Schema pe care o vom implementa:
Rădăcina CA va fi instalată pe computerul numit RootCA.
Pentru a implementa o CA rădăcină, aveți nevoie de un computer care rulează Windows Server cu IIS 6.0 sau o versiune mai recentă instalată. Trebuie să verificați prezența ASP pe serverul IIS. Computerul nu trebuie să intre în domeniu. De asemenea, nu este necesar să conectați acest computer la rețea, însă trebuie să fie prezentă și placa de rețea de pe computer.
Instalarea autorității de certificare este implicită. Adică, în timpul instalării, nu trebuie modificate setările. Asigurați-vă că instalarea de CA rădăcină autonomă
Singurul lucru pe care trebuie să-l specificați este numele autorității noastre de certificare de bază (să o numim ROOT CA).
Deoarece acest computer nu va fi accesibil prin rețea, trebuie să specificăm un loc în rețeaua noastră unde va fi localizat fișierul care conține lista certificatelor revocate. Să presupunem că acest site este serverul pe care va fi instalată autoritatea de certificare subordonată - acesta este un computer numit SubCA. Pentru a face acest lucru, trebuie să corectăm proprietățile autorității de certificare a root-ului.
- Venim din proprietatea autorității de certificare a rădăcinilor.
Rețineți că numele domeniului complet (FQDN) al computerului este specificat.
Prin aceste acțiuni, am specificat un depozit în care va fi stocat fișierul care conține lista certificatelor revocate de serverul rădăcină.
Apoi, trebuie să configurați lista de certificate revocate data de expirare (saptamana implicit), în caz contrar va trebui să publice în fiecare săptămână un nou CRL, și să o împărtășească în rețea (ca CA noastră rădăcină nu este conectat la rețea). Pentru a face acest lucru, faceți clic-dreapta pe Certificatele revocate și selectați Proprietăți din meniul contextual.
Apoi, în fereastra care apare, modificați intervalul de publicare CRL la valoarea necesară, de exemplu, timp de 1 an. (Aceasta înseamnă că lista certificatelor revocate va fi valabilă pentru un an).
După acești pași, lista certificatelor revocate nu mai pot fi publicate sub forma unui fișier (poate că este o caracteristică, nu un bug), și va trebui să fie exportate din registru (cum se face acest lucru va fi discutat mai jos).
După toate acțiunile, se recomandă supraîncărcarea autorității de certificare.
Aceasta finalizează configurarea autorității de certificare a root-ului. Dar avem încă nevoie să emită un certificat.
Când instalați o autoritate de certificare, trebuie să specificați că serverul nostru este o CA subordonată întreprinderii
Și dați-i un nume (de exemplu, SUB CA).
După instalare, autoritatea de certificare subordonată vă va solicita să specificați autoritatea de certificare de bază sau să salvați cererea de certificat într-un fișier. Deoarece rădăcina CA nu este disponibilă în rețea, salvăm cererea într-un fișier.
Apoi transferăm acest fișier de solicitare către rădăcina (ROOT CA) a certificării, importăm cererea către autoritatea de certificare:
și apoi, pe baza cererii importate, emitem un certificat:
Apoi, acest certificat este exportat într-un fișier.
Apoi, vom publica o listă de certificate revocate (chiar dacă nu avem certificate revocate, această operațiune trebuie încă să fie efectuată).
Apoi trebuie să transferăm 3 fișiere din aparat unde autoritatea de certificare a rădăcinilor este instalată pe mașină cu autoritatea de certificare subordonată:
- Fișierul care conține cheia publică a autorității de certificare rădăcină, în cazul nostru RootCA_ROOT CA.cer localizate în directorul de sistem% rădăcină% \ system32 \ certsrv \ certenroll - acesta trebuie să fie numai fișierul certificat în numele care conține numele computerului și numele autorității certificatului.
- Un fișier care conține un certificat eliberat unei autorități de certificare subordonate pe baza cererii. În cazul nostru, acesta este SubCA.domain.local_SUB CA.cer. Locația acestui fișier este indicată atunci când exportați acest certificat într-un fișier (așa cum este descris mai sus).
- Ultimul fișier este fișierul care conține lista certificatelor revocate. Acest fișier este localizat în folderul% system% \ system32 \ certsrv \ certenroll și are extensia .crl. În cazul în care ROOT CA.crl nostru (dosar care conține sfârșitul numelui fișierului semnul „+“, conține lista de certificate revocate delta). Cu toate acestea, după cum este descris mai sus, fișierul care conține lista certificatelor revocate nu poate fi în acest dosar, atunci acest fișier trebuie exportat din registru. Pentru a face acest lucru, deschideți consola de gestionare a certificatelor de pe calculatorul local și exportați lista necesară a certificatelor revocate într-un fișier:
După cum am menționat mai sus, transferăm aceste trei fișiere de la autoritatea de certificare rădăcină către subordonat. Root CA certificat de import la un calculator cu o autoritate de certificare subordonată (este suficient pentru a deschide doar fișierul certificatului și faceți clic pe „Install Certificate“). Fișier care conține o listă de certificate revocate este necesar să-l pună în rădăcina sistemului%% \ system32 \ certsrv \ certenroll (aceasta este calea pe care le-am arătat că modifică proprietățile CA root). De asemenea, este necesar să se importe în registru, cu ajutorul certificatelor hardware. Dosarul care conține certificatul autorității de certificare subordonate trebuie importat în autoritatea de certificare subordonată:
Începeți acum autoritatea de certificare subordonată.
După ce a început autoritatea de certificare subordonată, autoritatea de certificare a rădăcinilor poate fi dezactivată și curățată în siguranță. Atunci putem avea nevoie de ea în două cazuri:
- Mergem să alegem un alt centru de certificare secundar secundar;
- Trebuie să redenumim certificatul autorității de certificare subordonate;
Acum trebuie să înființezi o autoritate de certificare subordonată.
În lista de șabloane de certificate disponibile, trebuie să adăugați două agenți de înregistrare (Computer) și agenți de înscriere. Pentru a face acest lucru, faceți clic dreapta pe Șabloane de certificate, selectați Nou și apoi Șablon certificat pentru a emite din meniul contextual.
În fereastra care apare, selectați cele două șabloane de certificare Agent de înscriere și Agenție de înscriere (Computer) și faceți clic pe "Ok".
Și ne asigurăm că aceste șabloane de certificate au apărut în lista de șabloane de certificate disponibile:
Apoi selectați Solicitare avansată de certificat:
Apoi Creați și trimiteți o cerere la acest CA:
Apoi, din lista derulantă, selectați șablonul Agent de înscriere și faceți clic pe Trimiteți. După aceea, instalați certificatul primit pe computer.
Pentru a emite certificate altor utilizatori, trebuie să aveți fie un certificat de agent de înscriere instalat în profilul de utilizator care va emite certificate, fie Agent de înscriere (Computer) instalat pe computerul pe care vor fi emise certificatele.
Pentru a solicita un certificat de agent de înscriere sau agent de înscriere (Computer), trebuie să fii membru al grupului Domain Admins.
Un utilizator care va emite certificate altor utilizatori nu este obligat să fie membru al grupului Domain Admins, este suficient să fii membru al grupului Domain Users. Dar trebuie să configureze drepturile de acces pentru scrierea și citirea către autoritatea de certificare, precum și drepturile de a scrie, citi, emite și emite automat un șablon pe care vor fi emise certificate. Pe mașina locală, utilizatorul trebuie să fie membru al grupului avansat de utilizatori, acest lucru fiind necesar pentru a rula componente ActiveX.
Probabil că nu era în vedere DeldaCRLAllowed și DeltaCRLAllowed
Trimiteți-le prietenilor: