Создание и настройка локального центра сертификации предприятия на Windows 2008

Необходимость в создании собственного локального центра сертификации появляется в связи с растущим количеством сервисов, использующих защищенные протоколы на предприятии.

К таким сервисам можно отнести почтовые, терминальные, сервисы обмена сообщениями, web-сервисы, в том числе панели управления приложениями.

Я рассмотрю процесс создания центра сертификации на базе сервера Windows 2008R2.

Обычно эту роль устанавливают на один из контроллеров домена, так как эта служба тесно связана с AD, кроме того после установки службы уже нельзя будет менять имя компьютера и домен.

В Windows 2008 cлужба устанавливается как роль, соответственно идем в Server Manager->Roles, жмем Add Roles и ставим галочку Active Directory Certificate Services.

Roles

Жмем Next, Next, появится окно выбора дополнительных служб. Добавляем Certification Authority Web Enrollment. Эта служба позволяет автоматически продлевать выдаваемые сертификаты через веб-сервисы, поэтому при выборе откроется окно со списком всех устанавливаемых служб, в том числе IIS :

Components

Жмем Add Required Role Services. Далее мастер предлагает выбрать тип установки – Enterprise (данные о сертификатах хранятся в AD) или Standalone (данные хранятся на данном сервере), выбираем Enterprise.

type

В следующем окне указываем, что этот сервер первый и корневой (Root).

root

Дальше выбираем Create a new private key (Создание нового секретного ключа»).

privatekey

В следующем окне мастер предлагает выбрать CSP и алгоритм хэширования. По умолчанию выбран алгоритм SHA1, но исходя из сегодняшних реалий, я бы выбрал алгоритм SHA256. Некоторые приложения сегодня, тот же Google Chrome, считает алгоритм SHA1 недостаточно надежным и выдаёт предупреждение при обнаружении такого сертификата.

hashtype

В следующем окне нужно выбрать имя корневого сертификата, под которым он будет отображаться в списке корневых сертификатов компьютера.

certname

После выбора всех настроек выдаётся предупреждение, что после установки служб сертификации имя сервера и домен не могут быть изменены!

lastpage

Жмем Install и после установки служб перезагружаем сервер.

Для проверки работы службы запускаем на самом сервере IE и заходим по адресу http://localhost/certsrv

Должно отобразиться окно сервиса с указанием в заголовке имени корневого сертификата:

test

Просматривать список выданных сертификатов и настраивать параметры работы службы можно в оснастке Certification Authority, которая появится в разделе Administrative Tools.

snapin

Теперь можно проверить, что корневой сертификат автоматически загрузился в хранилище корневых сертификатов компьютера/сервера:

lasttest

Для того, чтобы центр сертификации мог выдавать по запросу личные сертификаты, нужно настроить возможность подключения к нему по https. Для этого запускаем оснастку Internet Information Services (IIS) Manager и выбираем в левом окне сайт, в котором создалась служба certsrv, обычно это Default Web Site:

csign2

Жмем на этот сайт правой кнопкой мыши и выбираем Edit Bindings, далее жмем Add… , в открывшемся окне в поле Type: выбираем https, а в поле SSL certificate выбираем сертификат сервера, выданный нашим ЦС:

csign3

Жмем OK и правой панели — Restart для перезапуска сайта. После этого в правом окне в разделе Browse Web Site должна появиться строчка Browse *:443 (https).

Теперь можно попробовать зайти на наш ЦС через https:

csign4

Должен появиться запрос авторизации. Теперь наш ЦС может выдавать личные сертификаты с ключом шифрования, которые можно использовать, например для цифровой подписи сообщений.

Постоянная ссылка на это сообщение: http://ucblog.ru/%d1%81%d0%be%d0%b7%d0%b4%d0%b0%d0%bd%d0%b8%d0%b5-%d0%b8-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%bb%d0%be%d0%ba%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d0%b3%d0%be-%d1%86%d0%b5%d0%bd%d1%82/

Добавить комментарий

Your email address will not be published.