Установка подчиненного центра сертификации Microsoft CA на Windows Server 2012 R2

Установка подчиненного центра сертификации Microsoft CA на MS Windows Server 2012 R2 — важный процесс, который необходимо выполнить для обеспечения безопасности вашей сети и обмена информацией. Подчиненный центр сертификации (CA) является компонентом системы управления сертификатами, который может быть развернут внутри вашей сети.

Для настройки подчиненного центра сертификации Microsoft CA на сервере 2012 R2 необходимо выполнить ряд действий. Во-первых, вам потребуется установленный компьютер с MS Windows Server 2012 R2, который будет служить в качестве подчиненного CA. Во-вторых, вам понадобятся доверенные сертификаты, которые будут использоваться для подписи сертификатов, выдаваемых вашим подчиненным CA.

Перед тем как приступить к установке подчиненного центра сертификации на MS Windows Server 2012 R2, убедитесь, что ваш компьютер готов к этой операции. Необходимо установить все обновления для операционной системы, а также убедиться, что компьютер имеет доступ к Интернету.

Для начала установки подчиненного центра сертификации Microsoft CA на MS Windows Server 2012 R2 запустите программу «Установка ролей и компонентов сервера». Для этого откройте «Панель управления», выберите «Программы» и затем «Включение или отключение компонентов Windows».

Windows 8 Secure Boot

В операционной системе Windows 8 появился новый механизм безопасности под названием Secure Boot. Этот механизм позволяет обеспечить защищенную загрузку операционной системы, проверяя подлинность каждого компонента загрузки перед его запуском. В случае, если компонент не проходит проверку, загрузка прерывается, и пользователю будет предложено принять решение о дальнейших действиях.

Для включения Secure Boot в Windows 8 необходимо открыть центр управления компьютером, для чего можно нажать кнопку «Пуск» и в поле поиска ввести «Центр управления компьютером». В центре управления компьютером следует перейти в раздел «Обмена файлами и установки программ» и открыть «Настройку параметров защиты компьютера».

В открывшемся окне настроек по клику левой кнопкой мыши открываем вкладку «Безопасность». Убедитесь, что значение параметра «UEFI пункт меню защиты загрузки» установлено в «Включено». После этого необходимо перезапустить компьютер для применения изменений.

В случае, если Secure Boot будет актуальным, в списке доступных ролей сервера при установке Windows Server 2012 R2 будет иметься дополнение «Защищенная загрузка». Для установки данной роли необходимо запустить команду Install-WindowsFeature -Name SecureBoot с административными правами.

В случае актуального запроса корневого сертификата, который будет выдать клиентам сертификаты корневого удостоверяющего центра, вам следует:

1. Открыть это меню, которое получено при копировании автономного файла корневого сертификата (MS servername CAsrv.ms.elam.sub): нажмите кнопкой мыши на файл — «Установить сертификат»
2. Нажать кнопку «Далее»
3. Выбрать «загрузочная информация» и «Все сертификаты в следующем хранилище»
4. Нажать кнопку «Обзор»
5. Выбрать загрузочный диск вашего компьютера и в поле «Добавить этот сертификат в следующее хранилище» установите значение «Раздел корневых сертификатов».
6. Нажмите кнопку «ОК» и «Далее»
7. После этого будет показано окно с информацией о успешной установке сертификата
8. Нажмите кнопку «Готово»

В случае актуального запроса корневого сертификата, который будет выдать клиентам сертификаты корневого удостоверяющего центра, следует открыть инструмент «Центр управления компьютером». В левой панели нажмите на кнопку «Службы» и откройте «Аудит финания». В открывшемся окне в поле «команда» укажите следующие значения: для компьютера с операционной системой Windows 8 — «security», для компьютера с операционной системой, роль которого на временном времени оканчивается на «Раздел» — поле будет относиться к четырем записям (корневой сертификат), никаких дополнительных значений в поле «возвращаемое значение» не требуется, также не требуется выбирать никаких других компонентов; Можно запустить команду «security /? return».

Установка сертификата корневого центра сертификации и актуального списка отозванных сертификатов

Для установки сертификата корневого центра сертификации и актуального списка отозванных сертификатов следует выполнить следующие действия:

1. Открыть службу «Установка и удаление программ» через параметры сервера или нажатием Win + R, затем набрать appwiz.cpl и нажать Enter.
2. В списке программ выбрать пункт «Установка дополнительных компонентов».
3. В дополнительных компонентах выбрать «Службы сертификации Active Directory» и нажать кнопку «Добавить/удалить».
4. В появившемся окне нажать «Установить» и следовать указаниям мастера установки.
5. После установки необходимо перезапустить сервер.
6. После перезагрузки сервера открыть «Центр сертификации Active Directory».
7. В разделе «Сертификаты» следует найти выданный серверу сертификат корневого центра сертификации.
8. В списке сертификатов выбрать нужный сертификат, нажать правой кнопкой мыши и выбрать «Свойства».
9. В открывшемся окне перейти на вкладку «Цепочка» и проверить, что в цепочке корневого сертификата имеется только один сертификат.
10. В случае, если в цепочке корневого сертификата имеется более одного сертификата, нужно установить весь список корневых сертификатов. Для этого следует нажать кнопку «Установка подчиненного корневого центра сертификата» и выбрать файл сертификата из диска.
11. Для установки актуального списка отозванных сертификатов следует в разделе «Сертификаты» нажать кнопку «Актуальный список отозванных сертификатов».

После выполнения этих действий, установка сертификата корневого центра сертификации и актуального списка отозванных сертификатов будет завершена, и сервер будет готов к использованию подчиненным центром сертификации.

Установка службы сертификации из состава MS Windows

Для установки службы сертификации из состава MS Windows на сервере с операционной системой MS Windows Server 2012 R2 необходимо выполнить следующие действия:

1. Открыть «Сервисы» через «Пуск» → «Windows Administrative Tools» → «Сервисы».
2. Найти службу «Служба сертификации Active Directory» и запустить ее.
3. Щелкнуть правой кнопкой мыши на службе и выбрать «Свойства».
4. В открывшемся окне выбрать вкладку «Восстановление» и в поле «Действие при сбое» выбрать «Перезапустить службу».
5. Нажать «Применить» и «ОК».
6. Перезапустить службу сертификации Active Directory.
7. Установка службы сертификации успешно завершена.

Теперь служба сертификации будет успешно запущена на сервере и будет готова к выдаче и управлению сертификатами.

Настройка защищенной загрузки в Windows 8

Защищенная загрузка (ELAM) в Windows 8 обеспечивает защиту от вредоносных программ уже на самом раннем этапе загрузки операционной системы. Для ее работы необходим подчиненный центр сертификации (CA) Microsoft, установленный на MS Windows Server 2012 R2.

Установка сертификата безопасного загрузочного программного обеспечения (ELAM)

Для установки сертификата ELAM следует открыть окно «Сертификаты компьютера» на подчиненном центре сертификации. Для этого выполните следующие действия:

1. Откройте «Сертификаты компьютера» на сервере CA.
2. Перейдите в раздел «Сертификаты — Локальный компьютер».
3. В контекстном меню выберите пункт «Все задачи — Запросить новый сертификат».
4. В открывшемся окне «Выбор шаблона» выберите «Сертификат безопасного загрузочного программного обеспечения (ELAM)».
5. Нажмите «Продолжить» и следуйте инструкциям мастера.

Настройка активной политики безопасной загрузки

Для настройки активной политики безопасной загрузки следует выполнить следующие действия:

1. Откройте командную строку с правами администратора.
2. Введите команду «bcdedit /set testsigning off» для отключения режима тестовой подписи.
3. Перезапустите компьютер для применения изменений.

Получение актуального сертификата для защищенной загрузки

Для получения актуального сертификата для защищенной загрузки следует выполнить запрос на сервере CA. Для этого выполните следующие действия:

1. Откройте интернет-браузер и перейдите на страницу подчиненного центра сертификации.
2. В разделе «Сертификаты» выберите «Запрос нового сертификата».
3. Выберите «Сертификат безопасного загрузочного программного обеспечения (ELAM)» в списке доступных сертификатов.
4. Заполните необходимые поля и отправьте запрос.

После получения сертификата его следует установить на компьютере Windows 8. Для этого выполните следующие действия:

1. Откройте окно «Сертификаты компьютера» на компьютере Windows 8.
2. Перейдите в раздел «Сертификаты — Локальный компьютер».
3. В контекстном меню выберите пункт «Все задачи — Импортировать».
4. Выберите файл сертификата и следуйте инструкциям мастера для его установки.

После успешной установки сертификата ELAM и настройки активной политики безопасной загрузки Windows 8 будет готова к использованию защищенной загрузки.

Настройка подчиненного Центра сертификации

Установка подчиненного Центра сертификации (CA) связана с настройкой и выпуском сертификатов для различных компонентов IT-инфраструктуры. В данной статье рассмотрим процесс настройки подчиненного Центра сертификации на MS Windows Server 2012 R2.

Установка Центра сертификации

Перед началом настройки необходимо установить подчиненный Центр сертификации. Для этого откройте «Сервисы Центра администрирования» в меню «Start» и выберите «Центр сертификации».

После открытия Центра сертификации выберите «Настроить новый Центр сертификации».

Далее появится окно выбора, где необходимо указать следующие значения:

• Точка распространения CRL – указать путь к месту, где будут располагаться отозванные сертификаты.
• Сервер – выберите сервер, на котором будет развернут Центр сертификации.
• Загрузочная служба (boot) Secure Boot – выберите «Установить» для активации secure boot.
• Загрузка с подлинным модулем непосредственного доступа к памяти (ELAM) – выберите «Установить» для включения ELAM.
• Результаты аудита в запросах сертификатов – выберите «Установить» для включения аудита запросов.

После ввода всех значений нажмите кнопку «Дальше».

Настройка доступа к сертификатам

Для успешной установки необходимо настроить права доступа к сертификатам. В окне выбора, выберите вкладку «Электронные сертификаты».

В списке загружаемых файлов выберите файл, содержащий сертификаты, которые необходимо установить. В случае если нужный файл не имеется, можно запросить его через Интернет.

Для ввода символов необходимо воспользоваться мышью и щелкнуть по нужному полю ввода.

Всего можно выбрать четыре сертификата для установки. После выбора сертификатов нажмите кнопку «ОК».

Установка сертификатов

После настройки доступа к сертификатам и выбора нужных сертификатов, необходимо установить сертификаты на сервер. Для этого нажмите кнопку «Установить». После успешной установки, появится сообщение об успешной операции.

Настройка подчиненного Центра сертификации завершена. Теперь можно использовать сертификаты для обеспечения безопасности IT-инфраструктуры.

Видео:

Active Directory Certificate Services Install & Config in just 20mins

Active Directory Certificate Services Install & Config in just 20mins by Andy Malone MVP 32,970 views 1 year ago 21 minutes