Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.

1. Войдите в систему, которая является членом домена и отвечает приведенным выше требованиям, как член группы Enterprise PKI Admins и вставьте диск, на котором были сохранены сертификат и список отзыва сертификатов корневого центра сертификации.

2. Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации в службе Active Directory:

Копировать код

Cscript //job:PublishCertstoAD C:\MSSScripts\CA_Operations.wsf

3. Выполните следующий сценарий, чтобы опубликовать список отзыва сертификатов в службе Active Directory:

Копировать код

Cscript //job:PublishCRLstoAD C:\MSSScript\CA_Operations.wsf

Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере

Выполнить эту задачу необходимо потому, что в расширениях сертификатов, выдаваемых этим центром сертификации, указываются HTTP-версии URL-адресов CDP и AIA. Если эти расширения указаны, они должны быть соблюдены за счет публикации сертификатов и списков отзыва сертификатов по указанным URL-адресам.

Примечание.   Эта процедура не зависит от того, установлен ли веб-сервер публикации CDP и AIA на выдающем центре сертификации, но она предполагает, что виртуальный каталог соответствует каталогу, созданному ранее для конфигурирования IIS (C:\CAWWWPub). Если был выбран другой путь, значение WWW_LOCAL_PUB_PATH в сценарии PKIParams.vbs нужно будет изменить.

Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.

1. Войдите на веб-сервер, используя учетную запись локального администратора или эквивалентную ей.

2. Убедитесь в наличии в компьютере диска с сертификатом и списком отзыва сертификатов корневого центра сертификации.

3. Выполните следующий сценарий, чтобы опубликовать сертификат центра сертификации в папке веб-сервера:

Копировать код

Cscript //job:PublishRootCerttoIIS

C:\MSSScripts\CA_Operations.wsf

4. Выполните следующий сценарий, чтобы опубликовать список отзыва сертификатов центра сертификации в папке веб-сервера:

Копировать код

Cscript //job:PublishRootCRLstoIIS

C:\MSSScripts\CA_Operations.wsf

Развертывание сервера выдающего центра сертификации

После установки корневого центра сертификации и публикации его сертификатов можно развернуть сервер выдающего центра сертификации. Установка служб сертификации включает сложную совокупность взаимодействий между выдающим и корневым центрами сертификации, службой Active Directory и веб-сервером. Эти взаимодействия поясняет следующая диаграмма.

Рис. 5.Процесс установки сертификата

Цифры на диаграмме обозначают указанные ниже взаимодействия.

1. Публикация сертификата и списка отзыва сертификатов корневого центра сертификации в службе Active Directory с использованием съемного носителя.

2. Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере с использованием съемного носителя.

3. Установка служб сертификации, генерирующих запрос сертификата, который нужно будет доставить с использованием съемного носителя в корневой центр сертификации, где на основе этого запроса будет выдан сертификат.

4. Установка соответствующего сертификата выдающего центра сертификации с использованием съемного носителя.

5. Публикация сертификата и списка отзыва сертификатов выдающего центра сертификации на веб-сервере.

    x.   Этот этап выполняется автоматически в ходе установки центра сертификации предприятия.

Подготовка файла Capolicy.inf для выдающего центра сертификации

Вообще говоря, выдающему центру сертификации файл CAPolicy.inf не нужен. Он требуется, если нужно изменить размер ключа, используемого центром сертификации. Этот файл следует создать перед установкой выдающего центра сертификации, хотя в случае необходимости его можно будет добавить позднее, а затем обновить сертификат центра сертификации.

Чтобы создать файл CAPolicy.inf, выполните следующие действия.

1. Войдите на сервер выдающего центра сертификации, используя учетную запись локального администратора или эквивалентную ей.

2. Используя Блокнот или другой текстовый редактор, создайте обычный текстовый файл со следующим содержимым:

Копировать код

[Version]

Signature= “$Windows NT$”

[Certsrv_Server]

RenewalKeyLength=2048

3. Если для центра сертификации определено заявление об использовании сертификатов, включите в файл Capolicy.inf следующие строки:

Копировать код

[CAPolicy]

Policies=policyname

[policyname]

OID=the.org.oid

URL=”http://the.org.url/TheCPSPage.htm”

Примечание.   Значения, набранные курсивом, нужно заменить информацией, специфичной для конкретной организации.

4. Сохраните этот файл как %windir%\Capolicy.inf (замените %windir% абсолютным путем к папке установки Windows, например C:\Windows).

Установка программных компонентов служб сертификации

Как и при установке служб сертификации на корневой центр сертификации, для выполнения этого этапа нужно будет использовать носитель с установочными файлами ОС Windows Server 2003, а также мастер компонентов Windows.

Чтобы установить службы сертификации, выполните следующие действия.

1. Войдите в систему выдающего центра сертификации, используя учетную запись члена группы локальных администраторов или эквивалентную ей, и запустите диспетчер дополнительных компонентов:

Копировать код

sysocmgr /i:sysoc.inf

2. Выберите службы сертификации и нажмите на кнопку ОК, чтобы проигнорировать предупреждение об изменении имени.

3. Выберите в качестве типа центра сертификации «Подчиненный ЦС предприятия» и убедитесь в том, что флажок «Использовать пользовательские параметры» установлен.

4. Большинство значений по умолчанию в диалоговом окне «Пара из открытого и закрытого ключей» следует оставить неизменными. Внесите только следующие изменения:

   • Установите длину ключа равной 2048 битам

   • Задайте в качестве типа поставщика (CSP) значение Microsoft Strong Cryptographic Provider

5. Введите указанные ниже сведения о центре сертификации.

   • Общее имя центра сертификации

   • Суффикс различающегося имени

   • Срок действия: (определенный родительским центром сертификации)

6. После этого поставщик службы криптографии сгенерирует пару ключей и запишет ее в хранилище ключей на локальном компьютере.

7. Введите предложенные ниже местоположения базы данных сертификатов, журналов базы данных и конфигурационной папки.

   • База данных сертификатов: D:\CertLog

   • Журнал базы данных сертификатов: %windir%\System32\CertLog

   • Общая папка: Disabled

Ради повышения производительности и надежности базу данных центра сертификации и журналы следует по мере возможности хранить на разных физических дисках. База данных сертификатов и журналы базы данных должны находиться на локальных дисках с файловой системой NTFS.

8. Теперь будет создан файл запроса сертификата, который следует скопировать на диск. После этого диспетчер дополнительных компонентов начнет установку компонентов служб сертификации, для чего потребуется носитель с установочными файлами ОС Windows Server 2003.

9. Нажмите на кнопку ОК, чтобы проигнорировать предупреждение о службах IIS, и продолжите процесс установки до его завершения. Мастер установки отобразит уведомление о том, что для продолжения необходим сертификат родительского центра сертификации.

Запрос сертификата у корневого центра сертификации

Теперь нужно доставить запрос сертификата выдающего центра сертификации корневому центру сертификации, чтобы этот запрос был подписан, а выдающему центру сертификации был выдан сертификат.

Чтобы отправить запрос сертификата корневому центру сертификации, выполните следующие действия.

1. Войдите в систему корневого центра сертификации, используя учетную запись члена группы Certificate Managers.

2. Убедитесь в том, что в компьютере находится диск, на котором был сохранен файл запроса сертификата.

3. Выберите в меню «Задачи ЦС» консоли управления центром сертификации пункт «Выдать новый запрос» и отправьте запрос, полученный от выдающего центра сертификации.

4. Найдите выданный сертификат в контейнере выданных сертификатов и откройте его.

5. Убедитесь в том, что сведения о сертификате верны, и экспортируйте сертификат в файл, нажав кнопку «Копировать в файл». Сохраните файл на диске в виде файла PKCS#7 и укажите, что в цепочку нужно включить все возможные сертификаты, задав соответствующий параметр.

Обновление информации о сертификатах в выдающем центре сертификации

Сертификат корневого центра сертификации уже опубликован в хранилище доверенного корня Active Directory, и теперь следует убедиться в том, что выдающий центр сертификации загрузил эту информацию и поместил сертификат в собственное хранилище корня.

Чтобы обновить и проверить информацию о доверии сертификатов в выдающем центре сертификации, выполните следующие действия.

1. Войдите в систему выдающего центра сертификации, используя учетную запись локального администратора или эквивалентную ей.

2. Введите в командной строке следующую команду:

Копировать код

certutil –pulse

Эта команда указывает центру сертификации загрузить новую информацию о доверенном корне из каталога и поместить сертификат корневого центра сертификации в собственное хранилище доверенного корня. Этот этап необязателен, но игнорировать его не следует, так как он позволяет убедиться в том, что предыдущие этапы публикации были выполнены успешно.

3. Запустите файл mmc.exe и добавьте оснастку «Сертификаты».

4. Выберите в качестве хранилища сертификатов, которым нужно управлять, вариант «Учетная запись компьютера».

5. Убедитесь в том, что сертификат корневого центра сертификации находится в папке Trusted Root Certificate Authorities.