Рутокен KeyBox может взаимодействовать с центрами сертификации Microsoft, располагающимися за пределами домена, в котором находится сервер Рутокен KeyBox. Например, конфигурация, когда у одной организации есть несколько независимых доменов с самостоятельными центрами сертификации в каждом, а Рутокен KeyBox развернут только в одном из этих доменов. При выпуске устройства Рутокен KeyBox обращается к MS CA Proxy, а тот, используя сертификат Агента Регистрации, передает запрос на целевой центр сертификации.
Для установки и настройки приложения MS CA Proxy выполните следующие действия:
Настройте для сервисной учетной записи из п.1 шаблон Агент регистрации (см. Настройка шаблонов сертификатов) и выпустите для этой учетной записи сертификат по этому шаблону (см. Выпуск сертификата Агент регистрации (Enrollment Agent)).
Сертификат Агент регистрации должен располагаться в хранилище сертификатов рабочей станции (Local computer), на которой установлен компонент IndeedCM MS CA Proxy. |
Установите компонент IndeedCM.MSCA.Proxy.msi из дистрибутива (располагается в каталоге RutokenKeyBox.Server) на рабочей станции в домене с внешним УЦ.
Системные требования для установки компонента совпадают с требования для установки сервера Рутокен KeyBox. |
Отпечаток (Thumbprint) сертификата Агент регистрации в параметре enrollmentAgentCertificateThumbprint.
Пример заполненной секции:
|
При использовании Windows авторизации (инсталляция на Windows Server):
в параметре allow users укажите сервисную учетную запись из домена, в котором установлен IndeedCM MSCA Proxy, например, созданную в п.1.
Пример заполненной секции:
|
При использовании авторизации по сертификату (инсталляция на ОС семейства Linux):
Параметру authentication укажите значение "None", а также закомментируйте секцию authorization.
Пример заполненной секции:
|
В секции appSettings параметру authorizeByCertificate укажите значение "True", а в параметре allowedCertificateThumbprints укажите отпечаток клиентского сертификата, разрешенного к предъявлению сервером Рутокен KeyBox.
Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности клиента (Client Authentication) и быть установлен в хранилище сертификатов сервера Рутокен KeyBox.
Пример заполненной секции:
|