Page tree

Для работы Microsoft CA с Рутокен KeyBox обязательно необходим шаблон сертификата Агент регистрации (Enrollment Agent).

Сертификат Агент регистрации (Enrollment Agent) — это обязательный сертификат, который позволяет запрашивать сертификаты от имени конечных пользователей по шаблонам сертификатов, которые будут использоваться в системой. 

Сертификат Агент регистрации (Enrollment Agent) добавляется в Рутокен KeyBox только один раз и выдается только на имя сервисной учетной записи.

Убедитесь, что сертификат Агент регистрации не добавлен в политики использования устройств, иначе пользователи будут иметь возможность самостоятельно подписывать сертификаты в УЦ, что создает угрозу безопасности.

Настройка шаблона сертификата Агент Регистрации

Ниже описан процесс создания и настройки шаблона сертификата для сервисной учетной записи на примере стандартного шаблона Агент регистрации (Enrollment Agent).

  1. Откройте консоль управления Центр сертификации (Certification Authority).
  2. Перейдите в раздел Шаблоны сертификатов (Certificate Templates), щелкните правой кнопкой мыши и выберите Управление (Manage).
  3. Щелкните правой кнопкой мыши по шаблону Агент регистрации (Enrollment Agent) и выберите Скопировать шаблон (Duplicate Template).
  4. Перейдите на вкладку Общие (General) и в поле Отображаемое имя шаблона (Template display name) введите RutokenKeyBox Enrollment Agent. Измените Период действия (Validity period) в соответствии с потребностями вашей организации.
  5. На вкладке Шифрование (Cryptography) в поле Минимальный размер ключа (Minimum key size) укажите необходимую длину ключа (рекомендуемая длина ключа 2048 бит).

  6. На вкладке Расширения (Extensions) выберите расширение Политики применения (Application Policies) и нажмите кнопку Изменить... (Edit...)
  7. В появившемся окне нажмите кнопку Добавить... (Add...).
  8. Выберите из предложенного списка политику применения Проверка подлинности клиента (Client Authentication) и нажмите ОК.

      7. На вкладке Безопасность (Security) нажмите кнопку Добавить... (Add...).

    1. В поле Введите имена выбираемых объектов (Enter the object names to select) введите имя сервисной учетной записи (serviceca) и нажмите ОК.
    2. В разделе Разрешения для группы (Permissions for) установите флажок Разрешить (Allow) для привилегий Чтение (Read) и Заявка (Enroll).

      8. Сохраните настройки шаблона, нажав ОК.

Настройка шаблонов сертификата пользователей

Подготовьте шаблоны сертификатов для различных назначений (политик применения), которые будут использоваться для выпуска сертификатов конечным пользователям системы.

Ниже описан процесс создания и настройки шаблона сертификата пользователя на примере шаблона Вход со смарт-картой (Smartсard Logon), который будет использоваться для выпуска сертификатов, предназначенных для входа в операционную систему по смарт-карте:

  1. Откройте консоль управления Центр сертификации (Certification Authority).
  2. Перейдите в раздел Шаблоны сертификатов (Certificate Templates), щелкните правой кнопкой мыши выберите Управление (Manage).
  3. Щелкните правой кнопкой мыши по шаблону Вход со смарт-картой (Smartсard Logon) и выберите Скопировать шаблон (Duplicate Template).
  4. Перейдите на вкладку Общие (General) и в поле Отображаемое имя шаблона (Template display name) введите Keybox Smart Card Logon. Измените Период действия (Validity period) и Период обновления (Renewal period) в соответствии с потребностями вашей организации.
  5. На вкладке Шифрование (Cryptography) в поле Минимальный размер ключа (Minimum key size) укажите необходимую длину ключа. 

    Минимальный размер ключа можно настроить для Microsoft CA 2008/2008R2 и выше. В предыдущих версиях минимальный размер ключа настраивается на вкладке Обработка запроса (Request Handling).

    Обратите внимание на размер ключей шифрования, указанный в свойствах шаблонов сертификатов. Чтобы снизить риск несанкционированного доступа к конфиденциальной информации, компания Microsoft выпустила обновление KB 2661254 для всех поддерживаемых версий Microsoft Windows. Это обновление блокирует криптографические ключи меньше 1024 бит. Обновление не относится к Windows 8 (и выше) или Windows Server 2012 (и выше), т.к. эти операционные системы блокируют ключи RSA меньше 1024 бит.

  6. На вкладке Требования выдачи (Issuance Requirements):
    1. Установите опцию Одобрения диспетчера сертификатов ЦС (CA certificate manager approval).
    2. Установите флажок Указанного числа авторизованных подписей (This number of authorized signatures) и укажите число подписей, равное 1 (значение по умолчанию).
    3. Выберите Политики применения (Application Policy) из списка В подписи требуется указать тип политики (Policy type required in signature).
    4. Выберите Агент запроса сертификата (Certificate Request Agent) из списка Политика применения (Application Policy).
    5. Выберите параметр Тех же уcловий, что и для регистрации (Same criteria as for enrollment) в разделе Требовать для повторной регистрации (Require the following for reenrollment).
  7. Перейдите на вкладку Имя субъекта (Subject Name). В зависимости от назначения сертификата выберите следующие настройки:

    Выберите Строится на основе данных Active Directory (Build from this Active Directory information), если по данному шаблону будут формироваться сертификаты с назначением «Вход со смарт-картой» (SmartCard Logon, OID 1.3.6.1.4.1.311.20.2) и «Проверка подлинности клиента» (Client Authentication, OID 1.3.6.1.5.5.7.3.2).

    1. Выберите Полное различающееся имя (Fully distinguished name) из списка Формат имени субъекта (Subject name format).
    2. Установите флажок Имя субъекта-пользователя (UPN) (User principal name (UPN)).
    3. Снимите флажки с опций Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name), если по данному шаблону будут выпускаться сертификаты для пользователей, у которых не указан адрес электронной почты в Active Directory.

    Выберите Предоставляется в запросе (Supply in the request), если по данному шаблону будут формироваться следующие сертификаты:

    • сертификаты для защиты электронной почты (электронная подпись, шифрование) с назначением «Защита электронной почты» (Secure Email, OID 1.3.6.1.5.5.7.3.4);
    • сертификаты с назначением «Подпись документов» (Document Signing, OID 1.3.6.1.4.1.311.10.3.12);
    • ГОСТ-сертификаты для защиты электронной почты и подписи документов.

    Имя субъекта сертификата будет сформировано из запроса на сертификат.
    Атрибуты для формирования имени субъекта (Subject) и альтернативного имени субъекта (Subject Alternative Name) можно указать в Консоли управления: Конфигурация  Политики  Настройки PKI  Microsoft  Шаблоны.


  8. На вкладке Безопасность (Security) нажмите кнопку Добавить... (Add...).
    1. В поле Введите имена выбираемых объектов (Enter the object names to select) введите имя сервисной учетной записи (serviceca) и нажмите ОК.
    2. В разделе Разрешения для группы (Permissions for) установите флажок Разрешить (Allow) для привилегий Чтение (Read) и Заявка (Enroll). 

      Обязательно выдайте аналогичные разрешения сервисной учетной записи для всех шаблонов сертификатов, которые будут использоваться в Рутокен KeyBox.

  9. Сохраните настройки шаблона, нажав ОК
  • No labels