Краткое руководство по Microsoft PKI - Установка включенного «выпускающего» корпоративного CA

Written on . Posted in Администрирование Windows

ОГЛАВЛЕНИЕ

Страница 9 из 12
 

Установка включенного «выпускающего» корпоративного CA

Чтобы установить включенный «выпускающий» CA, вам нужно выполнить следующие операции:

  • Подготовить файл CAPolicy.inf
  • Установить IIS (Internet Information Services)
  • Установить Windows Certificate Services
  • Подтвердите запрос sub-CA сертификата к родительскому CA
  • Установить sub-CA сертификат в корпоративный подчиненный CA
  • Запустить постконфигурационный скрипт
  • Опубликовать список CRL

Вот как вы можете сделать это:

  1. Установить сервер с Windows Server 2003 Standard Edition, включая SP1 или более свежие версии и убедиться, что он является элементом домена
  2. Убедитесь, что IIS (internet Information Services) установлены. Однако, если вы действительно хотите сделать это правильно, тогда пропустите часть IIS. Единственным предостережением является то, что вам определенно нужно знать ваш PKI прежде, чем вы пропустите компонент IIS. Преимуществом является более простая установка и на один вектор атаки меньше.
  3. Сделайте необходимые замены параметров в файле CAPOlicy.inf, приведенном ниже (выделены красным цветом)

    Рисунок 12: Имя файла: CAPolicy.inf
  4. Скопируйте файл CAPolicy.INF в %windir%\capolicy.inf
  5. Пройдите по Start Menu / Control Panel / Add or Remove Programs / нажмите Add/Remove Windows Components
  6. В Windows Components Wizard, Выберите Certificates Services и нажмите Next

    Рисунок 13
  7. Обратите внимание на окно сообщений. Вы не должны переименовывать компьютер, раз установлены сервисы сертификата Windows. Нажмите Yes
  8. В поле типа центра сертификации, нажмите на Enterprise subordinate CA и поставьте «галочку» напротив “Use custom settings to generate the key pair and CA certificate” и нажмите Next

    Рисунок 14
  9. Выберите CSP, который вы хотите использовать для вашего «выпускающего» CA. Для простоты мы выбрали Microsoft Strong Cryptographic Provider v1.0, однако, вы также можете выбрать другой CSP, если вы, например, установили Hardware Security Module (HSM) и соединились с сервером через HSM, прежде чем вы начали процедуру установки CA.

    Выберите по умолчанию хешированный алгоритм SHA-1

    Установите длину ключа 2048

    Убедитесь, что опции “Allow this CSP to interact with the desktop” и “Use an existing key” не выбраны. Нажмите Next


    Рисунок 15
  10. Введите полное имя для вашего «выпускающего» CA и установите период доступности (Validity period) на 5 лет, затем нажмите Next

    Рисунок 16
  11. Примите рекомендации по умолчанию для базы данных сертификата и регистрирующих файлов (или поменяйте их, по желанию) и нажмите Next
  12. Отображено окно запроса сертификата СА. Выберите Save the request to a file и введите путь и имя файла (модуль оперативной помощи автоматически добавит .req расширение в имя файла). Скопируйте файл в USB ключ для дальнейшего использования. Нажмите Next. Мы будем использовать этот запрос файла потом в нашем кратком руководстве

    Рисунок 17
  13. Будут добавлены некоторые компоненты прикладной программы сертификата IIS. Нажмите Yes

    Рисунок 18
  14. (Дополнительно) Если вы не включили ASP поддержку в IIS, то появится следующее окно сообщений. Нажмите Yes

    Рисунок 19
  15. Вы еще не все выполнили. Как показано в окне сообщений – вам нужно создать личный ключ для вашего нового «выпускающего» центра сертификации.

    Рисунок 20

    Нажмите OK для продолжения.

  16. Нажмите Finish

    Рисунок 21
  17. Прежде, чем вы продолжите, вам нужно опубликовать сертификат и список отмен для вашего корневого CA в Active Directory. Это легко делается следующим образом:

    a) Скопируйте созданные во время установки корневого CA файлы *.crt и *.crl в папку %systemroot%\system32\certsrv\certenroll в сервере «выпускающего» CA.

    b) Запустите ниже приведенный скрипт из командной строки в той же папке вашего «выпускающего» CA. Вы должны запустить скрипт как пользователь, являющийся членом группы Cert Publishers в Active Directory (кто-либо с правами админа домена).


    Рисунок 22

    Скрипт автоматически обработает полное имя файла и выполнит необходимые команды.

  18. Убедитесь, что у вас есть сертификат запрашиваемого файла, созданного в Шаге 12. Зарегистрируйтесь на сервере корневого CA.
  19. Из корневого CA сервера нажмите Start / Programs / Administrative Tools / Certificate Authority
  20. Откройте панель вашего CA сервера и правой кнопкой мыши щелкните на имени сервера. Нажмите All tasks / Submit new request…

    Рисунок 23
  21. Сохраните запрашиваемый файл, созданный в Шаге 12 и нажмите OK
  22. В левой панели нажмите Pending Requests. Расположите запрос сертификата в правой панели / Правой кнопкой мыши щелкните на запросе сертификата и выберите All Tasks / Issue
  23. Дальше нам нужно экспортировать сертификат. В левой панели нажмите Issued Certificates. В правой панели щелкните правой кнопкой мыши на сертификате и нажмите Open

    Рисунок 24
  24. Нажмите на ярлык details и щелкните на Copy to file…

    Рисунок 25
  25. Показан Certificate Export Wizard. Нажмите Next

    Рисунок 26
  26. Выберите ”Cryptografic Message Syntax Standard ….” и ”Include all certificates in the certification path if possible”. Нажмите Next

    Рисунок 27
  27. Сохраните сертификат в тот USB ключ, используемый в Шаге 12. Нажмите Next

    Рисунок 28
  28. Нажмите Finish, а затем OK
  29. Теперь вы возвратитесь к «выпускающему» CA и нажмите Start / Programs / Administrative Tools / Certificate Authority
  30. Откройте панель сервера CA и правой кнопкой мыши щелкните на имени сервера. Нажмите All tasks / Install CA certificate

    Рисунок 29
  31. Сохраните сертификат, который вы выпустили в Шаге 27 и нажмите OK
  32. Откройте панель вашего сервера CA и правой кнопкой мыши щелкните на имени сервера. Нажмите Start service

    Рисунок 30
  33. Скопируйте %windir%\system32\certsrv\certenroll\*.crt и *.crl в USB ключ. Вам нужно будет скопировать эти файлы в ваши Веб-серверы, используемые, как Certificate Distribution Points (CDP), которые используют HTTP протокол. Это HTTP, базирующийся на CDP URL, который вы ранее определили в caconfig.inf «выпускающего» CA.

    Примечание: Эта задача будет распланирована и автоматически запущена.

  34. Сделайте необходимые замены параметров в ниже приведенном файле (выделены красным цветом) и запустите файл через командную строку.

    Рисунок 31
  35. Откройте панель вашего сервера CA и правой кнопкой мыши щелкните на Revoked Certificates. Нажмите All tasks / Publish

    Рисунок 32
  36. Выберите New CRL и нажмите OK
  37. И, наконец, вы завершили установку.
форум администрирование windows