Установка центра сертификации Install the Certification Authority

Делайте вашу сеть более безопасной с помощью установки центра сертификации (CA) — это программное обеспечение, которое выдает и управляет цифровыми сертификатами. Центр сертификации играет важную роль в обеспечении безопасности вашей информации и защите от несанкционированного доступа.

Root-сертификаты, которые CA создает, являются ключевыми составляющими цифровой аутентификации и шифрования. Нажмите следующим, чтобы узнать, как установить и настроить CA на вашем сервере.

Установка CA:

1. Откройте окно «Установка и удаление программ» и выберите «службы CA».

2. Нажмите «Установить», чтобы начать процесс установки.

3. После завершения установки будет открыто окно конфигурации CA. Здесь вы можете указать имя сертификата (Certificatename) и другие параметры.

4. Введите описание и укажите местоположение файла резервного копирования в случае сбоя.

5. Укажите точки CDPContosoComPKIContoso-PICACRLs в таблице расположений CRLs.

6. Настройте дополнительные ограничения и указанные конфигурации в вашем скрипте.

Создание иерархии сертификации:

1. После установки CA, создайте корневой сертификат. Это самый высокий уровень в иерархии сертификации и обеспечивает основу для всех других сертификатов.

2. Создайте сертификат участника (member certificate), который будет использоваться для конкретного узла или клиента. Он будет основан на корневом сертификате.

3. Повторяйте эти шаги для остальных сертификатов в иерархии.

Аудит сертификации:

Администраторы CA могут выполнять аудит операций с сертификатами и запросами на сертификаты. Рекомендуется включить аудит для всех операций сертификации, чтобы обеспечить безопасность и контроль.

After the CA installation, you can specify where the audit logs must be saved by setting the auditing setting,to log the events. Specify the location where you want to save the audit logs keeping in mind the security constraints, where only the administrators can access.The audit process is an essential part of the CA, which will help in case of any security breach or malicious activity in the future.

Список услуг центра сертификации:

— Выдача и отзыв сертификатов

— Создание и управление ключами

— Публикация сертификатов и CRLs на указанные расположения

— Обеспечение проверки целостности сертификатов

— Создание и управление запросами на сертификаты (CSR)

— Обслуживание и эксплуатация сертификационного авторитета

Begin securing your network with the installation of the Certification Authority and enjoy the benefits of increased security and trust for your clients and services.

Установка издающего ЦС

При установке центра сертификации (ЦС) на сервере рекомендуется следовать определенному процессу, который обеспечивает безопасность и соответствие всем требованиям. Ниже приведены стратегии и рекомендации, которые помогут вам успешно пройти этот процесс.

В начале процесса установки издающего ЦС вам потребуется выбрать домен, в котором он будет установлен. Рассмотрим, как это сделать:

1. Зайдите на контроллер домена сети, где будет установлен ЦС.

2. Откройте «Управление ЦС» и введите название ЦС.

3. Введите ожидаемые параметры безопасности, указанные в рекомендациях.

4. Установите необходимые шаблоны сертификатов.

После завершения установки ЦС, вам потребуется настроить службу ЦС и привести ее в соответствие с вашими потребностями:

1. Найдите в списке расширений контроллера домена службу ЦС и установите ее.

2. Установите все необходимые расширения ЦС используя инструменты управления.

3. Укажите службе ЦС название контроллера домена и установите необходимый уровень безопасности.

4. Укажите роль ЦС в списке ролей контроллера домена.

После установки и настройки ЦС, вам потребуется установить шаблоны сертификатов и выпустить сертификаты для различных объектов:

1. Откройте «Управление ЦС» и найдите список шаблонов сертификатов.

2. Установите шаблон, соответствующий вашим потребностям, вручную или при помощи данной функции.

3. Зайдите в контроллер домена и откройте «Управление ЦС».

4. Установите шаблоны сертификатов для необходимых объектов и укажите необходимые расширения и параметры безопасности.

Не забывайте предварительно настроить службу ЦС с учетом вашего домена и его конфигурации:

1. Установите службу ЦС по умолчанию в списке служб контроллера домена.

2. Настройте службу ЦС для работы с определенными расширениями и инструментами, соответствующими вашим требованиям безопасности.

3. Укажите список имен, которые будут использоваться при создании сертификатов.

4. Укажите домены, в которых будут использоваться сертификаты, и настройте параметры безопасности для каждого домена.

Установка издающего ЦС является важной частью общего процесса установки центра сертификации. Процесс требует внимательного и последовательного выполнения всех указанных шагов, чтобы обеспечить безопасность и эффективную работу вашего сервера.

Общий план развёртывания

Установка центра сертификации Install the Certification Authority предоставляет возможность осуществлять цифровую подпись документов и обеспечивать безопасность обмена информацией.

Шаг 1: Подготовка к установке

1. Перед началом процедуры установки центра сертификации, убедитесь, что у вас есть права администратора в вашей сети.
2. Зайдите под учетной записью администратора на нужный вам корневой контроллер Active Directory Domain Services.
3. Установите необходимое программное обеспечение, такое как Web Server (IIS), Файловые и службы печати (SMB), а также Routing and Remote Access Services (RRAS), если они еще не установлены.

Шаг 2: Установка центра сертификации

1. Откройте окно командной строки с правами администратора.
2. Введите команду install-adcscertificationauthority и нажмите Enter.
3. Следуйте мастеру установки, выбирая необходимые компоненты и параметры в соответствии с требованиями вашей компании. Все доступные значения для каждого параметра будут приведены в окне мастера.
4. После завершения установки, создайте папку для резервного копирования ключевых компонентов и настройте аудит событий через оснастку CertUtil.exe.
5. Настройте права доступа для администраторов и клиента на созданную папку.

Шаг 3: Выдача сертификатов

1. Откройте окно командной строки с правами администратора.
2. Введите команду certutil.exe -capolicyinf и нажмите Enter.
3. Отредактируйте файл с полученными значениями в соответствии с требованиями вашей компании.
4. Вернитесь к окну командной строки и введите команду certutil.exe -dspublish имя_конфигурационных_объектов, где имя_конфигурационных_объектов — название вашего объекта.
5. После этого можно создавать и выдавать сертификаты веб-сервера, а также другие типы сертификатов, используя объекты, указанные в списке конфигурационных объектов.

После завершения этих процедур, вы сможете использовать центр сертификации для обеспечения безопасности и подписи документов в вашей компании.

Установка центра сертификации на предприятии Часть 3

1. Создание ключевого контейнера

Перед началом работы с центром сертификации нам необходимо создать ключевой контейнер, в котором будут храниться приватные ключи сертификатов.

1. Откройте «Сертификаты» в «Управлении компьютером».
2. Щелкните правой кнопкой мыши на «Личное»
3. Выберите «Все задачи» → «Запросить новый сертификат».
4. Убедитесь, что установлена галочка «Запрос на ручное выбор субъекта сертификата».
5. Добавьте необходимые литералы в поле «Имя», чтобы убедиться в идентификации данного сервера.
6. Сделайте все необходимые обновления и изменения в панели «Выбор сертификата» и «Срок действия».
7. Нажмите кнопку «OK» и создайте ключевой контейнер.
8. Убедитесь, что ключевой контейнер был успешно создан.

2. Настройка центра сертификации

Теперь вам необходимо настроить центр сертификации для выдачи сертификатов вашим клиентам. Воспользуйтесь следующими рекомендациями:

• Установите центр сертификации на сервере:
1. Зайдите в «Управление сервером» и выберите «Добавление ролей».
2. Перейдите в «Выбор серверов» и выберите данную роль.
3. Следуйте инструкциям мастера установки, указывая путь к полученным файлам.
• Настройте обратно связь с базой данных:
1. Откройте конфигурационные файлы центра сертификации.
2. Установите значение переменной «Storage» равным пути к хранилищу.
• Обновите все конфигурационные файлы:
1. Укажите правильные значения для ключевых переменных.
2. Убедитесь, что все галочки включены для необходимых событий и аудита.
• Запустите сервер центра сертификации:
1. Откройте «certsrv.msc» на сервере.
2. Выберите «Файл» → «Добавить/удалить компоненты».
3. В дереве консоли щелкните правой кнопкой мыши на «certsrv [server name]».
4. Выберите «Изменение установки».
5. Выберите сервер, на котором установлен центр сертификации.
6. Проверьте, что центр сертификации установлен и готов к работе.

Поздравляем! Теперь центр сертификации на вашем предприятии полностью установлен и настроен для выдачи сертификатов клиентам. Не забудьте обновлять и поддерживать вашу конфигурацию, чтобы быть уверенными в действительности сертификатов.

Подготовка веб-сервера

Перед установкой центра сертификации необходимо подготовить веб-сервер, на котором будет установлен сертификат. Для этого выполните следующие шаги:

Настройка веб-сервера

Убедитесь, что на вашем веб-сервере установлен соответствующий software и оснастка для работы с сертификатами.

Создание резервной копии

Перед началом установки рекомендуется создать резервную копию веб-сервера и всех его настроек. Это позволит предотвратить потерю данных и упростить восстановление в случае событий, не предвиденных в процессе установки.

Установка центра сертификации

Для установки центра сертификации выполните следующие действия:

1. Запустите установку центра сертификации через setup.exe файла.
2. Введите параметр «Подготовка веб-сервера» при запросе установщика.
3. Укажите папку, в которую центр сертификации будет установлен.
4. Завершите установку, следуя инструкциям на экране.

Настройка хранилища сертификатов

После успешной установки центра сертификации на веб-сервере необходимо настроить хранилище сертификатов. Для этого выполните следующие шаги:

1. Откройте MMC и добавьте Snap-in «Сертификаты» для локального компьютера.
2. Выберите хранилище «Сертификаты компьютера» и найдите раздел «Личное».
3. В выпадающем списке выберите «Все задания» и выберите «Запрос на сертификат».
4. Выберите «Запрос на создание нового сертификата» и следуйте инструкциям на экране.

По завершении всех настроек и установки сертификата у вас будет полностью подготовленный веб-сервер с установленным центром сертификации Ready Start. При необходимости, вы можете выполнять резервное копирование учетных записей администраторов и других субъектов срока действия сертификата.

Подготовка контроллера домена

Для успешной установки и настройки центра сертификации вам необходимо выполнить ряд действий на контроллере домена. В этом разделе мы расскажем о подготовке контроллера домена перед установкой сертификационного авторитета.

1. Убедитесь, что у вас есть пара администраторских учетных записей для доступа к контроллеру домена.
2. Создайте папку для хранения списков отозванных сертификатов (CRLs) и сконфигурируйте ее правильно. По умолчанию рекомендуется использовать папку «C:\CRLs».
3. Откройте службу управления сертификатами (Certification Authority snap-in) на контроллере домена. Для этого щелкните правой кнопкой мыши на «Сертификационные центры» в разделе «Локальная машина» и выберите пункт «Добавить/удалить серверы».
4. Выберите контроллер домена, на котором будет установлен центр сертификации, и щелкните кнопку «Enter».
5. Введите путь к шаблонам сертификатов. По умолчанию он должен быть выше папки системы (SystemRoot), например: «C:\CA\CertEnroll».
6. Измените контекст источника точки и обратно на «Default». Для этого выберите «Служба управления сертификатами» и щелкните правой кнопкой мыши на контроллер домена, затем выберите пункт «Изменить контекст источника точки» и «Default».
7. Скопируйте путь конфигурации в «Домен\Сертификатное хранилище по умолчанию». Это может быть использовано в дальнейшем при изменении конфигурации.
8. Определите суффикс имени CDP (CRL Distribution Point) и AIA (Authority Information Access) для вашего центра сертификации. Для этого выполните следующую команду в командной строке: «certutil –setreg ca\CDPurls cdp://cdp.contoso.com/cdp/» и «certutil -setreg CA\CACertPublicationURLs ldap:///CN=contoso-PICA,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration, DC=contoso,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint».
9. Сохраните изменения в базе данных сертификатов. Для этого выполните команду «certutil -setreg ca\DSConfigDN CN=Configuration,DC=contoso,DC=com» в командной строке.
10. Настройте стратегию обновления CRL для клиентских компьютеров и серверов. Рекомендуется использовать стратегию «Как в настройках по умолчанию».

После завершения этих шагов ваш контроллер домена будет готов к установке центра сертификации и выпуску сертификатов в вашей сети.

Рекомендации

При установке центра сертификации Install the Certification Authority важно следовать рекомендациям для обеспечения безопасности и эффективности работы системы.

1. Хранилища сертификатов:

Рекомендуется использовать защищенные хранилища для сохранения и управления сертификатами, такие как Microsoft Certificate Services. Это позволит сохранить безопасность и интеграцию сертификатов в компании.

2. Настройка скрипта:

Для эффективной работы центра сертификации рекомендуется настроить скрипт, который автоматизирует процесс выдачи, обновления и передачи сертификатов. Это позволит существенно сократить время и усилить безопасность процесса.

3. Название сертификации:

При создании корневого и доменного сертификатов рекомендуется указывать осмысленные названия, чтобы их было легко идентифицировать и управлять ими.

4. Установка Certification Authority:

Для установки центра сертификации необходимо запустить визард установки на сервере, который будет выполнять роль контроллера домена. В процессе установки рекомендуется указать требуемый параметр длины ключей и алгоритмы шифрования, а также сконфигурировать соответствующие файлы, таблицы и папки.

5. Запрос сертификата:

Для получения сертификата необходимо сгенерировать и отправить запрос. Рекомендуется использовать специальные приложения, такие как CertUtil.exe, для выполнения этой процедуры. При запросе указывайте требуемые параметры и ключи для корректной выдачи сертификата.

6. Keep-файлы:

Обязательно сохраняйте keep-файлы, так как они требуются для правильной работы системы и будут использоваться при обновлении сертификатов.

7. Обновление корневого сертификата:

Рекомендуется регулярно обновлять корневой сертификат, чтобы поддерживать безопасность и совместимость сертификатов компании со сторонними системами и приложениями. Для обновления используйте delta-файлы.

8. Управление сертификатами:

Для управления сертификатами, выданными центром сертификации, используйте команду certutil.exe. В списке доступных команд вы найдёте все необходимые функции для работы с сертификатами и запросами.

9. Безопасность сетевой передачи:

Для обеспечения безопасности при передаче сертификатов по сети рекомендуется использовать протокол HTTPS или другие защищенные протоколы. Это позволит защитить данные от перехвата и несанкционированного доступа.

10. Подтверждение запроса:

После передачи запроса на выдачу сертификата убедитесь, что получатель выполнил все необходимые действия для подтверждения запроса. Только после этого сертификаты будут готовы для использования.

Следуя данным рекомендациям, вы сможете правильно установить и эффективно использовать центр сертификации Install the Certification Authority для обеспечения безопасности вашего домена и компьютеров в компании.

Установка корневого ЦС

Подготовка к установке

Перед началом установки корневого ЦС убедитесь, что у вас есть все необходимые параметры и конфигурационные файлы. Также важно заранее убедиться, что система соответствует требованиям для установки.

Установка производится с помощью команды install-adcscertificationauthority, которая установит все необходимые компоненты и проведет настройку центра сертификации.

Настройка параметров

До начала установки вам необходимо настроить несколько параметров, таких как имя сертификата (certificatename), политика издания сертификатов (capolicyinf) и различные ограничения (constraints).

Вы также можете указать местоположение файлов, установленных приложений и другие настройки, которые помогут сделать установку успешной.

Установка и настройка

Следуйте следующим шагам для установки и настройки корневого ЦС:

1. Запустите команду install-adcscertificationauthority с указанными параметрами.
2. Подтвердите установку и задайте значения параметров.
3. Убедитесь, что вся необходимая информация указана верно.
4. Ожидайте завершения установки и настройки.

Проверка установки

После завершения установки и настройки корневого ЦС убедитесь, что все параметры и значения были правильно установлены. Также убедитесь, что устраненные места надежны и полностью готовы к использованию.

Важно отметить, что корневой ЦС является издателем всех сертификатов в вашей системе. Поэтому очень важно обеспечить его надежность и безопасность во время его эксплуатации.

После успешной установки и настройки вы сможете использовать центр сертификации для выдачи сертификатов клиентам, приложениям и другим участникам системы.

Установка служб сертификатов Active Directory

Службы сертификатов Active Directory (AD CS) необходимы для обеспечения безопасности и подтверждения подлинности в сети компании. Они позволяют выпускать и управлять сертификатами, которые будут использоваться для шифрования коммуникаций, авторизации пользователей и других целей сертификации.

Установка AD CS

Перед установкой служб сертификатов Active Directory необходимы следующие параметры:

Параметр	Значение
Системный домен	contoso.local
Конфигурационные параметры	База данных и журнал должны быть размещены на отдельных дисках
Шаблон сертификата	РГС 2012

Установка служб сертификатов Active Directory выполняется следующим образом:

1. Откройте инструменты «Управление службами сертификатов» на сервере AD CS.
2. Выберите «Сертификационное тело» в дереве служб сертификации.
3. Щелкните правой кнопкой мыши на «Сертификационное тело» и выберите «Все задачи» > «Выпуск нового сертификата».
4. Выберите шаблон сертификата в выпадающем списке.
5. Измените параметры, относящиеся к выпуску сертификата, включая субъект сертификата, политики сертификации и флаги сертификации.
6. Выберите сервер службы сертификации, на котором будет выполняться запрос на выпуск сертификата.
7. Нажмите кнопку «Далее» и завершите процесс выпуска сертификата.

Auto-enrollment

Auto-enrollment — это функция AD CS, которая автоматически выполняет запросы на выпуск сертификатов на клиентах в сети. Для активации данной функции необходимо выполнить следующие шаги:

1. Установите сертификатное тело Active Directory на сервере.
2. Настройте групповую политику в Active Directory для выбранной группы компьютеров или пользователей, на которых будет установлена автоматическая регистрация сертификатов.
3. Выберите «Компьютеры» или «Пользователи» в дереве групповой политики и откройте «Конфигурирование компьютера» или «Конфигурирование пользователя» соответственно.
4. Перейдите в «Параметры Windows» > «Безопасность» > «Настройки аутентификации» > «Windows Settings» > «Security Settings» > «Конфигурация дополнительных служб» > «Certification Services Client — Auto-Enrollment».
5. Включите опцию «Auto-enrollment».
6. Настройте переменную «Certificate Services Client — Auto-Enrollment» в соответствии с требуемыми параметрами.
7. Сохраните изменения и закройте окно настройки групповой политики.

После настройки auto-enrollment на выбранных клиентах в домене AD CS будет автоматически выполняться запрос на выпуск сертификатов в соответствии с установленными параметрами.

To install Active Directory Certificate Services

Для установки служб Active Directory Certificate Services вам понадобится выполнить несколько простых шагов. Следуйте нижеприведенной инструкции, чтобы успешно установить и настроить данный сервис.

Шаг 1: Установка центра сертификации Install the Certification Authority

1. Запустите мастер установки сертификатов, для этого откройте certsrv.msc.
2. Выберите «Установить сертификационный центр», а затем нажмите «Далее».
3. Выберите тип установки «Предприятие», если у вас доменная сеть, или «Стандарт» для независимой установки.
4. Введите имя корневого центра сертификации (CA) в поле «Имя идентификатора СС» и продолжите.
5. Выберите криптографический провайдер и алгоритм ключа, а затем нажмите «Далее».
6. Выберите физическое расположение для хранения конфигурационных файлов и завершите настройку.
7. Выберите, где вы хотите разместить файлы базового каталога:
• С вами располагаются в одной папке: выберите папку, если у вас есть предпочтительное место для хранения.
• С вами располагается в нескольких папках: выберите способ, вручную определить расположение базового каталога.
8. Выберите, каким образом сертификаты корневого CA с интегрированным CDP будут доступны:
• Разрешить автоматическую рассылку CDP: укажите путь к CDP (например, http://cdp.contoso.com/pki/contoso-pica/cdp/) и продолжите.
• Необходимо изменить настройки SERIALNUMBER и CDP: выберите дополнительную настройку и настройте их вручную.
9. Выберите сервер, к которому вы хотите добавить роль «Корневой сертификационный центр», а затем продолжите.
10. Выберите компоненты сертификационного авторитета, которые вы хотите установить:
• Архив перезапросов (реализуется в скрипте): укажите путь к файлу запроса сертификата.
• Сетевые местоположения (редактируются вручную): укажите ожидаемые и остальные расположения CDP (например, \\contoso-pica\c$\windows\system32\CertSrv\CertEnroll\).
11. Выберите, какие компоненты роли должны быть установлены:
• Предварительное развертывание: инсталляция первичного файла (например, web.config) и настройка разрешений.
• Расширенные параметры: настройка параметров работы с процессором и обновлениями.
12. Укажите дополнительные параметры и настройки для корневого CA, а затем продолжите.
13. Укажите права доступа к конфигурационным файлам и разрешите или запретите доступ.
14. Выберите, какие компоненты сертификационного авторитета вы хотите установить и настройте их.
15. Укажите имя домена или поддомена в поле «Имя домена фильтра местоположений».
16. Укажите сетевой адрес в поле «Фильтровать местоположение по адресу сети».
17. Укажите пункт «Установка центра сертификации» и нажмите «Установить».
18. Выберите, какие параметры запроса издателя должны быть выбраны, и укажите их.
19. Укажите значения для каждого требуемого поля запроса вручную или выберите из допустимых.
20. Выберите дополнительные настройки и продолжите.
21. Завершите настройку и установку службы «Центр сертификации Active Directory».

Поздравляю! Теперь у вас установлен и настроен сервис «Active Directory Certificate Services». Вы можете использовать его для выпуска и управления сертификатами в вашей компании.

Видео:

Certficate Services(Installing and managing certificates) on Windows Server 2016

Certficate Services(Installing and managing certificates) on Windows Server 2016 by SYS ADMIN 11,160 views 4 years ago 37 minutes