Раздел содержит инструкцию по установке и настройке Служб сертификации в операционной системе Windows Server 2022.
Для настройки необходим компьютер с установленной операционной системой Windows 2022 Server Rus и Дн, а также дистрибутив этой ОС. Все описанные далее действия производятся с правами администратора системы.
Этапы установки и настройки Служб сертификации:
1 этап: Установка Служб сертификации.
2 этап: Добавление шаблонов сертификатов в Центр Сертификации.
3 этап: Выписка сертификатов пользователю Administrator и обычным пользователям с помощью mmc-консоли.
Установка Служб сертификации
Для установки Служб сертификации:
- Откройте Диспетчер серверов.
- и выберите пункт Добавить роли и компоненты.
- В окн Мастер добавления ролей и компонентов ознакомьтесь с информацией и нажмите Далее.
- Установите переключатель в положение Выберите сервер из пула серверов.
- В таблице Пул серверов нажмите на имя необходимого сервера.
- Нажмите Далее.
- Установите флажок Службы сертификатов Active Directory.
- В появившемся окне нажмите Добавить компоненты. В результате флажок отобразится рядом с названием выбранной роли сервера.
- Нажмите Далее.
- В окне для выбора компонентов нажмите Далее.
- Ознакомьтесь с информацией и нажмите Далее.
- Установите флажок Центр сертификации и нажмите Далее.
- Чтобы запустить процесс установки нажмите Установить.
- Дождитесь завершения процесса установки и нажмите Закрыть.
- В левой части окна Диспетчер серверов нажмите на пункт Службы сертификации Active Directory.
- Нажмите на восклицательный знак.
- Нажмите на ссылку Настроить службы сертификатов Active Directory.
- Ознакомьтесь с информацией и нажмите Далее.
- Установите флажок Центр сертификации и нажмите Далее.
- Установите переключатель рядом с названием необходимого варианта установки ЦС (в данном примере выбирается ЦС предприятия) и нажмите Далее.
- Установите переключатель рядом с названием типа ЦС (в данном примере выбирается Корневой ЦС, поскольку это будет основной центр сертификации в домене). Нажмите Далее.
- который будет использоваться для ЦС (в данном примере выбирается пункт Создать новый закрытый ключ, поскольку ранее не был создан секретный ключ для центра сертификации). Нажмите Далее.
- В следующем окне для указания параметров шифрования, в раскрывающемся списке Выберите поставщик служб шифрования выберите криптопровайдер.
- В раскрывающемся списке Длина ключа выберите необходимое значение.
- Нажмите на нужный -алгоритм.
В окне для указания имени ЦС введите значения всех полей и нажмите Далее.
Введенные здесь данные носят информативный характер, поэтому рекомендуется их внести.
Аббревиатуры несут следующий смысл:
O — Organization,
OU — Organization Unit,
L — City (Location),
S — State or province,
C — Country/region,
E — E-mail.
указанного срока действия необходимо перевыпустить сертификаты всем действующим пользователям.
- В поле Расположение базы данных сертификатов введите путь до базы данных сертификатов и нажмите Далее.
- Ознакомьтесь с информацией и нажмите Настроить.
- Дождитесь завершения процесса установки и нажмите Закрыть.
Добавление шаблонов сертификатов в Центр Сертификации
Для добавления шаблонов сертификатов:
- Откройте Панель управления.
- Щелкните два раза
- Щелкните два раза
- Щелкните правой кнопкой мыши и выберите пункт Управление.
- Щелкните правой кнопкой мыши пПользователь со смарт-картой и выберите пункт Скопировать шаблон.
Откроется окно Свойства нового шаблона.
Значение параметра Минимальный размер ключа должен быть не менее 1024.
- Нажмите Применить.
- Нажмите ОК.
- Перейдите в окно Центр сертификации.
- Щелкните правой кнопкой мыши Шаблоны сертификатов.
- Выберите пункт Создать и подпункт Выдаваемый шаблон сертификатов.
- В окне Включение шаблонов сертификатов щелкните по шаблону Агент регистрации.
- Нажмите ОК и з
После выписки всех сертификатов сохраните консоль. |
Для выписки сертификата:
- Нажмите комбинацию клавиш Windows + X и выберите пункт меню Выполнить.
- Введите команду "mmc" и нажмите ОК.
- В окне Консоль 1 выберите пункт меню Файл и подпункт Добавить или удалить оснастку...
- В левой части окна Добавление и удаление оснастки нажмите на Сертификаты.
- Нажмите Добавить.
- В открывшемся окне установите переключатель учетной записи пользователя и нажмите Готово.
- В окне Добавление и удаление оснасток нажмите ОК.
- В левой части окна Консоль1 щелкните по Личные.
- Щелкните папке Сертификаты.
- В правой части окна щелкните правой кнопкой мыши в свободном месте окна.
- Выберите пункт Все задачи и подпункт Запросить новый сертификат...
- В окне Регистрация сертификатов ознакомьтесь с информацией и нажмите Далее.
- Нажмите Далее.
- Установите флажок Администратор и нажмите Заявка.
- Нажмите Готово.
- В левой части окна Консоль1 щелкните Личное.
- Щелкните Сертификаты.
- В правой части окна щелкните правой кнопкой мыши в свободном месте окна.
- Выберите пункт Все задачи и подпункт Запросить новый сертификат...
- В окне Регистрация сертификатов ознакомьтесь с информацией и нажмите Далее.
- Нажмите Далее.
- Установите флажок Агент регистрации и нажмите Заявка.
- Нажмите Готово.
Сертификат Пользователя с Ru Token
Для выписки сертификата:
- В левой части окна Консоль1 щелкните Личное.
- Правой кнопкой мыши щелкните Сертификаты и выберите пункт Все задачи.
- Выберите подпункт Дополнительные операции.
- Выберите подпункт Зарегистрироваться от имени...
- Ознакомьтесь с информацией и нажмите Далее.
- Нажмите Далее.
- Нажмите Обзор.
- Щелкните Агент регистрации (чтобы определить тип сертификата, откройте свойства сертификата).
- Нажмите ОК.
- Нажмите Далее.
- Установите переключатель в положение Пользователь с RuToken и нажмите Далее.
- В окне Регистрация сертификатов нажмите Обзор.
- В поле Введите имена выбираемых объектов введите имя пользователя, которому будет выписан сертификат типа Пользователь с RuToken.
- Нажмите Проверить имена.
- Нажмите ОК. Поле Имя пользователя или псевдоним заполнится автоматически.
- Введите PIN-код Пользователя и нажмите ОК.
- Нажмите Закрыть.
- В результате сертификат типа Пользователь с RuToken будет и сохранен на токене.
Чтобы закрыть окно сертификата нажмите ОК.
Сертификат Проверка подлиннсти контроллера домена
Для выписки сертификата:
- В окне Консоль1 выберите пункт: Файл — Добавить или удалить оснастку.
- В окне для добавления и удаления оснастки выберите в списке доступных оснасток пункт Сертификаты.
- Установите переключатель учетные записи компьютера.
- Установите галочку Проверка подлинности контроллера домена и нажмите Заявка.
Сохранение консоли
Закройте окно Консоль1. Для сохранения консоли нажмите Да.
Рекомендуется сохранить данную консоль для удобства использования в дальнейшем. Причем если работать в системе с правами учетной записи User, то в консоли Сертификаты - текущий пользователь будут отображаться сертификаты пользователя User. Любой пользователь на локальном компьютере из консоли Сертификаты - текущий пользователь может запросить сертификат.
- Если консоль не надо сохранять, то нажмите Нет. При этом не сохраняется только настройка консоли, выписанные сертификаты будут сохранены в системе.
- Введите имя файла для хранения настроек консоли и нажмите Сохранить.