: Windows Server 2012 R2, Windows Server 2012

Центр сертификации (ЦС) отвечает за подтверждение личности пользователей, компьютеров и организаций. Центр сертификации аутентифицирует объект и подтверждает его подлинность, выдав сертификат с цифровой подписью.ЦС также может управлять сертификатами, отзывать и обновлять сертификаты.

Центр сертификации может ссылаться на следующее:

Установив службу роли центра сертификации службы сертификации Active Directory (AD CS), вы можете настроить свой сервер Windows для работы в качестве центра сертификации.

Перед установкой службы роли ЦС необходимо:

1. Спланируйте инфраструктуру открытых ключей (PKI), подходящую для вашей организации.

2. Установите и настройте аппаратный модуль безопасности (HSM) в соответствии с инструкциями поставщика HSM, если вы планируете его использовать.

3. Создайте соответствующий CAPolicy.inf, если вы хотите изменить параметры установки по умолчанию.

План для PKI

Чтобы ваша организация могла в полной мере воспользоваться преимуществами установки служб сертификации Active Directory (AD CS), необходимо соответствующим образом спланировать развертывание PKI. Вы должны определить, сколько центров сертификации вы установите и в какой конфигурации, прежде чем устанавливать какой-либо центр сертификации. Создание соответствующей инфраструктуры PKI может занять много времени, но это важно для успеха вашей PKI.

Для получения дополнительных сведений и ресурсов см. Руководство по разработке PKI в Microsoft TechNet.

Используйте HSM

Использование аппаратного модуля безопасности (HSM) может повысить безопасность CA и PKI.

HSM — это выделенное аппаратное устройство, управляемое отдельно от операционной системы. Эти модули обеспечивают безопасное аппаратное хранилище ключей CA в дополнение к выделенному криптографическому процессору для ускорения операций подписания и шифрования. Операционная система использует HSM через интерфейсы CryptoAPI, а HSM функционирует как устройство поставщика криптографических услуг (CSP).

HSM

обычно представляют собой адаптеры PCI, но они также доступны в виде сетевых устройств, последовательных устройств и USB-устройств. Если организация планирует внедрить два или более центров сертификации, вы можете установить один сетевой HSM и использовать его для нескольких центров сертификации.

Чтобы настроить CA с помощью HSM, HSM должен быть установлен и настроен до того, как вы настроите какие-либо CA с ключами, которые будут храниться в HSM.

Рассмотрим файл CAPolicy.inf

Файл CAPolicy.inf не требуется для установки AD CS, но его можно использовать для настройки параметров CA.Файл CAPolicy.inf содержит различные настройки, которые используются при установке CA или при обновлении сертификата CA. Для использования файл CAPolicy.inf должен быть создан и сохранен в каталоге% systemroot% (обычно C: \ Windows).

Параметры, которые вы включаете в файл CAPolicy.inf, во многом зависят от типа развертывания, которое вы хотите создать. Например, корневой центр сертификации может иметь файл CAPolicy.inf, который выглядит следующим образом:

  [Версия]
Подпись = "$ Windows NT $"
[Certsrv_Server]
RenewalKeyLength = 4096
RenewalValidityPeriod = Годы
RenewalValidityPeriodUnits = 20
LoadDefaultTemplates = 0

  

Тогда как CAPolicy.inf для предприятия, выпускающего ЦС, может выглядеть так:

  [Версия]
Подпись = "$ Windows NT $"
[PolicyStatementExtension]
Политики = LegalPolicy, LimitedUsePolicy
[LegalPolicy]
OID = 1.1.1.1.1.1.1.1.1
URL = "http://www.contoso.com/pki/Policy/USLegalPolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLegalPolicy.txt"
[LimitedUsePolicy]
OID = 2.2.2.2.2.2.2.2.2
URL = "http://www.contoso.com/pki/Policy/USLimitedUsePolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLimitedUsePolicy.текст"
LoadDefaultTemplates = 0

  

Выберите параметры конфигурации CA

В следующих разделах описаны параметры конфигурации, которые вы выберете после установки двоичных установочных файлов CA.

Выберите тип установки

ЦС предприятия интегрированы с доменными службами Active Directory (AD DS). Они публикуют сертификаты и списки отзыва сертификатов (CRL) в AD DS. Центры сертификации предприятия используют информацию, которая хранится в AD DS, включая учетные записи пользователей и группы безопасности, для утверждения или отклонения запросов на сертификаты. Центры сертификации предприятий используют шаблоны сертификатов. При выдаче сертификата ЦС предприятия использует информацию из шаблона сертификата для создания сертификата с соответствующими атрибутами для этого типа сертификата.

Если вы хотите включить автоматическое утверждение сертификатов и автоматическую регистрацию сертификатов пользователей, используйте центры сертификации предприятия для выдачи сертификатов. Эти функции доступны только в том случае, если инфраструктура CA интегрирована с Active Directory. Кроме того, только центры сертификации предприятия могут выдавать сертификаты, позволяющие вход с помощью смарт-карт, поскольку для этого процесса требуется, чтобы сертификаты смарт-карт автоматически сопоставлялись с учетными записями пользователей в Active Directory.

Автономные центры сертификации не требуют AD DS и не используют шаблоны сертификатов.Если вы используете автономные центры сертификации, вся информация о запрошенном типе сертификата должна быть включена в запрос сертификата. По умолчанию все запросы сертификатов, отправляемые в автономные центры сертификации, хранятся в очереди ожидания, пока администратор центра сертификации не одобрит их. Вы можете настроить автономные центры сертификации для автоматической выдачи сертификатов по запросу, но это менее безопасно и обычно не рекомендуется, поскольку запросы не проходят проверку подлинности.

С точки зрения производительности использование автономных центров сертификации с автоматической выдачей позволяет выпускать сертификаты быстрее, чем при использовании корпоративных центров сертификации.Однако, если вы не используете автоматическую выдачу, использование автономных центров сертификации для выдачи больших объемов сертификатов обычно сопряжено с высокими административными расходами, поскольку администратор должен вручную просматривать, а затем утверждать или отклонять каждый запрос сертификата. По этой причине автономные центры сертификации лучше всего использовать с приложениями безопасности с открытым ключом в экстрасетях и в Интернете, когда у пользователей нет учетных записей пользователей и когда объем сертификатов, которые необходимо выдать и управлять, относительно невелик

Вы должны использовать автономные центры сертификации для выдачи сертификатов, когда вы используете службу каталогов, отличную от Microsoft, или когда AD DS недоступны.В вашей организации можно использовать как корпоративные, так и автономные центры сертификации, как показано в следующей таблице.

Выберите тип CA

Enterprise и автономные центры сертификации могут быть настроены как корневые центры сертификации или как подчиненные центры сертификации.Подчиненные ЦС могут быть дополнительно настроены как промежуточные ЦС (также называемые ЦС политики) или выдающие ЦС

Обозначьте корневой CA

Корневой ЦС — это ЦС, который находится на вершине иерархии сертификации. Клиенты в вашей организации должны ему безоговорочно доверять. Все цепочки сертификатов оканчиваются корневым ЦС. Независимо от того, используете ли вы корпоративный или автономный ЦС, вам необходимо назначить корневой ЦС.

Поскольку корневой ЦС является верхним ЦС в иерархии сертификации, поле Субъекта сертификата, выданного корневым ЦС, имеет то же значение, что и поле Эмитент сертификата.Точно так же, поскольку цепочка сертификатов завершается, когда достигает самозаверяющего ЦС, все самозаверяющие ЦС являются корневыми ЦС. Решение о назначении ЦС в качестве доверенного корневого ЦС может быть принято на уровне предприятия или локально отдельным ИТ-администратором.

Корневой центр сертификации служит фундаментом, на котором вы строите модель доверия в центре сертификации. Это гарантирует, что открытый ключ субъекта соответствует идентификационной информации, указанной в поле субъекта выдаваемых им сертификатов.Различные центры сертификации также могут проверить эту взаимосвязь, используя разные стандарты; следовательно, важно понимать политику и процедуры корневого центра сертификации, прежде чем доверять этому органу проверку открытых ключей.

Корневой ЦС — самый важный ЦС в вашей иерархии. Если ваш корневой ЦС скомпрометирован, все ЦС в иерархии и все выданные им сертификаты считаются скомпрометированными. Вы можете максимизировать безопасность корневого ЦС, отключая его от сети и используя подчиненные ЦС для выдачи сертификатов другим подчиненным ЦС или конечным пользователям.

Подчиненные центры сертификации

ЦС

, не являющиеся корневыми ЦС, считаются подчиненными. Первый подчиненный ЦС в иерархии получает свой сертификат ЦС от корневого ЦС. Этот первый подчиненный ЦС может использовать этот ключ для выдачи сертификатов, которые проверяют целостность другого подчиненного ЦС. Эти подчиненные ЦС более высокого уровня называются промежуточными ЦС. Промежуточный ЦС подчиняется корневому ЦС, но служит вышестоящим органом сертификации для одного или нескольких подчиненных ЦС.

Промежуточный ЦС часто называют ЦС политики, поскольку он обычно используется для разделения классов сертификатов, которые можно различить с помощью политик.Например, разделение политик включает в себя уровень уверенности, который предоставляет CA, или географическое расположение CA, чтобы различать различные группы конечных объектов. ЦС политики может быть в сети или офлайн.

Предупреждение

Невозможно преобразовать корневой ЦС в подчиненный ЦС и наоборот.

Хранить закрытый ключ

Закрытый ключ является частью удостоверения CA и должен быть защищен от взлома. Многие организации защищают закрытые ключи ЦС с помощью аппаратного модуля безопасности (HSM).Если HSM не используется, закрытый ключ хранится на компьютере CA. Дополнительные сведения см. В разделе Аппаратный модуль безопасности (HSM) в Microsoft TechNet.

Offline CA должны храниться в безопасных местах и ​​не подключаться к сети. Центры сертификации используют свои закрытые ключи при выдаче сертификатов, поэтому закрытый ключ должен быть доступен (онлайн) во время работы центра сертификации. Во всех случаях CA и его закрытый ключ на CA должны быть физически защищены.

Найдите существующий ключ

Если у вас уже есть существующий закрытый ключ, который вы хотите использовать во время установки, вы можете использовать экран Существующий ключ , чтобы найти этот ключ.Вы можете использовать кнопку Изменить для изменения поставщика криптографических услуг и, при необходимости, центра сертификации, в котором вы хотите найти существующий ключ.

Найдите существующий сертификат

Если у вас уже есть сертификат, содержащий закрытый ключ для CA, вы можете использовать экран Существующий сертификат , чтобы найти его. Вы можете использовать кнопку Импорт , чтобы открыть диалоговое окно Импорт существующего сертификата , а затем найти существующий файл PKCS # 12.

Выбрать криптографические параметры

Выбор параметров шифрования для центра сертификации (ЦС) может иметь серьезные последствия для безопасности, производительности и совместимости этого ЦС. Хотя параметры шифрования по умолчанию могут подходить для большинства центров сертификации, возможность реализации настраиваемых параметров может быть полезна администраторам и разработчикам приложений с более глубоким пониманием криптографии и необходимостью в такой гибкости. Параметры криптографии могут быть реализованы с помощью поставщиков криптографических услуг (CSP) или поставщиков хранилищ ключей (KSP).

Важно

При использовании сертификата RSA для CA убедитесь, что длина ключа составляет не менее 2048 бит. Вы не должны пытаться использовать сертификат RSA ниже 1024 бит для CA. Служба CA (certsvc) не запустится, если установлен ключ RSA длиной менее 1024 бит.

CSP

— это аппаратные и программные компоненты в операционных системах Windows, которые обеспечивают общие криптографические функции. CSP могут быть написаны для обеспечения множества алгоритмов шифрования и подписи.

KSP

могут обеспечить надежную защиту ключей для компьютеров с минимальной серверной версией Windows Server 2008 R2 и минимальной клиентской версией Windows Vista.

Важно

При выборе поставщика, алгоритма хеширования и длины ключа внимательно обдумайте, какие криптографические параметры могут поддерживать приложения и устройства, которые вы собираетесь использовать. Хотя рекомендуется выбирать самые надежные параметры безопасности, не все приложения и устройства могут их поддерживать.Если ваши требования к поддержке изменятся и вы сможете использовать более надежные параметры безопасности, такие как переход на KSP и более надежный алгоритм хеширования, см. Перенос ключа центра сертификации от поставщика криптографических служб (CSP) к поставщику хранилища ключей (KSP). ).

Разрешить взаимодействие с администратором при доступе к закрытому ключу CA — это опция, которая обычно используется с аппаратными модулями безопасности (HSM). Это позволяет поставщику криптографических услуг запрашивать у пользователя дополнительную аутентификацию при доступе к закрытому ключу CA.Этот параметр можно использовать для предотвращения несанкционированного использования ЦС и его закрытого ключа, требуя от администратора ввода пароля перед каждой криптографической операцией.

Встроенные поставщики криптографии поддерживают определенные длины ключей и алгоритмы хеширования, как описано в следующей таблице.

Создание имени CA

Перед настройкой центров сертификации (ЦС) в организации необходимо установить соглашение об именах ЦС.

Вы можете создать имя, используя любой символ Unicode, но вы можете использовать набор символов ANSI, если совместимость является проблемой. Например, некоторые типы маршрутизаторов не смогут использовать службу регистрации сетевых устройств для подачи заявок на сертификаты, если имя CA содержит специальные символы, такие как подчеркивание.

Важно

Если вы используете нелатинские символы (например, кириллические, арабские или китайские символы), имя вашего центра сертификации должно содержать менее 64 символов.Если вы используете только нелатинские символы, ваше имя CA не может содержать более 37 символов.

В доменных службах Active Directory (AD DS) имя, которое вы указываете при настройке сервера как ЦС, становится общим именем ЦС, и это имя отражается в каждом сертификате, который выдает ЦС. По этой причине важно, чтобы вы не использовали полное доменное имя для общего имени ЦС. Таким образом, злоумышленники, получившие копию сертификата, не могут идентифицировать и использовать полное доменное имя центра сертификации для создания потенциальной уязвимости безопасности.

Предупреждение

Имя CA не должно совпадать с именем компьютера (NetBIOS или DNS-именем). Кроме того, вы не можете изменить имя сервера после установки служб сертификации Active Directory (AD CS) без аннулирования всех сертификатов, выданных ЦС. Дополнительные сведения об именах ЦС см. В статье TechNet Wiki: Рекомендации по именам центров сертификации (ЦС).

Чтобы изменить имя сервера после установки AD CS, необходимо удалить ЦС, изменить имя сервера, переустановить ЦС с теми же ключами и изменить реестр, чтобы использовать существующие ключи ЦС и базу данных.Вам не нужно переустанавливать ЦС, если вы переименовываете домен; однако вам придется перенастроить CA для поддержки изменения имени.

Получить запрос на сертификат

После установки корневого центра сертификации (ЦС) многие организации устанавливают один или несколько подчиненных ЦС для реализации ограничений политики в инфраструктуре открытых ключей (PKI) и выдачи сертификатов конечным клиентам. Использование хотя бы одного подчиненного ЦС может помочь защитить корневой ЦС от ненужного воздействия.При установке подчиненного ЦС необходимо получить сертификат от родительского ЦС.

Если родительский ЦС подключен к сети, вы можете использовать опцию Отправить запрос сертификата в родительский ЦС и выбрать родительский ЦС по имени ЦС или имени компьютера.

Если родительский центр сертификации находится в автономном режиме, следует использовать опцию Сохранить запрос сертификата в файл на целевом компьютере . Процедура для этого будет уникальной для родительского центра сертификации. Как минимум, родительский ЦС должен предоставить файл, содержащий недавно выпущенный сертификат подчиненного ЦС, желательно его полный путь сертификации.

Если вы получаете сертификат подчиненного ЦС, который не включает полный путь сертификации, новый подчиненный ЦС, который вы устанавливаете, должен иметь возможность построить действительную цепочку ЦС при запуске. Чтобы создать действительный путь сертификации, выполните следующие действия:

• Установите сертификат родительского ЦС в хранилище сертификатов Промежуточные центры сертификации компьютера, если родительский ЦС не является корневым ЦС.

• Установите сертификаты любого другого промежуточного ЦС в цепочке.

• Установите сертификат корневого центра сертификации в хранилище доверенных корневых центров сертификации.

Примечание

Эти сертификаты должны быть установлены в хранилище сертификатов перед установкой сертификата ЦС в подчиненном ЦС, который вы только что настроили.

Проверить срок действия

Криптография на основе сертификатов использует криптографию с открытым ключом для защиты и подписи данных. Со временем злоумышленники могут получить данные, защищенные открытым ключом, и попытаться получить из них закрытый ключ.При наличии достаточного количества времени и ресурсов этот закрытый ключ может быть взломан, что фактически сделает все защищенные данные незащищенными. Также со временем может потребоваться изменить имена, которые гарантированы сертификатом. Поскольку сертификат является связующим звеном между именем и открытым ключом, при изменении любого из этих параметров сертификат следует обновить.

Каждый сертификат имеет срок действия. После окончания срока действия сертификат больше не считается приемлемым или пригодным для использования учетными данными.

Центры сертификации

не могут выдавать сертификаты, срок действия которых превышает их собственный период действия. Рекомендуется обновить сертификат ЦС по истечении половины срока его действия. При установке центра сертификации следует запланировать эту дату и убедиться, что она записана в качестве будущей задачи.

Выберите базу данных CA

Как и во многих других базах данных, база данных центра сертификации представляет собой файл на жестком диске. Помимо этого файла, другие файлы служат в качестве журналов транзакций, и они получают все изменения в базе данных перед внесением изменений.Поскольку к этим файлам можно обращаться часто и одновременно, лучше всего хранить базу данных и журналы транзакций на отдельных жестких дисках или в высокопроизводительных дисковых конфигурациях, таких как чередующиеся тома.

Расположение базы данных сертификатов и файлов журнала хранится в следующем месте реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration

Реестр содержит следующие значения:

• DBDirectory

• DBLogDirectory

• DBSystemDirectory

• DBTempDirectory

Примечание

После установки можно переместить базу данных сертификатов и файлы журнала.Дополнительные сведения см. В статье 283193 базы знаний Microsoft.

Настроить CA

После установки корневого или подчиненного ЦС необходимо настроить расширения доступа к информации о полномочиях (AIA) и точки распространения списков отзыва сертификатов (CDP), прежде чем ЦС выдаст какие-либо сертификаты. Расширение AIA указывает, где найти актуальные сертификаты для ЦС. Расширение CDP указывает, где найти актуальные списки отзыва сертификатов, подписанные центром сертификации. Эти расширения применяются ко всем сертификатам, выданным этим ЦС.

Настройка этих расширений гарантирует, что эта информация будет включена в каждый сертификат, который выдает ЦС, чтобы она была доступна всем клиентам. Это гарантирует, что клиенты PKI испытают наименьшее возможное количество сбоев из-за непроверенных цепочек сертификатов или отзыва сертификатов, что может привести к неудачным подключениям VPN, неудачным входам со смарт-картами или непроверенным подписям электронной почты.

Как администратор центра сертификации вы можете добавлять, удалять или изменять точки распространения списков отзыва сертификатов и расположения для выдачи сертификатов CDP и AIA.Изменение URL-адреса точки распространения CRL влияет только на недавно выпущенные сертификаты. Ранее выданные сертификаты будут по-прежнему ссылаться на исходное местоположение, поэтому вам следует установить эти местоположения до того, как ваш центр сертификации распространит какие-либо сертификаты.

Учитывайте эти рекомендации при настройке URL-адресов расширения CDP:

• Избегайте публикации дельта-списков отзыва сертификатов в автономных корневых центрах сертификации. Поскольку вы не аннулируете многие сертификаты в автономном корневом ЦС, разностный CRL, вероятно, не требуется.

• Настройте расположение URL-адресов LDAP: /// и HTTP: // по умолчанию на вкладке Extensions вкладки Properties Extension центра сертификации в соответствии с вашими потребностями.

• Опубликуйте CRL в Интернете или в экстрасети HTTP, чтобы пользователи и приложения за пределами организации могли выполнять проверку сертификата. Вы можете опубликовать URL-адреса LDAP и HTTP для местоположений CDP, чтобы клиенты могли получать данные CRL с помощью HTTP и LDAP.

• Помните, что клиенты Windows всегда получают список URL-адресов в последовательном порядке, пока не будет получен действительный CRL.

• Используйте расположения HTTP CDP для предоставления доступных расположений CRL для клиентов, работающих под управлением операционных систем, отличных от Windows.

Оболочка

Windows PowerShell и certutil поддерживают номера переменных (которым предшествует знак процента (%)) для облегчения публикации местоположений CDP и AIA. Вкладка Properties Extension CA поддерживает переменные в квадратных скобках.В следующей таблице приведены приравнивания переменных между интерфейсами и описаны их значения.

Публикация расширения AIA

Расширение AIA сообщает клиентским компьютерам, где они могут найти сертификат для проверки. Это позволяет клиенту подтвердить, можно ли доверять сертификату.

Вы можете настроить расширение AIA с помощью интерфейса центра сертификации, Windows PowerShell или команды certutil . В следующей таблице описаны параметры, которые можно использовать с расширением AIA с помощью этих методов.

Примеры в этом разделе для публикации расширения AIA представляют следующий сценарий:

• Доменное имя corp.contoso.com.

• В домене есть веб-сервер с именем App1.

• App1 имеет общую папку с именем PKI, которая разрешает CA чтение и запись.

• App1 имеет DNS CNAME www и общий виртуальный каталог с именем PKI.

• Первый протокол, который клиентские компьютеры должны использовать для информации AIA, — это HTTP.

• Второй протокол, который клиентские компьютеры должны использовать для информации AIA, — это LDAP.

• ЦС, который настраивается, является выдающим ЦС онлайн.

• OCSP не используется.

Используйте интерфейс для публикации расширения AIA

Интерфейс использует имена переменных и флажков, которые описаны в предыдущих таблицах. Вы можете получить доступ к интерфейсу через интерфейс центра сертификации. На панели содержимого щелкните правой кнопкой мыши CA, выберите Properties , а затем щелкните Extensions .В Выберите добавочный номер , щелкните Доступ к информации о полномочиях (AIA) .

Рисунок 1 Меню расширения AIA

В пользовательском интерфейсе настроены следующие местоположения и настройки:

• C: \ Windows \ system32 \ CertSrv \ CertEnroll \ _ .crt

• http://www.contoso.com/pki/\_ .crt

  • Включить в расширение AIA выданных сертификатов

• файл: // \\ App1.corp.contoso.com \ pki \ _ .crt

• ldap: /// CN = , CN = AIA, CN = Public Key Services, CN = Services,

  • Включить в расширение AIA выданных сертификатов

Используйте Windows PowerShell для публикации расширения AIA

Следующие команды Windows PowerShell можно использовать для настройки расширения AIA для данного сценария:

  $ aialist = Get-CAAuthorityInformationAccess; foreach ($ aia в $ aialist) {Remove-CAAuthorityInformationAccess $ aia.uri -Force};
Добавить-CAAuthorityInformationAccess -AddToCertificateAia http://www.contoso.com/pki/%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia file: // \\ App1.corp.contoso.com \ pki \% 1_% 3% 4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia "ldap: /// CN =% 7, CN = AIA, CN = Public Key Services, CN = Services,% 6% 11"
  

Используйте certutil для публикации расширения AIA

Для настройки расширения AIA для данного сценария можно использовать следующую команду certutil :

  certutil -setreg CA \ CACertPublicationURLs "1: C: \ Windows \ system32 \ CertSrv \ CertEnroll \% 1_% 3% 4.crt \ n2: http: //www.contoso.com/pki/%1_%3%4.crt \ n1: file: // \\ App1.corp.contoso.com \ pki \% 1_% 3% 4. crt \ n2: ldap: /// CN =% 7, CN = AIA, CN = Public Key Services, CN = Services,% 6% 11 "

  

Опубликовать расширение CDP

Расширение CDP сообщает клиентским компьютерам, где они могут найти самый последний CRL, чтобы клиент мог подтвердить, что конкретный сертификат не был отозван.

Вы можете настроить расширение CDP с помощью интерфейса центра сертификации, Windows PowerShell или команды certutil . В следующей таблице описаны параметры, которые можно использовать с расширением CDP с помощью этих методов.

Примечание

Расширение выдающей точки распространения (IDP) используется клиентами, отличными от Windows, для проверки отзыва сертификата. Расширение IDP позволяет развертывать разделенные списки отзыва сертификатов при использовании сторонних центров сертификации. Разделенные списки отзыва сертификатов позволяют стороннему центру сертификации публиковать списки отзыва сертификатов только с определенными типами сертификатов в каждом списке отзыва сертификатов. Например, у вас могут быть отдельные CRL для конечных сертификатов и сертификатов CA. В частности, в IDP можно установить следующие параметры:

Если вы разрешаете публикацию дельта-списков отзыва сертификатов на веб-сервере информационных служб Интернета (IIS), необходимо изменить конфигурацию IIS по умолчанию, задав allowDoubleEscaping = true для элемента requestFiltering в системе .web конфигурации IIS. Например, если вы хотите разрешить двойное экранирование для виртуального каталога PKI веб-сайта по умолчанию в IIS, выполните следующую команду на веб-сервере IIS: appcmd set config «Default Web Site / pki» -section: system.webServer / security / requestFiltering -allowDoubleEscaping: истина . Дополнительные сведения см. В разделе AD CS: веб-сервер должен разрешать URI, содержащий символ «+», чтобы разрешить публикацию дельта-списков отзыва сертификатов.

Примеры в этом разделе для публикации расширения CDP представляют следующий сценарий:

• Доменное имя corp.contoso.com.

• В домене есть веб-сервер с именем App1.

• App1 имеет общую папку с именем PKI, которая разрешает CA чтение и запись.

• App1 имеет DNS CNAME www и общий виртуальный каталог с именем PKI.

• Первый протокол, который клиентские компьютеры должны использовать для информации CDP, — это HTTP.

• Второй протокол, который клиентские компьютеры должны использовать для информации CDP, — это LDAP.

• ЦС, который настраивается, является выдающим ЦС онлайн.

• IDP не используется.

Используйте интерфейс для публикации расширения CDP

Интерфейс использует имена переменных и флажков, которые описаны в предыдущих таблицах. Вы можете получить доступ к интерфейсу через интерфейс центра сертификации. На панели содержимого щелкните правой кнопкой мыши CA, выберите Properties , а затем щелкните Extensions .В Выберите добавочный номер , щелкните Точка распространения CRL (CDP) .

Рисунок 2 Меню расширения CDP

В интерфейсе настроены следующие местоположения и настройки:

• C: \ Windows \ System32 \ CertSrv \ CertEnroll \ .crl

• http://www.contoso.com/pki/\.crl

• файл: // \\ App1.corp.contoso.com \ pki \ .crl

• ldap: /// CN = , CN = , CN = CDP, CN = Public Key Services, CN = Services,

Используйте Windows PowerShell для публикации расширения CDP

Следующие команды Windows PowerShell используются для настройки расширения CDP для данного сценария:

  $ crllist = Get-CACrlDistributionPoint; foreach ($ crl в $ crllist) {Remove-CACrlDistributionPoint $ crl.uri -Force};
Добавить-CACRLDistributionPoint -Uri C: \ Windows \ System32 \ CertSrv \ CertEnroll \% 3% 8% 9.crl -PublishToServer -PublishDeltaToServer
Добавить-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -AddToFreshestCrl
Add-CACRLDistributionPoint -Uri file: // \\ App1.corp.contoso.com \ pki \% 3% 8% 9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri "ldap: /// CN =% 7% 8, CN =% 2, CN = CDP, CN = Public Key Services, CN = Services,% 6% 10" -AddToCrlCdp -AddToCertificateCdp
  

Примечание

Если вы используете Windows PowerShell для добавления путей CDP, существующие пути останутся на месте.Первая команда Windows PowerShell в примере удаляет все существующие пути. Дополнительные сведения об использовании Windows PowerShell для удаления путей CDP см. В разделе Remove-CACrlDistributionPoint.

Используйте certutil для публикации расширения CDP

Следующая команда certutil настраивает расширение CDP для данного сценария:

  certutil -setreg CA \ CRLPublicationURLs "65: C: \ Windows \ system32 \ CertSrv \ CertEnroll \% 3% 8% 9.crl \ n6: http: //www.contoso.com/pki/%3%8% 9.crl \ n65: файл: // \\ App1.corp.contoso.com \ pki \% 3% 8% 9.crl \ n10: ldap: /// CN =% 7% 8, CN =% 2, CN = CDP, CN = службы открытых ключей, CN = службы,% 6% 10 "
  

Чтобы опубликовать CRL, вы можете выполнить команду certutil -crl в центре сертификации из Windows PowerShell или запустить командную строку от имени администратора.Дополнительные сведения о настройке и публикации CRL см. В разделе Настройка отзыва сертификата.

Проверить конфигурацию

Чтобы проверить конфигурацию ЦС, вы можете запустить следующие команды из Windows PowerShell или из окна командной строки:

Средство Enterprise PKI View (PKIView.msc) можно использовать для проверки конфигураций публикации AIA и CDP. Для получения дополнительной информации см. Enterprise PKI.

Вы также можете использовать службу роли сетевого ответчика для проверки отзыва сертификата. Дополнительные сведения об онлайн-ответчике см. В Руководстве по установке, настройке и устранению неполадок сетевого ответчика.

Связанное содержание

.

Руководство по регистрации через Интернет для центра сертификации

• 31.08.2016
• 10 минут на чтение

В этой статье

Применимо к: Windows Server 2012 R2, Windows Server 2012

Служба веб-регистрации центра сертификации (CA) предоставляет набор веб-страниц, которые позволяют взаимодействовать со службой роли центра сертификации. Эти веб-страницы расположены по адресу https: // / certsrv, где — это имя сервера, на котором размещены страницы веб-регистрации CA.Часть URL-адреса certsrv всегда должна быть в нижнем регистре; в противном случае у пользователей могут возникнуть проблемы с проверкой и получением ожидающих сертификатов.

Страницы службы роли CA Web Enrollment позволяют подключаться к CA с помощью веб-браузера и выполнять общие задачи, например:

• Запрос сертификатов от CA.

• Запрос сертификата ЦС.

• Отправка запроса сертификата с использованием файла PKCS # 10.

• Получение списка отзыва сертификатов ЦС (CRL).

CA Web Enrollment полезен при взаимодействии с автономным ЦС, поскольку оснастку «Сертификаты» консоли управления (MMC) нельзя использовать для взаимодействия с автономным ЦС. Центры сертификации предприятия могут принимать запросы сертификатов через оснастку «Сертификаты» или страницы службы роли CA Web Enrollment.

Начиная с Windows Server® 2008, служба роли CA Web Enrollment включает обновленные примеры веб-страниц для операций регистрации сертификатов через Интернет.Эти веб-страницы обновлены для работы вместе с компонентом CertEnroll (доступен начиная с Windows Vista). Эти веб-страницы также работают вместе с Xenroll.

Веб-страницы регистрации сертификатов, начиная с Windows Server 2008, определяют клиентскую операционную систему и затем выбирают соответствующий элемент управления.

• Если клиентский компьютер работает под управлением Windows Server 2003 или Windows XP, веб-страницы регистрации сертификатов используют Xenroll.

• Если клиентский компьютер работает под управлением как минимум Windows Vista® или Windows Server 2008, служба роли CA Web Enrollment использует CertEnroll.

Важно

В Windows® 8 веб-страницы регистрации CA будут работать только с Internet Explorer 10 для настольных компьютеров.
Начиная с Windows Server 2012 R2, клиентские компьютеры под управлением Windows XP не поддерживаются для регистрации через Интернет.

Для получения дополнительных сведений о CertEnroll и Xenroll см. Следующее:

CA для регистрации через Интернет

Вы можете установить CA Web Enrollment на сервере, который не является CA, чтобы отделить веб-трафик от CA.При установке CA Web Enrollment компьютер настраивается как центр регистрации для регистрации. Вы должны выбрать ЦС, который будет использоваться со страницами регистрации ЦС через Интернет. CA, который использует CA Web Enrollment, в пользовательском интерфейсе называется Target CA . Вы можете выбрать целевой ЦС, используя имя ЦС или имя компьютера, связанного с ЦС. Нажмите кнопку Выберите , чтобы найти центр сертификации, который вы хотите использовать.

Конфигурация регистрации через Интернет

Если вы устанавливаете веб-страницы регистрации CA на компьютер, который не является целевым центром сертификации, учетная запись компьютера, на котором установлены веб-страницы CA, должна быть доверенна для делегирования.Для получения дополнительной информации см. Следующие ресурсы:

Используйте веб-страницы регистрации CA

Если вам предоставлены права доступа, вы можете выполнять следующие задачи на страницах CA Web Enrollment:

• Запросить базовый сертификат.

• Запросить сертификат с дополнительными параметрами.

  Это дает вам больший контроль над запросом сертификата. Некоторые из выбираемых пользователем параметров, доступных в расширенном запросе сертификата, включают:

  • Параметры поставщика криптографических услуг (CSP) .Имя поставщика криптографических услуг, размер ключа (1024, 2048 и т. Д.), Алгоритм хеширования (например, SHA / RSA, SHA / DSA, MD2 или MD5) и спецификация ключа (обмен или подпись).

  • Варианты генерации ключей . Создайте новый набор ключей или используйте существующий набор ключей, отметьте ключи как экспортируемые, включите усиленную защиту ключей и используйте хранилище локального компьютера для создания ключа.

  • Дополнительные опции . Сохраните запрос в файл PKCS # 10 или добавьте определенные атрибуты в сертификат.

• Проверить ожидающий запрос сертификата. Если вы отправили запрос на сертификат в автономный центр сертификации, вам необходимо проверить статус ожидающего запроса, чтобы узнать, выдал ли центр сертификации сертификат. Если сертификат был выдан, вы сможете его установить.

• Получите сертификат центра сертификации и поместите его в надежное корневое хранилище или установите всю цепочку сертификатов в хранилище сертификатов.

• Получить текущий базовый и дельта CRL.

• Отправьте запрос сертификата с помощью файла PKCS # 10 или PKCS # 7.

  Примечание

  Как правило, вы используете файл PKCS # 10 для отправки запроса на новый сертификат и файл PKCS # 7 для отправки запроса на обновление существующего сертификата. Отправка запросов с файлами полезна, когда запрашивающая сертификат не может отправить онлайн-запрос в центр сертификации.

Запросить базовый сертификат

Использование Internet Explorer для запроса базового сертификата

1. В Internet Explorer подключитесь к https: // / certsrv, где — это имя хоста компьютера, на котором запущена служба роли CA Web Enrollment.

2. Щелкните Запросить сертификат .

3. В Request a Certificate щелкните User Certificate .

4. На странице Идентификационная информация сертификата пользователя выполните одно из следующих действий:

   • Следуйте указаниям сообщения «Дополнительная идентифицирующая информация не требуется. Чтобы заполнить сертификат, нажмите« Отправить ».

   • Введите вашу идентификационную информацию для запроса сертификата.

5. (Необязательно) Щелкните Дополнительные параметры , чтобы указать поставщика службы криптографии (CSP) и выбрать, нужно ли включить надежную защиту закрытого ключа. (Вы получаете приглашение каждый раз, когда используете закрытый ключ, связанный с сертификатом.)

6. Нажмите Отправить .

7. Выполните одно из следующих действий:

   • Если вы видите страницу Ожидающий сертификат , администратор ЦС должен будет утвердить запрос, прежде чем вы сможете получить и установить сертификат.

   • Если вы видите страницу Сертификат выдан , щелкните Установить этот сертификат .

Запросить сертификат с дополнительными опциями

Использование Internet Explorer для создания расширенного запроса сертификата

1. В Internet Explorer подключитесь к https: // / certsrv, где — это имя хоста компьютера, на котором запущена служба роли CA Web Enrollment.

2. Щелкните Запросить сертификат .

3. Щелкните Расширенный запрос сертификата .

4. Щелкните Создайте и отправьте запрос сертификата в этот CA .

5. Введите запрошенную идентификационную информацию и другие параметры, которые вам требуются.

6. Нажмите Отправить .

7. Выполните одно из следующих действий:

   • Если вы видите страницу Ожидающий сертификат , администратор ЦС должен будет утвердить запрос, прежде чем вы сможете получить и установить сертификат.

   • Если вы видите страницу Сертификат выдан , щелкните Установить этот сертификат .

Проверить ожидающий запрос сертификата

Чтобы проверить ожидающий запрос сертификата с помощью Internet Explorer

1. В Internet Explorer откройте https: // / certsrv, где — это имя хоста компьютера, на котором запущена служба роли CA Web Enrollment.

2. Щелкните Просмотрите статус ожидающего запроса сертификата .

3. Если нет ожидающих запросов на сертификат, вы увидите сообщение об этом. В противном случае выберите запрос сертификата, который вы хотите проверить, и нажмите Далее .

4. Проверьте следующие ожидающие запросы сертификатов:

   • Все еще на рассмотрении . Вы должны дождаться, пока администратор центра сертификации выдаст сертификат. Чтобы удалить запрос сертификата, нажмите Удалить .

   • Выдано . Чтобы установить сертификат, нажмите Установить этот сертификат .

   • Запрещено . Свяжитесь с администратором центра сертификации для получения дополнительной информации.

Получить сертификат CA

Для получения сертификата ЦС с помощью Internet Explorer

1. В Internet Explorer подключитесь к https: // / certsrv, где — это имя компьютера, на котором запущена служба роли CA Web Enrollment.

2. Щелкните Загрузите сертификат CA, цепочку сертификатов или CRL .

3. Выполните одно из следующих действий:

   • Если вы хотите доверять всем сертификатам, выданным этим ЦС, щелкните Установить эту цепочку сертификатов ЦС .

   • Если ЦС был продлен, у вас есть выбор, какую версию сертификата ЦС вы хотите загрузить.

4. Выберите метод кодирования, который вы хотите использовать для CRL: DER или Base 64 .

5. В разделе Сертификат ЦС щелкните сертификат ЦС, который вы хотите загрузить, а затем нажмите Загрузить сертификат ЦС или нажмите Загрузить цепочку сертификатов ЦС .

6. В File Download щелкните Откройте этот файл из текущего местоположения , а затем щелкните OK .

7. Когда появится диалоговое окно Сертификат , щелкните Установить этот сертификат .

8. В мастере импорта сертификатов щелкните . Автоматический выбор хранилища сертификатов в зависимости от типа сертификата .

Получить текущий базовый и дельта CRL

Чтобы получить список отзыва сертификатов с помощью Internet Explorer

1. В Internet Explorer подключитесь к https: // / certsrv, где — это имя компьютера, на котором запущена служба роли CA Web Enrollment.

2. Щелкните Загрузите сертификат CA, цепочку сертификатов или CRL .

3. Щелкните метод кодирования, который вы хотите использовать для CRL, DER или Base 64 .

4. Выполните одно из следующих действий:

   • Щелкните Скачать сертификат CA .

   • Щелкните Загрузить цепочку сертификатов ЦС .

   • Нажмите Загрузите последний базовый CRL .

   • Нажмите Загрузите последний дельта-CRL .

     Примечание

     Последний базовый CRL должен быть уже установлен для работы дельта-CRL.

5. Когда появится диалоговое окно Загрузка файла , нажмите Сохранить . Выберите папку на своем компьютере для хранения файла .crl, а затем нажмите Сохранить .

6. Откройте проводник Windows и найдите только что сохраненный файл .crl.

7. Щелкните правой кнопкой мыши файл .cer или .crl и выберите Установить сертификат или Установить CRL , а затем щелкните Далее .

8. Когда откроется Мастер импорта сертификатов, нажмите . Автоматический выбор хранилища сертификатов на основе типа сертификата .

Отправьте запрос сертификата, используя файл PKCS # 10 или файл PKCS # 7

Для отправки запроса на сертификат с помощью файла PKCS # 10 или PKCS # 7 с помощью Internet Explorer

1. В Internet Explorer подключитесь к https: // / certsrv, где — это имя компьютера, на котором запущена служба роли CA Web Enrollment.

2. Щелкните Запросить сертификат , а затем щелкните Расширенный запрос сертификата .

3. Щелкните Отправьте запрос на сертификат, используя файл CMC или PKCS # 10 в кодировке base-64, или отправьте запрос на обновление, используя файл PKCS # 7 в кодировке base-64.

4. В Блокноте щелкните Файл , щелкните Открыть , выберите файл PKCS # 10 или PKCS # 7, щелкните Изменить , щелкните Выбрать все , щелкните Изменить , а затем щелкните Копировать .На веб-странице щелкните поле прокрутки Сохраненный запрос . Щелкните Изменить , а затем щелкните Вставить , чтобы вставить содержимое запроса на сертификат в поле прокрутки.

5. Если вы подключены к ЦС предприятия, выберите шаблон сертификата, который хотите использовать. По умолчанию соответствующий шаблон называется Подчиненный центр сертификации .

6. Если у вас есть какие-либо атрибуты, которые нужно добавить к запросу на сертификат, введите их в поле Additional Attributes .

7. Нажмите Отправить .

8. Выполните одно из следующих действий:

   1. Если вы видите веб-страницу Ожидающий сертификат , см. Раздел Проверка ожидающего запроса сертификата ранее в этом документе.

   2. Если вы видите веб-страницу Сертификат выдан , щелкните Загрузить цепочку сертификатов . Выберите сохранение файла на жесткий диск, а затем импортируйте сертификат в хранилище сертификатов.

Связанное содержание

.

Настройка инфраструктуры для поддержки профилей сертификатов SCEP с Microsoft Intune — Azure

• 03.09.2020
• Читать 19 минут

В этой статье

Intune поддерживает использование простого протокола регистрации сертификатов (SCEP) для проверки подлинности подключений к вашим приложениям и корпоративным ресурсам.SCEP использует сертификат центра сертификации (CA) для защиты обмена сообщениями для запроса на подпись сертификата (CSR). Если ваша инфраструктура поддерживает SCEP, вы можете использовать профили сертификата Intune SCEP (тип профиля устройства в Intune) для развертывания сертификатов на ваших устройствах. Соединитель Microsoft Intune требуется для использования профилей сертификатов SCEP с Intune при использовании центра сертификации служб сертификации Active Directory. Коннектор не требуется при использовании сторонних центров сертификации.

Информация в этой статье может помочь вам настроить вашу инфраструктуру для поддержки SCEP при использовании служб сертификации Active Directory. После настройки инфраструктуры вы можете создавать и развертывать профили сертификатов SCEP с помощью Intune.

Предпосылки для использования SCEP для сертификатов

Прежде чем продолжить, убедитесь, что вы создали и развернули профиль доверенного сертификата на устройствах, которые будут использовать профили сертификатов SCEP. Профили сертификатов SCEP напрямую ссылаются на профиль доверенного сертификата, который вы используете для подготовки устройств с помощью сертификата доверенного корневого ЦС.

Серверы и роли серверов

Следующая локальная инфраструктура должна работать на серверах, которые присоединены к домену вашей Active Directory, за исключением прокси-сервера веб-приложения.

• Центр сертификации — Используйте центр сертификации предприятия (CA) служб сертификации Microsoft Active Directory, который работает в корпоративной версии Windows Server 2008 R2 с пакетом обновления 1 или более поздней версии. Версия Windows Server, которую вы используете, должна оставаться в поддержке Microsoft.Автономный ЦС не поддерживается. Для получения дополнительной информации см. Установка центра сертификации. Если ваш центр сертификации работает под управлением Windows Server 2008 R2 SP1, необходимо установить исправление из KB2483564.

• Роль сервера NDES — необходимо настроить роль сервера службы регистрации сетевых устройств (NDES) в Windows Server 2012 R2 или более поздней версии. В следующем разделе этой статьи мы расскажем, как установить NDES.

  • Сервер, на котором размещается NDES, должен быть присоединен к домену и находиться в том же лесу, что и ваш центр сертификации предприятия.
  • Вы не можете использовать NDES, установленный на сервере, на котором размещен Enterprise CA.
  • Вы установите Microsoft Intune Connector на том же сервере, на котором размещается NDES.

  Чтобы узнать больше о NDES, см. Руководство по службе регистрации сетевых устройств в документации Windows Server и Использование модуля политики со службой регистрации сетевых устройств.

• Microsoft Intune Connector — Microsoft Intune Connector требуется для использования профилей сертификатов SCEP с Intune.Эта статья поможет вам установить этот разъем.

  Разъем поддерживает режим Федерального стандарта обработки информации (FIPS). FIPS не требуется, но когда он включен, вы можете выдавать и отзывать сертификаты.

  • Соединитель имеет те же сетевые требования, что и управляемые устройства.
  • Коннектор должен работать на том же сервере, что и роль сервера NDES, сервере под управлением Windows Server 2012 R2 или более поздней версии.
  • Платформа .NET 4.5 Framework требуется для соединителя и автоматически включается в Windows Server 2012 R2.

  Конфигурация усиленной безопасности

  • Internet Explorer должна быть отключена на сервере, на котором размещены NDES и Microsoft Intune Connector.

Поддержка NDES в Интернете

Чтобы разрешить устройствам в Интернете получать сертификаты, необходимо опубликовать URL-адрес NDES за пределами корпоративной сети. Для этого можно использовать прокси-сервер приложения Azure AD или прокси-сервер веб-приложений . Вы также можете использовать другой обратный прокси по вашему выбору.

• Прокси приложения Azure AD — вы можете использовать прокси приложения Azure AD вместо выделенного прокси-сервера веб-приложения (WAP) для публикации URL-адреса NDES в Интернете. Это позволяет устройствам, подключенным к интрасети и Интернету, получать сертификаты. В статье Интеграция с прокси-сервером приложения Azure AD на сервере службы регистрации сетевых устройств (NDES).

• Прокси-сервер веб-приложения — Используйте сервер под управлением Windows Server 2012 R2 или более поздней версии в качестве прокси-сервера веб-приложения (WAP), чтобы опубликовать URL-адрес NDES в Интернете.Это позволяет устройствам, подключенным к интрасети и Интернету, получать сертификаты.

  Сервер, на котором размещается WAP, должен установить обновление, которое включает поддержку длинных URL-адресов, используемых службой регистрации сетевых устройств. Это обновление включено в накопительный пакет обновлений за декабрь 2014 г. или отдельно из KB3011135.

  WAP-сервер должен иметь сертификат SSL, который соответствует имени, опубликованному для внешних клиентов, и доверять сертификату SSL, который используется на компьютере, на котором размещена служба NDES.Эти сертификаты позволяют серверу WAP разорвать SSL-соединение от клиентов и создать новое SSL-соединение со службой NDES.

  Для получения дополнительной информации см. Планирование сертификатов для WAP и общую информацию о серверах WAP.

Счета

• Учетная запись службы NDES — Перед настройкой NDES определите учетную запись пользователя домена для использования в качестве учетной записи службы NDES. Вы укажете эту учетную запись при настройке шаблонов в выпускающем ЦС, прежде чем настраивать NDES.

  Эта учетная запись должна иметь следующие права на сервере, на котором размещается NDES:

  • Локальный вход
  • Вход в систему как услуга
  • Вход в систему как пакетное задание

  Дополнительные сведения см. В разделе Создание учетной записи пользователя домена для работы в качестве учетной записи службы NDES.

• Доступ к компьютеру, на котором размещена служба NDES. — Вам потребуется учетная запись пользователя домена с разрешениями для установки и настройки ролей сервера Windows на сервере, на котором вы устанавливаете NDES.

• Доступ к центру сертификации. — Вам понадобится учетная запись пользователя домена с правами для управления центром сертификации.

Требования к сети

Мы рекомендуем публиковать службу NDES через обратный прокси-сервер, например прокси-сервер приложения Azure AD, прокси-сервер веб-доступа или сторонний прокси. Если вы не используете обратный прокси-сервер, разрешите трафик TCP на порт 443 со всех хостов и IP-адресов в Интернете для службы NDES.

Разрешить все порты и протоколы, необходимые для связи между службой NDES и любой поддерживающей инфраструктурой в вашей среде. Например, компьютер, на котором размещена служба NDES, должен взаимодействовать с центром сертификации, DNS-серверами, контроллерами домена и, возможно, другими службами или серверами в вашей среде, такими как Configuration Manager.

Сертификаты и шаблоны

При использовании SCEP используются следующие сертификаты и шаблоны.

Настроить центр сертификации

В следующих разделах вы:

• Настройте и опубликуйте необходимый шаблон для NDES
• Установите необходимые разрешения для отзыва сертификата.

Для следующих разделов требуется знание Windows Server 2012 R2 или более поздней версии, а также служб сертификации Active Directory (AD CS).

Доступ к выпускающему ЦС

1. Войдите в свой выдающий ЦС с учетной записью домена с правами, достаточными для управления ЦС.

2. Откройте консоль управления Microsoft Management Console (MMC) центра сертификации. Либо Запустите ‘certsrv.msc’, либо в Server Manager щелкните Инструменты , а затем щелкните Центр сертификации .

3. Выберите узел Шаблоны сертификатов , щелкните Действие > Управление .

Создайте шаблон сертификата SCEP

1. Создайте шаблон сертификата v2 (с совместимостью с Windows 2003) для использования в качестве шаблона сертификата SCEP.Вы можете:

   • Используйте оснастку Certificate Templates для создания нового настраиваемого шаблона.
   • Скопируйте существующий шаблон (например, шаблон веб-сервера), а затем обновите копию для использования в качестве шаблона NDES.

2. Настройте следующие параметры на указанных вкладках шаблона:

3. Сохраните шаблон сертификата.

Создать шаблон сертификата клиента

Коннектор Microsoft Intune требует сертификата с Client Authentication Enhanced Key Usage и Subject name, равными FQDN машины, на которой установлен коннектор.Требуется шаблон со следующими свойствами:

• Расширения > Политики приложений должны содержать Проверка подлинности клиента
• Имя субъекта > Поставка в запросе .

Если у вас уже есть шаблон, включающий эти свойства, вы можете использовать его повторно, в противном случае создайте новый шаблон, скопировав существующий или создав собственный шаблон.

Создать шаблон сертификата сервера

Для связи между управляемыми устройствами и IIS на сервере NDES используется протокол HTTPS, что требует использования сертификата.Вы можете использовать шаблон сертификата веб-сервера для выдачи этого сертификата. Или, если вы предпочитаете иметь специальный шаблон, требуются следующие свойства:

• Расширения > Политики приложений должны содержать Аутентификацию сервера
• Имя субъекта > Поставка в запросе .

Примечание

Если у вас есть сертификат, который удовлетворяет обоим требованиям шаблонов сертификатов клиента и сервера, вы можете использовать один сертификат как для IIS, так и для Microsoft Intune Connector.

Предоставить разрешения для отзыва сертификата

Чтобы Intune могла отзывать сертификаты, которые больше не требуются, необходимо предоставить разрешения в центре сертификации.

В соединителе Microsoft Intune вы можете использовать системную учетную запись сервера NDES или определенную учетную запись, например учетную запись службы NDES .

1. На консоли центра сертификации щелкните правой кнопкой мыши имя центра сертификации и выберите Свойства .

2. На вкладке Безопасность щелкните Добавить .

3. Grant Выпуск сертификатов и управление ими разрешение:

   • Если вы решите использовать системную учетную запись сервера NDES , предоставьте разрешения для сервера NDES.
   • Если вы решите использовать учетную запись службы NDES , предоставьте разрешения для этой учетной записи.

Изменить срок действия шаблона сертификата

Необязательно изменять срок действия шаблона сертификата.

После создания шаблона сертификата SCEP его можно отредактировать, чтобы просмотреть период действия на вкладке Общие .

По умолчанию Intune использует значение, настроенное в шаблоне, но вы можете настроить ЦС, чтобы позволить запрашивающей стороне вводить другое значение, чтобы это значение можно было установить из консоли Intune.

Важно

Для iOS / iPadOS и macOS всегда используйте значение, заданное в шаблоне.

Чтобы настроить значение, которое можно задать из консоли Intune

1. В центре сертификации выполните следующие команды:

   certutil -setreg Policy \ EditFlags + EDITF_ATTRIBUTEENDDATE
   net stop certsvc
   net start certsvc

2. В выпускающем ЦС используйте оснастку центра сертификации для публикации шаблона сертификата.Выберите узел Certificate Templates , выберите Action > New > Certificate Template to Issue , а затем выберите шаблон сертификата, который вы создали в предыдущем разделе.

3. Убедитесь, что шаблон опубликован, просмотрев его в папке Шаблоны сертификатов .

Настроить NDES

Следующие ниже процедуры помогут настроить службу регистрации сетевых устройств (NDES) для использования с Intune.Для получения дополнительной информации о NDES см. Руководство по службе регистрации сетевых устройств.

Установите службу NDES

1. На сервере, на котором будет размещена служба NDES, войдите в систему как Enterprise Administrator , а затем с помощью мастера добавления ролей и компонентов установите NDES:

   1. В мастере выберите Службы сертификации Active Directory , чтобы получить доступ к службам ролей AD CS. Выберите Network Device Enrollment Service , снимите флажок Certification Authority и завершите работу мастера.

      Подсказка

      В Процесс установки не выбирайте Закрыть . Вместо этого выберите ссылку Настроить службы сертификации Active Directory на целевом сервере . Откроется мастер AD CS Configuration , который вы будете использовать для следующей процедуры в этой статье: Настройка службы NDES . После открытия конфигурации AD CS вы можете закрыть мастер добавления ролей и компонентов.

   2. Когда NDES добавляется на сервер, мастер также устанавливает IIS.Убедитесь, что IIS имеет следующие конфигурации:

      • Веб-сервер > Безопасность > Фильтрация запросов

      • Веб-сервер > Разработка приложений > ASP.NET 3.5

        При установке ASP.NET 3.5 устанавливается .NET Framework 3.5. При установке .NET Framework 3.5 установите как базовую функцию .NET Framework 3.5 , так и HTTP-активацию .

      • Веб-сервер > Разработка приложений > ASP.НЕТТО 4,5

        При установке ASP.NET 4.5 устанавливается .NET Framework 4.5. При установке .NET Framework 4.5 установите основной компонент .NET Framework 4.5 , ASP.NET 4.5 и компонент WCF Services > HTTP Activation .

      • Инструменты управления > Совместимость управления с IIS 6 > Совместимость с метабазами IIS 6

      • Инструменты управления > Совместимость управления с IIS 6 > Совместимость с IIS 6 WMI

      • На сервере добавьте учетную запись службы NDES в качестве члена локальной группы IIS_IUSR .

2. На компьютере, на котором размещена служба NDES, выполните следующую команду в командной строке с повышенными привилегиями. Следующая команда устанавливает SPN учетной записи службы NDES:

   setspn -s http / <Имя домена> \ <Имя учетной записи службы NDES>

   Например, если компьютер, на котором размещена служба NDES, называется Server01 , ваш домен — Contoso.com , а учетная запись службы — NDESService , используйте:

   setspn –s http / Server01.contoso.com contoso \ NDESService

Настроить службу NDES

1. На компьютере, на котором размещена служба NDES, откройте мастер настройки AD CS , а затем выполните следующие обновления:

   Подсказка

   Если вы продолжите с последней процедуры и нажали Настроить службы сертификации Active Directory на целевом сервере , этот мастер уже должен быть открыт.В противном случае откройте диспетчер сервера, чтобы получить доступ к конфигурации после развертывания для служб сертификации Active Directory.

   • В Role Services выберите Network Device Enrollment Service .
   • В учетной записи службы для NDES укажите учетную запись службы NDES.
   • В ЦС для NDES щелкните Выберите , а затем выберите центр сертификации, в котором вы настроили шаблон сертификата.
   • В Cryptography для NDES установите длину ключа в соответствии с требованиями вашей компании.
   • В Подтверждение выберите Настроить , чтобы завершить работу мастера.

2. После завершения работы мастера обновите следующий раздел реестра на компьютере, на котором размещена служба NDES:

   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ MSCEP \

   Чтобы обновить этот ключ, определите шаблон сертификата Purpose (находится на вкладке Обработка запросов ). Затем обновите соответствующую запись реестра, заменив существующие данные на имя шаблона сертификата (не отображаемое имя шаблона), указанное вами при создании шаблона сертификата.

   В следующей таблице назначение шаблона сертификата сопоставляется со значениями в реестре:

   Шаблон сертификата Назначение (на вкладке Обработка запросов)	Значение реестра для редактирования	Значение, отображаемое в консоли администратора Intune для профиля SCEP
   Подпись	Подпись Шаблон	Цифровая подпись
   Шифрование	EncryptionTemplate	Шифрование ключа
   Подпись и шифрование	Шаблон общего назначения	Шифрование ключа Цифровая подпись

   Например, если цель вашего шаблона сертификата — EncryptionTemplate , отредактируйте значение EncryptionTemplate , чтобы оно было именем вашего шаблона сертификата.

3. Настройте фильтрацию запросов IIS, чтобы добавить в IIS поддержку длинных URL-адресов (запросов), которые получает служба NDES.

   1. В диспетчере IIS выберите Веб-сайт по умолчанию > Фильтрация запросов > Изменить параметр функции , чтобы открыть страницу Изменить параметры фильтрации запроса .

   2. Настройте следующие параметры:

      • Максимальная длина URL (байты) = 65534
      • Максимальная строка запроса (байты) = 65534

   3. Выберите OK , чтобы сохранить эту конфигурацию и закрыть диспетчер IIS.

   4. Проверьте эту конфигурацию, просмотрев следующий раздел реестра, чтобы убедиться, что он имеет указанные значения:

      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ Parameters

      Следующие значения установлены как записи DWORD:

      • Имя: MaxFieldLength , с десятичным значением 65534
      • Имя: MaxRequestBytes , с десятичным значением 65534

4. Перезапустите сервер, на котором размещена служба NDES.Не используйте iisreset ; iireset не вносит необходимые изменения.

5. Перейдите к http: // Server_FQDN /certsrv/mscep/mscep.dll . Вы должны увидеть страницу NDES, подобную следующему изображению:

   Если веб-адрес возвращает 503 Служба недоступна , проверьте программу просмотра событий компьютера. Эта ошибка обычно возникает, когда пул приложений остановлен из-за отсутствия разрешения для учетной записи службы NDES.

Установить и привязать сертификаты на сервере, на котором размещается NDES

На сервере NDES есть два сертификата, которые требуются для конфигурации.
Эти сертификаты: Сертификат проверки подлинности клиента и сертификат проверки подлинности сервера , как указано в разделе «Сертификаты и шаблоны».

Подсказка

В следующей процедуре вы можете использовать один сертификат как для проверки подлинности сервера , так и для проверки подлинности клиента , если этот сертификат настроен так, чтобы соответствовать критериям обоих вариантов использования.Что касается имени субъекта, оно должно соответствовать требованиям сертификата аутентификации клиента .

• Сертификат аутентификации клиента

  Этот сертификат используется во время установки Microsoft Intune Connector.

  Запросите и установите сертификат аутентификации клиента из вашего внутреннего ЦС или общедоступного центра сертификации.

  Сертификат должен соответствовать следующим требованиям:

  • Использование расширенного ключа : это значение должно включать Проверка подлинности клиента .
  • Имя субъекта : Установите CN (общее имя) со значением, которое должно быть равно полному доменному имени сервера, на котором вы устанавливаете сертификат (сервер NDES).

• Сертификат аутентификации сервера

  Этот сертификат используется в IIS. Это простой сертификат веб-сервера, который позволяет клиенту доверять URL-адресу NDES.

  1. Запросите сертификат проверки подлинности сервера у внутреннего ЦС или общедоступного ЦС, а затем установите сертификат на сервере.

     В зависимости от того, как вы предоставляете NDES доступ в Интернет, существуют разные требования.

     Хорошая конфигурация:

     • A Имя субъекта : Задайте CN (общее имя) со значением, которое должно быть равно FQDN сервера, на котором вы устанавливаете сертификат (сервер NDES).
     • A Альтернативное имя субъекта : Установите записи DNS для каждого URL-адреса, на который отвечает ваш NDES, например для внутреннего FQDN и внешних URL-адресов.

     Примечание

     Если вы используете прокси приложения Azure AD, соединитель прокси приложения AAD преобразует запросы с внешнего URL-адреса на внутренний URL-адрес.Таким образом, NDES будет отвечать только на запросы, направленные на внутренний URL-адрес, обычно на полное доменное имя сервера NDES.

     В этой ситуации внешний URL-адрес не требуется.

  2. Привязать сертификат проверки подлинности сервера в IIS:

     1. После установки сертификата проверки подлинности сервера откройте IIS Manager и выберите веб-сайт по умолчанию . На панели Действия выберите Привязки .

     2. Выберите Добавить , установите Тип на https , а затем подтвердите, что порт — 443 .

     3. Для SSL-сертификата укажите сертификат аутентификации сервера.

Установите соединитель Microsoft Intune

Соединитель Microsoft Intune устанавливается на сервере, на котором работает служба NDES. Не поддерживается использование NDES или Microsoft Intune Connector на том же сервере, что и ваш выдающий центр сертификации (CA).

Для установки соединителя сертификатов

1. Войдите в центр администрирования Microsoft Endpoint Manager.

2. Выберите Администрирование клиента > Соединители и токены > Соединители сертификатов > Добавьте .

3. Загрузите и сохраните коннектор для файла SCEP. Сохраните его в месте, доступном с сервера, на котором вы собираетесь установить коннектор.

4. После завершения загрузки перейдите на сервер, на котором размещена роль службы регистрации сетевых устройств (NDES). Тогда:

   1. Подтвердите это.NET 4.5 Framework установлена, поскольку это требуется для Microsoft Intune Connector. .NET 4.5 Framework автоматически включается в Windows Server 2012 R2 и более новые версии.

   2. Используйте учетную запись с правами администратора на сервере для запуска установщика ( NDESConnectorSetup.exe ). Программа установки также устанавливает модуль политики для NDES и веб-службы точки регистрации сертификатов (CRP) IIS. Веб-служба CRP, CertificateRegistrationSvc , работает как приложение в IIS.

      При установке NDES для автономного Intune служба CRP автоматически устанавливается вместе с соединителем сертификатов.

5. При запросе сертификата клиента для соединителя сертификатов выберите Выберите и выберите сертификат для проверки подлинности клиента , который вы установили на сервере NDES во время шага № 3 процедуры Установите и привяжите сертификаты на сервере, на котором размещается NDES, из ранее в этой статье.

   После выбора сертификата проверки подлинности клиента вы вернетесь на поверхность ** Сертификат клиента для Microsoft Intune Connector **.Хотя выбранный вами сертификат не отображается, выберите Далее , чтобы просмотреть свойства этого сертификата. Выберите Далее , а затем Установить .

Примечание

Перед запуском Microsoft Intune Connector необходимо внести следующие изменения для клиентов GCC High.

Внесите изменения в два конфигурационных файла, перечисленных ниже, которые обновят конечные точки службы для среды GCC High. Обратите внимание, что эти обновления изменяют URI с .com с по .us суффиксы . Всего существует три обновления URI, два обновления в файле конфигурации NDESConnectorUI.exe.config и одно обновление в файле NDESConnector.exe.config.

• Имя файла: \ Microsoft Intune \ NDESConnectorUI \ NDESConnectorUI.exe.config

  Пример: (% programfiles% \ Microsoft Intune \ NDESConnectorUI \ NDESConnectorUI.exe.config)

• Имя файла: \ Microsoft Intune \ NDESConnectorSvc \ NDESConnector.exe.config

  Пример: (% programfiles% \ Microsoft Intune \ NDESConnectorSvc \ NDESConnector.exe.config)

Если эти изменения не будут завершены, клиенты GCC High получат сообщение об ошибке: «Доступ запрещен» «У вас нет прав для просмотра этой страницы»

6. После завершения работы мастера, но до закрытия мастера, Запустите интерфейс коннектора сертификатов .

   Если вы закроете мастер перед запуском пользовательского интерфейса соединителя сертификатов, вы можете снова открыть его, выполнив следующую команду:

   <путь_установки> \ NDESConnectorUI \ NDESConnectorUI.exe

7. В соединителе сертификатов UI:

   1. Выберите Войти и введите свои учетные данные администратора службы Intune или учетные данные для администратора клиента с разрешением глобального администрирования.

   2. Используемой учетной записи должна быть назначена действующая лицензия Intune.

   3. После входа в систему Microsoft Intune Connector загружает сертификат из Intune. Этот сертификат используется для проверки подлинности между соединителем и Intune.Если у используемой учетной записи нет лицензии Intune, соединителю (NDESConnectorUI.exe) не удается получить сертификат от Intune.

      Если ваша организация использует прокси-сервер и прокси-сервер необходим серверу NDES для доступа в Интернет, выберите Использовать прокси-сервер . Затем введите имя прокси-сервера, порт и учетные данные для подключения.

   4. Выберите вкладку Advanced , а затем введите учетные данные для учетной записи, имеющей разрешение Issue and Manage Certificates в выпускающем центре сертификации. Примените свои изменения.

   5. Теперь вы можете закрыть пользовательский интерфейс соединителя сертификатов.

8. Откройте командную строку, введите services.msc , а затем Введите . Щелкните правой кнопкой мыши службу соединителя Intune > Перезапустить .

Чтобы убедиться, что служба запущена, откройте браузер и введите следующий URL-адрес. Он должен вернуть ошибку 403 : https: // / certsrv / mscep / mscep.dll

Примечание

Соединитель Microsoft Intune поддерживает TLS 1.2. Если сервер, на котором размещен соединитель, поддерживает TLS 1.2, используется TLS 1.2. Если сервер не поддерживает TLS 1.2, используется TLS 1.1.

Следующие шаги

Создание профиля сертификата SCEP
Устранение проблем с соединителем Microsoft Intune

.

Настройка гибридной Windows Hello для бизнеса — Инфраструктура открытых ключей (PKI) — Безопасность Microsoft 365

• 19.08.2018
• 13 минут на чтение

В этой статье

Относится к

• Windows 10 версии 1703 или более поздней
• Гибридное развертывание
• Сертификат доверия

Развертывания Windows Hello для бизнеса зависят от сертификатов.В гибридных развертываниях используются общедоступные сертификаты проверки подлинности сервера для проверки имени сервера, к которому они подключаются, и для шифрования данных, которые передаются им и клиентскому компьютеру.

Во всех развертываниях в качестве корня доверия используются сертификаты, выданные предприятием для контроллеров домена. При развертывании с гибридным сертификатом доверия пользователям выдается сертификат для входа, который позволяет им проходить проверку подлинности с использованием учетных данных Windows Hello для бизнеса на контроллерах домена, отличных от Windows Server 2016.Кроме того, гибридные развертывания с доверительными сертификатами выдают сертификаты органам регистрации, чтобы обеспечить глубокую защиту для выдачи сертификатов аутентификации пользователей.

Шаблоны сертификатов

В этом разделе вы можете настроить шаблоны сертификатов в центре сертификации Windows Server 2012 или более поздней версии.

Шаблон сертификата контроллера домена

Клиенты должны доверять контроллерам домена, и лучший способ сделать это — убедиться, что каждый контроллер домена имеет сертификат проверки подлинности Kerberos.Установка сертификата на контроллер домена позволяет Центру распространения ключей (KDC) подтверждать свою личность другим членам домена. Это предоставляет клиентам внешний по отношению к домену корень доверия, а именно центр сертификации предприятия.

Контроллеры домена автоматически запрашивают сертификат контроллера домена (если он опубликован), когда обнаруживают, что центр сертификации предприятия добавлен в Active Directory. Однако сертификаты, основанные на шаблонах сертификатов Контроллера домена и Аутентификации Контроллера домена , не включают идентификатор объекта (OID) KDC Authentication , который позже был добавлен в Kerberos RFC.Следовательно, контроллеры домена должны запрашивать сертификат на основе шаблона сертификата проверки подлинности Kerberos.

По умолчанию центр сертификации Active Directory предоставляет и публикует шаблон сертификата проверки подлинности Kerberos. Однако конфигурация криптографии, включенная в предоставленный шаблон, основана на более старых и менее производительных API криптографии. Чтобы контроллеры домена запрашивали правильный сертификат с наилучшей доступной криптографией, используйте шаблон сертификата Kerberos Authentication в качестве основы для создания обновленного шаблона сертификата контроллера домена.

Создание шаблона сертификата проверки подлинности контроллера домена (Kerberos)

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными Администратору домена .

1. Откройте консоль управления Certificate Authority .

2. Щелкните правой кнопкой мыши Шаблоны сертификатов и щелкните Управление .

3. В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон Kerberos Authentication на панели сведений и выберите Дублировать шаблон .

4. На вкладке Совместимость снимите флажок Показать полученные изменения . Выберите Windows Server 2008 R2 из списка центра сертификации . Выберите Windows 7.Server 2008 R2 из списка Получатель сертификата .

5. На вкладке Общие введите Проверка подлинности контроллера домена (Kerberos) в отображаемом имени шаблона. Настройте срок действия и период продления в соответствии с потребностями вашего предприятия.

   Примечание

   Если вы используете разные имена шаблонов, вам нужно запомнить и заменить эти имена в разных частях лабораторной работы.

6. На вкладке Subject нажмите кнопку Build from this Active Directory information , если она еще не выбрана. Выберите Нет из списка Формат имени субъекта . Выберите DNS-имя из Включить эту информацию в список альтернативных тем .Очистите все остальные элементы.

7. На вкладке Cryptography выберите Key Storage Provider из списка Provider Category . Выберите RSA из списка Имя алгоритма . Введите 2048 в текстовое поле Минимальный размер ключа . Выберите SHA256 из списка Request hash . Нажмите ОК .

8. Закройте консоль.

Настроить замену сертификата для шаблона сертификата проверки подлинности контроллера домена (Kerberos)

Многие контроллеры домена могут иметь существующий сертификат контроллера домена.Службы сертификатов Active Directory предоставляют шаблон сертификата по умолчанию для контроллеров домена — шаблон сертификата контроллера домена. В более поздних выпусках появился новый шаблон сертификата — шаблон сертификата проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которой указывалось, что центры распространения ключей (KDC), выполняющие проверку подлинности сертификатов, должны включать расширение KDC Authentication .

Шаблон сертификата проверки подлинности Kerberos — это самый последний шаблон сертификата, предназначенный для контроллеров домена, и он должен быть тем, который вы развертываете на всех контроллерах домена (2008 г. или новее).

Функция автоматической регистрации в Windows позволяет легко заменять эти сертификаты контроллеров домена. Вы можете использовать следующую конфигурацию для замены старых сертификатов контроллеров домена новым сертификатом с использованием шаблона сертификата проверки подлинности Kerberos.

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными Enterprise Admin .

1. Откройте консоль управления Certificate Authority .

2. Щелкните правой кнопкой мыши Шаблоны сертификатов и щелкните Управление .

3. В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон Проверка подлинности контроллера домена (Kerberos) (или имя шаблона сертификата, который вы создали в предыдущем разделе) на панели сведений и щелкните Свойства .

4. Щелкните вкладку Замененные шаблоны . Щелкните Добавить .

5. В диалоговом окне « Добавить замененный шаблон » выберите шаблон сертификата Контроллер домена и нажмите ОК . Щелкните Добавить .

6. В диалоговом окне Добавить замененный шаблон выберите шаблон сертификата Проверка подлинности контроллера домена и нажмите ОК .

7. В диалоговом окне Добавить замененный шаблон выберите шаблон сертификата Kerberos Authentication и нажмите OK .

8. Добавьте любые другие шаблоны сертификатов предприятия, которые были ранее настроены для контроллеров домена, на вкладку Замененные шаблоны .

9. Щелкните ОК и закройте консоль Шаблоны сертификатов .

Шаблон сертификата настроен на замену всех шаблонов сертификатов, представленных в списке замещенных шаблонов сертификатов. Однако шаблон сертификата и замена шаблонов сертификатов неактивны, пока вы не опубликуете шаблон сертификата в одном или нескольких центрах сертификации.

Примечание

• Сертификат контроллера домена должен присутствовать в хранилище NTAuth. По умолчанию центры сертификации Microsoft Enterprise добавляются в хранилище NTAuth.
• Если вы используете сторонний центр сертификации, добавьте сертификат в хранилище NTAuth. Если сертификат контроллера домена отсутствует в хранилище NTAuth, аутентификация пользователя завершится ошибкой.

Шаблон сертификата агента по регистрации

Сервер федерации Active Directory, используемый для регистрации сертификатов Windows Hello для бизнеса, выполняет собственное управление жизненным циклом сертификатов.После того как центр регистрации настроен с использованием правильного шаблона сертификата, сервер AD FS пытается зарегистрировать сертификат при первом запросе сертификата или при первом запуске службы.

Примерно за 60 дней до истечения срока действия сертификата агента регистрации служба AD FS пытается обновить сертификат до тех пор, пока он не будет успешным. Если сертификат не удается обновить и срок действия сертификата истекает, сервер AD FS запросит новый сертификат агента регистрации. Вы можете просмотреть журналы событий AD FS, чтобы определить состояние сертификата агента регистрации.

Важно

Выполните следующие процедуры для учетной записи службы AD FS, используемой в вашей среде.

Создание сертификата агента регистрации для групповых управляемых учетных записей служб

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными Администратору домена .

1. Откройте консоль Certificate Authority Management .

2. Щелкните правой кнопкой мыши Шаблоны сертификатов и щелкните Управление .

3. В консоли шаблона сертификата щелкните правой кнопкой мыши панель сведений о шаблоне Exchange Enrollment Agent (автономный запрос) и выберите Дублировать шаблон .

4. На вкладке Совместимость снимите флажок Показать полученные изменения . Выберите Windows Server 2012 или Windows Server 2012 R2 из списка центра сертификации . Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Получатель сертификата .

5. На вкладке Общие введите WHFB Enrollment Agent в отображаемом имени шаблона . Настройте срок действия и период продления в соответствии с потребностями вашего предприятия.

6. На вкладке Тема выберите Поставка в кнопке запроса , если она еще не выбрана.

   Примечание

   Предыдущий шаг очень важен. Учетные записи групповых управляемых служб (GMSA) не поддерживают параметр «Построить из этой информации Active Directory», что приведет к тому, что сервер AD FS не сможет зарегистрировать сертификат агента регистрации.Вы должны настроить шаблон сертификата с помощью Supply в запросе, чтобы серверы AD FS могли выполнять автоматическую регистрацию и продление сертификата агента регистрации.

7. На вкладке Cryptography выберите Key Storage Provider из списка Provider Category . Выберите RSA из списка Имя алгоритма . Введите 2048 в текстовое поле Минимальный размер ключа . Выберите SHA256 из списка Request hash .

8. На вкладке Безопасность щелкните Добавить .

9. Щелкните Типы объектов . Установите флажок Учетные записи служб и нажмите ОК .

10. Введите adfssvc в Введите имена объектов, чтобы выбрать текстовое поле , и нажмите ОК .

11. Щелкните adfssvc из группы или списка имен пользователей . В разделе «Разрешения для adfssvc » установите флажок « Разрешить » для разрешения Подать заявку на .За исключением пользователя adfssvc , снимите флажок Разрешить для разрешений Enroll и Autoenroll для всех других элементов в группе Group или списка имен пользователей , если флажки еще не сняты. Нажмите ОК .

12. Закройте консоль.

Создание сертификата агента регистрации для типичных учетных записей служб

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными Администратору домена .

1. Откройте консоль управления Certificate Authority .

2. Щелкните правой кнопкой мыши Шаблоны сертификатов и щелкните Управление .

3. В консоли Шаблон сертификата щелкните правой кнопкой мыши шаблон Агент регистрации Exchange (автономный запрос) на панели сведений и выберите Дублировать шаблон .

4. На вкладке Совместимость снимите флажок Показать полученные изменения .Выберите Windows Server 2012 или Windows Server 2012 R2 из списка центра сертификации . Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Получатель сертификата .

5. На вкладке Общие введите WHFB Enrollment Agent в отображаемом имени шаблона . Настройте срок действия и период продления в соответствии с потребностями вашего предприятия.

6. На вкладке Subject нажмите кнопку Build from this Active Directory information , если она еще не выбрана.Выберите Полное отличительное имя из списка Формат имени субъекта , если Полное отличительное имя еще не выбрано. Установите флажок Имя участника-пользователя (UPN) в разделе Включить эту информацию в альтернативное имя субъекта .

7. На вкладке Cryptography выберите Key Storage Provider из списка Provider Category . Выберите RSA из списка Имя алгоритма .Введите 2048 в текстовое поле Минимальный размер ключа . Выберите SHA256 из списка Request hash .

8. На вкладке Безопасность щелкните Добавить . Введите adfssvc в Введите имена объектов, чтобы выделить текстовое поле , и нажмите ОК .

9. Щелкните adfssvc из группы или списка имен пользователей . В разделе «Разрешения для adfssvc » установите флажок « Разрешить » для разрешения Подать заявку на .За исключением пользователя adfssvc , снимите флажки Разрешить для разрешений Enroll и Autoenroll для всех других элементов в группе Group или списка имен пользователей , если флажки еще не сняты. Нажмите ОК .

10. Закройте консоль.

Создание шаблона сертификата проверки подлинности Windows Hello для бизнеса

Во время подготовки Windows Hello для бизнеса клиент Windows 10 версии 1703 запрашивает сертификат проверки подлинности у службы федерации Active Directory, которая запрашивает сертификат проверки подлинности от имени пользователя.Эта задача настраивает шаблон сертификата проверки подлинности Windows Hello для бизнеса. При настройке вы используете имя шаблона сертификата.

Войдите в центр сертификации или управляющие рабочие станции с учетными данными , эквивалентными администратору домена .

1. Откройте консоль управления Certificate Authority .

2. Щелкните правой кнопкой мыши Шаблоны сертификатов и щелкните Управление .

3. Щелкните правой кнопкой мыши шаблон Вход со смарт-картой и выберите Дублировать шаблон .

4. На вкладке Совместимость снимите флажок Показать полученные изменения . Выберите Windows Server 2012 или Windows Server 2012 R2 из списка центра сертификации . Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Получатель сертификата .

5. На вкладке Общие введите WHFB Authentication в Отображаемое имя шаблона .Настройте срок действия и период продления в соответствии с потребностями вашего предприятия.

   Примечание

   Если вы используете разные имена шаблонов, вам нужно запомнить и заменить эти имена в разных частях развертывания.

6. На вкладке Cryptography выберите Key Storage Provider из списка Provider Category . Выберите RSA из списка Имя алгоритма . Введите 2048 в текстовое поле Минимальный размер ключа .Выберите SHA256 из списка Request hash .

7. На вкладке Extensions убедитесь, что расширение Application Policies включает Smart Card Logon .

8. На вкладке Требования к выдаче установите флажок Это количество авторизованных подписей . Введите 1 в текстовое поле.

   Выберите Application policy из типа политики , который требуется в подписи .Выберите Агент запроса сертификата из списка Политика приложения . Выберите вариант Действительный существующий сертификат .

9. На вкладке Subject нажмите кнопку Build from this Active Directory information , если она еще не выбрана. Выберите Полное отличительное имя из списка Формат имени субъекта , если Полное отличительное имя еще не выбрано. Установите флажок Имя участника-пользователя (UPN) в разделе Включить эту информацию в альтернативное имя субъекта .

10. На вкладке Обработка запросов установите флажок Продлить с тем же ключом .

11. На вкладке Безопасность щелкните Добавить . Введите Window Hello для бизнес-пользователей в Введите имена объектов, чтобы выбрать текстовое поле и нажмите ОК .

12. Щелкните Windows Hello для бизнес-пользователей из группы или список имен пользователей . В разделе «Разрешения для Windows Hello для бизнес-пользователей » установите флажок « Разрешить » для разрешений Чтение , Регистрация и Автозапуск .За исключением группы Windows Hello для бизнес-пользователей , снимите флажок Разрешить для разрешений Enroll и Autoenroll для всех других записей в разделе Group или пользователей , если флажки еще не сняты. Нажмите ОК .

13. Если вы ранее выдавали сертификаты входа Windows Hello для бизнеса с помощью диспетчера конфигураций и переключаетесь на центр регистрации AD FS, то на вкладке Замененные шаблоны добавьте ранее использованные шаблоны проверки подлинности Windows Hello для бизнеса . ), поэтому они будут заменены этим шаблоном для пользователей, у которых есть разрешение на регистрацию для этого шаблона.

14. Нажмите Применить , чтобы сохранить изменения и закрыть консоль.

Пометить шаблон как шаблон входа в Windows Hello

Войдите на компьютер AD FS Windows Server 2016 с учетными данными, эквивалентными Enterprise Admin .

1. Откройте командную строку с повышенными привилегиями.

2. Запустить certutil -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag + CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Если шаблон был успешно изменен, выходные данные команды будут содержать старые и новые значения параметров шаблона.Новое значение должно содержать параметр CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY . Пример:

  CN = шаблоны сертификатов, CN = службы открытых ключей, CN = службы, CN = конфигурация, DC = [yourdomain]: WHFBAuthentication

Старое значение:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL - 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE - 0
TEMPLATE_SERVER_VER_WINBLUE << CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT - 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE << CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT - 5000000 (83886080)

Новое значение:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL - 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE - 0
TEMPLATE_SERVER_VER_WINBLUE << CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT - 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY - 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE << CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT - 5000000 (83886080)
CertUtil: команда -dsTemplate успешно завершена."
  

Примечание

Если вы дали вашему шаблону сертификата проверки подлинности Windows Hello для бизнеса другое имя, замените WHFBAuthentication в приведенной выше команде именем вашего шаблона сертификата. Важно использовать имя шаблона, а не отображаемое имя шаблона. Вы можете просмотреть имя шаблона на вкладке Общие шаблона сертификата с помощью консоли управления шаблоном сертификата (certtmpl.msc). Или вы можете просмотреть имя шаблона с помощью командлета Windows PowerShell Get-CATemplate ADCS Administration в нашем центре сертификации Windows Server 2012 или более поздней версии.

Публикация шаблонов

Публикация шаблонов сертификатов в центре сертификации

Центр сертификации может выдавать сертификаты только для шаблонов сертификатов, опубликованных в этом центре сертификации. Если у вас более одного центра сертификации и вы хотите, чтобы этот центр сертификации выдавал сертификаты на основе определенного шаблона сертификата, то вы должны опубликовать шаблон сертификата для всех центров сертификации, которые, как ожидается, будут выдавать сертификат.

Публикация шаблонов сертификатов в центре сертификации

Войдите в центр сертификации или рабочие станции управления с учетными данными, эквивалентными Enterprise Admin .

1. Откройте консоль управления Certificate Authority .

2. Разверните родительский узел на панели навигации.

3. Щелкните Шаблоны сертификатов на панели навигации.

4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов .Щелкните Новый и щелкните Шаблон сертификата для выпуска.

5. В окне Включить шаблоны сертификатов выберите шаблоны Проверка подлинности контроллера домена (Kerberos) , WHFB Enrollment Agent и Проверка подлинности WHFB , которые вы создали на предыдущих шагах. Нажмите ОК , чтобы опубликовать выбранные шаблоны сертификатов в центре сертификации.

6. Закройте консоль.

Отменить публикацию шаблонов замененных сертификатов

Центр сертификации выдает сертификаты только на основе опубликованных шаблонов сертификатов. Для обеспечения глубокой защиты рекомендуется отменить публикацию шаблонов сертификатов, которые центр сертификации не настроен на выдачу. Сюда входят предварительно опубликованный шаблон сертификата из установки роли и все замененные шаблоны сертификатов.

Вновь созданный шаблон сертификата проверки подлинности контроллера домена заменяет предыдущие шаблоны сертификатов контроллера домена.Следовательно, вам необходимо отменить публикацию этих шаблонов сертификатов во всех выдающих центрах сертификации.

Войдите в центр сертификации или рабочую станцию ​​управления с учетными данными, эквивалентными Enterprise Admin .

1. Откройте консоль управления Certificate Authority .

2. Разверните родительский узел на панели навигации.

3. Щелкните Шаблоны сертификатов на панели навигации.

4. Щелкните правой кнопкой мыши шаблон сертификата контроллера домена на панели содержимого и выберите Удалить . Щелкните Да в окне Отключить шаблоны сертификатов .

5. Повторите шаг 4 для шаблонов сертификатов Проверка подлинности контроллера домена и Проверка подлинности Kerberos .

Обзор раздела

• Шаблон сертификата контроллера домена
• Настроить замененные шаблоны сертификатов контроллера домена
• Шаблон сертификата агента по регистрации
• Шаблон сертификата проверки подлинности Windows Hello для бизнеса
• Отметьте шаблон сертификата как шаблон входа в Windows Hello для бизнеса
• Публикация шаблонов сертификатов в центрах сертификации
• Отменить публикацию шаблонов замененных сертификатов

Следуйте руководству по развертыванию доверия гибридных сертификатов Windows Hello для бизнеса

1. Обзор
2. Предварительные требования
3. Новый базовый план установки
4. Настройка регистрации устройств Azure
5. Настройка параметров Windows Hello для бизнеса: PKI ( Вы здесь, )
6. Вход и обеспечение

.