Краткое руководство по Microsoft PKI - Установка включенного «выпускающего» корпоративного CA
ОГЛАВЛЕНИЕ
Установка включенного «выпускающего» корпоративного CA
Чтобы установить включенный «выпускающий» CA, вам нужно выполнить следующие операции:
- Подготовить файл CAPolicy.inf
- Установить IIS (Internet Information Services)
- Установить Windows Certificate Services
- Подтвердите запрос sub-CA сертификата к родительскому CA
- Установить sub-CA сертификат в корпоративный подчиненный CA
- Запустить постконфигурационный скрипт
- Опубликовать список CRL
Вот как вы можете сделать это:
- Установить сервер с Windows Server 2003 Standard Edition, включая SP1 или более свежие версии и убедиться, что он является элементом домена
- Убедитесь, что IIS (internet Information Services) установлены. Однако, если вы действительно хотите сделать это правильно, тогда пропустите часть IIS. Единственным предостережением является то, что вам определенно нужно знать ваш PKI прежде, чем вы пропустите компонент IIS. Преимуществом является более простая установка и на один вектор атаки меньше.
- Сделайте необходимые замены параметров в файле CAPOlicy.inf, приведенном ниже (выделены красным цветом) Рисунок 12: Имя файла: CAPolicy.inf
- Скопируйте файл CAPolicy.INF в %windir%\capolicy.inf
- Пройдите по Start Menu / Control Panel / Add or Remove Programs / нажмите Add/Remove Windows Components
- В Windows Components Wizard, Выберите Certificates Services и нажмите Next Рисунок 13
- Обратите внимание на окно сообщений. Вы не должны переименовывать компьютер, раз установлены сервисы сертификата Windows. Нажмите Yes
- В поле типа центра сертификации, нажмите на Enterprise subordinate CA и поставьте «галочку» напротив “Use custom settings to generate the key pair and CA certificate” и нажмите Next Рисунок 14
- Выберите CSP, который вы хотите использовать для вашего «выпускающего» CA. Для простоты мы выбрали Microsoft Strong Cryptographic Provider v1.0, однако, вы также можете выбрать другой CSP, если вы, например, установили Hardware Security Module (HSM) и соединились с сервером через HSM, прежде чем вы начали процедуру установки CA.
Выберите по умолчанию хешированный алгоритм SHA-1
Установите длину ключа 2048
Убедитесь, что опции “Allow this CSP to interact with the desktop” и “Use an existing key” не выбраны. Нажмите Next
Рисунок 15 - Введите полное имя для вашего «выпускающего» CA и установите период доступности (Validity period) на 5 лет, затем нажмите Next Рисунок 16
- Примите рекомендации по умолчанию для базы данных сертификата и регистрирующих файлов (или поменяйте их, по желанию) и нажмите Next
- Отображено окно запроса сертификата СА. Выберите Save the request to a file и введите путь и имя файла (модуль оперативной помощи автоматически добавит .req расширение в имя файла). Скопируйте файл в USB ключ для дальнейшего использования. Нажмите Next. Мы будем использовать этот запрос файла потом в нашем кратком руководстве Рисунок 17
- Будут добавлены некоторые компоненты прикладной программы сертификата IIS. Нажмите Yes Рисунок 18
- (Дополнительно) Если вы не включили ASP поддержку в IIS, то появится следующее окно сообщений. Нажмите Yes Рисунок 19
- Вы еще не все выполнили. Как показано в окне сообщений – вам нужно создать личный ключ для вашего нового «выпускающего» центра сертификации. Рисунок 20
Нажмите OK для продолжения.
- Нажмите Finish Рисунок 21
- Прежде, чем вы продолжите, вам нужно опубликовать сертификат и список отмен для вашего корневого CA в Active Directory. Это легко делается следующим образом:
a) Скопируйте созданные во время установки корневого CA файлы *.crt и *.crl в папку %systemroot%\system32\certsrv\certenroll в сервере «выпускающего» CA.
b) Запустите ниже приведенный скрипт из командной строки в той же папке вашего «выпускающего» CA. Вы должны запустить скрипт как пользователь, являющийся членом группы Cert Publishers в Active Directory (кто-либо с правами админа домена).
Рисунок 22Скрипт автоматически обработает полное имя файла и выполнит необходимые команды.
- Убедитесь, что у вас есть сертификат запрашиваемого файла, созданного в Шаге 12. Зарегистрируйтесь на сервере корневого CA.
- Из корневого CA сервера нажмите Start / Programs / Administrative Tools / Certificate Authority
- Откройте панель вашего CA сервера и правой кнопкой мыши щелкните на имени сервера. Нажмите All tasks / Submit new request… Рисунок 23
- Сохраните запрашиваемый файл, созданный в Шаге 12 и нажмите OK
- В левой панели нажмите Pending Requests. Расположите запрос сертификата в правой панели / Правой кнопкой мыши щелкните на запросе сертификата и выберите All Tasks / Issue
- Дальше нам нужно экспортировать сертификат. В левой панели нажмите Issued Certificates. В правой панели щелкните правой кнопкой мыши на сертификате и нажмите Open Рисунок 24
- Нажмите на ярлык details и щелкните на Copy to file… Рисунок 25
- Показан Certificate Export Wizard. Нажмите Next Рисунок 26
- Выберите ”Cryptografic Message Syntax Standard ….” и ”Include all certificates in the certification path if possible”. Нажмите Next Рисунок 27
- Сохраните сертификат в тот USB ключ, используемый в Шаге 12. Нажмите Next Рисунок 28
- Нажмите Finish, а затем OK
- Теперь вы возвратитесь к «выпускающему» CA и нажмите Start / Programs / Administrative Tools / Certificate Authority
- Откройте панель сервера CA и правой кнопкой мыши щелкните на имени сервера. Нажмите All tasks / Install CA certificate Рисунок 29
- Сохраните сертификат, который вы выпустили в Шаге 27 и нажмите OK
- Откройте панель вашего сервера CA и правой кнопкой мыши щелкните на имени сервера. Нажмите Start service Рисунок 30
- Скопируйте %windir%\system32\certsrv\certenroll\*.crt и *.crl в USB ключ. Вам нужно будет скопировать эти файлы в ваши Веб-серверы, используемые, как Certificate Distribution Points (CDP), которые используют HTTP протокол. Это HTTP, базирующийся на CDP URL, который вы ранее определили в caconfig.inf «выпускающего» CA.
Примечание: Эта задача будет распланирована и автоматически запущена.
- Сделайте необходимые замены параметров в ниже приведенном файле (выделены красным цветом) и запустите файл через командную строку. Рисунок 31
- Откройте панель вашего сервера CA и правой кнопкой мыши щелкните на Revoked Certificates. Нажмите All tasks / Publish Рисунок 32
- Выберите New CRL и нажмите OK
- И, наконец, вы завершили установку.