29 самых ценных ИТ-сертификатов

Зачем? Им нужны кандидаты, обладающие современными знаниями, а ИТ-сертификаты быстро демонстрируют им владение человеком определенной технологии или практики – от основ службы поддержки до владения сложными облачными средами.

Итак, являетесь ли вы недавним выпускником или опытным техническим специалистом, подготовка и получение сертификата – отличный способ расширить свой набор навыков, произвести впечатление на потенциальных работодателей и выделиться из толпы.

Согласно Руководству по заработной плате Robert Half Technology за 2020 год, это одни из самых ценных ИТ-сертификатов на сегодняшний день:

Сертифицированный специалист по данным (CDP)
Сертифицированный специалист по безопасности информационных систем (CISSP)
Сертифицированный Cisco эксперт по межсетевым технологиям (CCIE)
Сертифицированный сетевой партнер Cisco (CCNA)
Сертифицированный Cisco сетевой специалист (CCNP)
Сертифицированный аудитор информационных систем (CISA)
CompTIA A
Специалист по технологиям Microsoft (MTA)
Профессиональный менеджмент проектов (PMP)
Сертифицированный специалист Oracle
Сертифицированный Salesforce жизненный цикл разработки и развертывание
Сертифицированный Scrum-мастер (CSM)
AWS сертифицированный архитектор решений
Сертифицированный этический хакер (CEH)
Сертификат глобального информационного обеспечения (GIAC)
ITIL

Каждый предлагает специализацию в различных аспектах ИТ. Вот руководство, показывающее, какие из этих и связанных с ними сертификатов могут быть лучше всего для вас, в зависимости от вашего уровня опыта и областей интересов.

Лучшие ИТ-сертификаты для начинающих
Только начинаете работать в IT-сфере? Ниже приведены некоторые из лучших вводных сертификатов, которые помогут вам получить первую работу в сфере ИТ:
Сертификация CompTIA
CompTIA выдает сертификаты для различных технологий и платформ, но одна из них стоит выше остальных с точки зрения ценности для ИТ-специалистов:
CompTIA A : начните работать в ИТ с этим базовым сертификатом. Все дело в оборудовании, технической поддержке и устранении неполадок. Он также охватывает передовой опыт в области безопасности, работы в сети, операционных процедур, мобильных устройств и различных операционных систем.

Microsoft Technology Professional (MTA)
Технический гигант Microsoft предлагает набор сертификатов начального уровня по целому ряду вопросов, в том числе:

Основы операционной системы Windows
Основы разработки программного обеспечения
Основы баз данных
Основы администрирования Windows Server
Основы сетевых технологий
Основы безопасности
Введение в программирование на Java / Javascript / HTML и CSS / Python

Каждая из этих тем представляет собой отдельный MTA. Вы можете получить несколько MTA по разным предметам, если это то, что вам нужно для начала карьеры. Не требуется обязательного обучения или минимального профессионального опыта. Просто сдавайте экзамен, когда будете готовы.

Лучшие сертификаты Microsoft среднего уровня
После прохождения MTA или другой сертификации начального уровня вы можете рассмотреть вопрос о промежуточной сертификации от Microsoft.

Сертифицированный эксперт по решениям Microsoft (MCSE) : сертификаты MCSE имеют несколько специализаций и показывают, что у вас есть навыки управления серверами, системами данных, хранилищем, частными облаками, сетями и многим другим, в зависимости от того, что вы завершите.
Разработчик решений, сертифицированный Microsoft (MCSD) : получение сертификата MCSD показывает, что у вас есть все необходимое для проектирования и создания приложений для широкого спектра продуктов Windows.
MCSE и MCSD – два наиболее уважаемых сертификата в области технологий. Любой из них добавит блеска вашему ИТ-резюме.

Лучшие сертификаты для сетей

Поскольку Cisco является ведущим поставщиком продуктов для инфраструктуры, сертификат этой компании подтверждает, что вы разбираетесь в последних разработках и передовых методах работы в сети. Наиболее важные из них:

Сертифицированный сетевой партнер Cisco (CCNA) : на шаг впереди от сертификации Cisco начального уровня, CCNA могут специализироваться в одной из следующих областей: облако, сотрудничество, кибероперации, центры обработки данных, промышленность / Интернет вещей, маршрутизация и коммутация, безопасность, поставщик услуг и беспроводной.
Сертифицированный специалист по сетевым технологиям Cisco (CCNP) : после ассоциированного уровня CCNP является более продвинутым ИТ-сертификатом в одной из вышеупомянутых областей специализации.

Лучшие сертификаты по ИТ-безопасности

Хакерские атаки и кибератаки сегодня являются горячими темами, и многие рабочие места в сфере безопасности и управления рисками остаются без персонала. Ниже приведены некоторые из наиболее ценных ИТ-сертификатов в этой быстро развивающейся области.

Сертификаты ISACA

ISACA – профессиональная организация, занимающаяся вопросами безопасности и управления ИТ, управляет пятью глобальными программами сертификации, в том числе:
Сертифицированный аудитор информационных систем : Согласно ISACA, CISA является ее краеугольным камнем сертификации. Как видно из названия, этот экзамен предназначен для специалистов по информационным системам (ИС), которые отслеживают, контролируют и оценивают ИТ или бизнес-системы компании. Для получения этого сертификата требуется пятилетний профессиональный опыт работы в этой области.
Сертифицированный менеджер по информационной безопасности: CISM является ведущим специалистом в области управления информационной безопасностью и предназначен для людей, которые проектируют, создают и управляют программами информационной безопасности. Чтобы получить квалификацию, вы должны иметь не менее пяти лет опыта работы в области информационной безопасности и три года работы менеджером по безопасности.
Сертифицирован в области управления рисками и информационными системами : CRISC (произносится как SEE-риск) аккредитует профессионалов и руководителей проектов, ответственных за информационную безопасность и ее влияние на предприятие в целом. Он охватывает идентификацию рисков, оценку рисков, реагирование на риски и их снижение, а также мониторинг и отчетность по управлению рисками.
Сертифицирован в области управления корпоративной ИТ : CGEIT демонстрирует ваше понимание принципов и практики корпоративного управления ИТ. Это один из самых востребованных сертификатов в сфере информационных технологий, за который платят одни из самых высоких.
Связь кибербезопасности (CSX) : во время постоянно развивающихся угроз кибербезопасности сертификация CSX демонстрирует, что вы в курсе самых актуальных стандартов безопасности и рисков.

Про сертификаты: Сертификат на трубы и фитинги из полипропилена Valfex

Другие ценные ИТ-сертификаты по безопасности включают:

Сертифицированный этический хакер : EC-Council предлагает несколько программ сертификации, одна из самых популярных – CEH. Владельцы специализируются на тестировании на проникновение, поэтому этот ИТ-сертификат часто является необходимым условием для работы на таких должностях, как аналитик кибернетической экспертизы, инженер по кибербезопасности и разработчик приложений.
Сертифицированный специалист по безопасности информационных систем : это еще один востребованный сертификат по кибербезопасности. Разработанные для опытных ИТ-специалистов, держатели CISSP понимают уязвимости сетевых систем и создают политики для защиты систем и минимизации рисков.
Глобальные сертификаты обеспечения безопасности информации. Все об информационной безопасности GIAC делятся на несколько категорий: киберзащита; тестирование на проникновение; реагирование на инциденты и криминалистика; управление кибербезопасностью, аудит и юридические навыки; разработчик; и промышленные системы управления. Самый высокий уровень – эксперт по безопасности GIAC (GSE).

Лучшие сертификаты для облачных вычислений

Поскольку облачные вычисления становятся новой нормой в ИТ, появляется все больше учетных данных, связанных с облаком. Многие из них предназначены для отдельных поставщиков, включая Microsoft, VMware и Amazon. Есть также несколько сертификатов, которые ориентированы на более общие практики в этой быстрорастущей области. Лучшие сертификаты включают:

CompTIA cloud : CompTIA cloud охватывает все основные элементы облачных вычислений, включая настройку, развертывание, безопасность, управление и устранение неполадок.
Сертификат VMware Professional 6 – виртуализация центров обработки данных (VCP6-DCV) . Виртуализация является основой облачных вычислений, и VMware предлагает сертификацию VCP6-DCV для управления виртуализацией центров обработки данных с помощью vSphere 6.0 и vRealize от VMware в облачных средах.
Сертифицированный AWS архитектор решений – профессионал : Amazon является крупнейшим поставщиком услуг облачных вычислений, и эта сертификация подтверждает вашу способность разрабатывать и развертывать облачные среды с помощью Amazon Web Services.
Жизненный цикл разработки и развертывание, сертифицированный Salesforce . Работодатели отчаянно нуждаются в высококлассных специалистах в этой облачной CRM. Эта сертификация – первый шаг к тому, чтобы стать сертифицированным системным архитектором Salesforce.

Лучшие сертификаты менеджмента

Управление проектами необходимо для ИТ-операций. Даже если вы специализируетесь на технологиях, это может оказаться очень ценным навыком. А поскольку она включает в себя планирование, составление графиков, составление бюджета и исполнение, сертификация может стать ключевым этапом на пути к руководству.

Сертифицированный сотрудник по управлению проектами (CAPM) : Предлагаемый авторитетным Институтом управления проектами (PMI), CAPM является идеальным инструментом для управления начальным уровнем.
Профессиональный менеджмент проектов : сертификат PMP, также предлагаемый PMI, является одним из самых престижных в этой профессии. Также доступен ряд сертификатов по узким специальностям.
Сертифицированный мастер Scrum : сертификация CSM начального уровня предлагается Scrum Alliance. Это отличный способ показать свои знания о методах управления Scrum и Agile.

Лучшие сертификаты службы поддержки

Многие ИТ-специалисты начинают свою карьеру с должностей службы технической поддержки и поддержки. А чтобы помочь учащимся, школы все чаще предлагают курсы, которые готовят учащихся к получению сертификатов службы поддержки. Вы можете сертифицировать либо функции службы поддержки в целом, либо сконцентрироваться на платформах и продуктах конкретного поставщика.

Сертификаты HDI : ранее называвшаяся Институтом службы поддержки, HDI предлагает сертификаты, которые варьируются от специалиста по поддержке настольных компьютеров HDI начального уровня до директора центра поддержки HDI. Профессиональная сертификация службы технической поддержки HDI особенно популярна среди менеджеров по найму. HDI также предлагает учетные данные для аналитиков центра поддержки, руководителей групп и представителей службы поддержки клиентов.
ITIL : Британская организация AXELOS занимается продвижением передовых методов управления ИТ-услугами (ITSM). ITIL, ранее аббревиатура от «Библиотека инфраструктуры информационных технологий», является зарегистрированным названием широко принятой структуры для управления предоставлением ИТ-услуг. Существует пять сертификатов ITIL, от начального до магистерского.
Сертифицированный специалист службы поддержки Apple (ACSP) : вы можете продемонстрировать свой опыт работы с основами поддержки macOS с этим сертификатом ACSP от Apple.

Лучшие сертификаты в области баз данных, аналитики и других технологий обработки данных

Технологии баз данных остаются основой ИТ-операций, а рост инициатив в области больших данных и аналитики открывает новые возможности для карьерного роста.

Сертификаты, как правило, строятся на платформе одного поставщика, включая:

Сертифицированный специалист по данным (CDP) : Институт сертификации специалистов по вычислительной технике (ICCP) предлагает одну из самых полных сертификатов для профессионалов в области данных. CDP существует на пяти уровнях, от базового до исполнительного управления, и вы можете сосредоточиться на конкретных ролях, таких как бизнес-аналитика, управление данными, архитектура корпоративных данных, аналитика данных и хранилище данных.
Сертифицированный специалист Oracle: Oracle, ведущий мировой поставщик баз данных, предлагает сертификаты по широкому кругу специальностей, от администрирования баз данных и разработки приложений баз данных до аналитики, хранилищ данных и больших данных.
Сертифицированный технологический партнер SAP – SAP HANA 2.0 : эта сертификация демонстрирует вашу способность устанавливать, управлять, отслеживать, переносить и устранять неполадки технологии баз данных SAP.
Сертификаты Microsoft SQL Server . Как и Oracle, Microsoft предлагает ряд сертификатов, включая администрирование баз данных, бизнес-аналитику, управление данными и аналитику.
Центр обработки данных CCIE : этот сертификат Cisco демонстрирует навыки экспертного уровня, необходимые для планирования, подготовки, эксплуатации, мониторинга и устранения неполадок в сложных сетях центров обработки данных.

Работодатели предпочитают нанимать сертифицированных специалистов, особенно тех, кто имеет высшее образование и реальный опыт. Те, кто прилагает усилия для получения дипломов, могут рассчитывать на более высокие зарплаты и более быстрое продвижение по карьерной лестнице, не говоря уже о здоровой уверенности в себе.

Ev сертификаты

Это те самые сертификаты с расширенной проверки и зеленой строкой в браузере, о которых мы говорили выше. Получить их может только юридическое лицо, коммерческая, некоммерческая или государственная организация.

Цена: от 250 $ в год.

San сертификаты

Пригодится, если вы хотите использовать один сертификат для нескольких разных доменов, размещенных на одном сервере. Обычно в такой сертификат входит 5 доменов и их количество можно увеличивать с шагом в 5.

Цена: от 395 $ в год

Sgc сертификаты

Сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали только 40 или 56 бит шифрование. При использовании этого сертификата уровень шифрования принудительно повышается до 128 бит.

За все время у нас не купили не одного такого сертификата. Мое мнение, что они уже не нужны, разве что для внутреннего использования в больших корпорациях, где сохранилось очень старое железо.

Цена: от 300 $ в год.

Верификация домена

Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

Вводим домен

Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)

Получаем письмо и вводим код из него в поле. Все — домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.

Генерация сертификата

Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate

Далее у нас 2 варианта — либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.

Вводим пароль для ключа (мин. 10 символов — макс. 32) и размер ключа (20484096).

Получаем и сохраняем ключ.

Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).

Нам дают право на включение в сертификат один поддомен — пусть будет стандартный www

Получили немного информации о сертификате, жмем на Continue.

Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью — примерно за такое же время подтверждали запрос.

Есть ли разница в каком центре сертификации заказывать сертификат?

Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневного сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра.

Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены в, пожалуй, 99,99% всех существующих браузеров.

Чтобы проверить, корневые сертификаты каких центров сертификации установлены в вашем браузере, достаточно в настройках вашего браузера найти такую опцию. (В Chrome Настройки -> показать дополнительные настройки -> управление сертификатами ->

Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).

Про сертификаты: Итоги опроса “Зачем консультанту SAP сертификат?” | SAP Blogs

Как выбрать самый дешевый сертификат?

У Geotrust самые дешевые SAN сертификаты. Сертификаты с валидацией только сайта, а также wildcard выгоднее всего у RapidSSL. EV сертификаты самые дешевые также у Geotrust. SGC сертификаты есть только у Thawte и Verisign, но у Thawte дешевле.

Какие виды ssl сертификатов существуют?

Между собой сертификаты отличаются свойствами и уровнем валидации.

Какие данные содержит в себе ssl сертификат?

В сертификате хранится следующая информация:

Несколько фактов о startssl

25 мая 2021 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
После установки промежуточного сертификата пришло соответствующее письмо.
StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
Дружелюбная поддержка на русском языке
Сравнительная таблица вариантов верификации
За 59.90$ вы можете создать ∞ количество WildCard сертификатов сроком на 3 года (350 дней, в течении которых вы можете перевыпускать сертификат 2 года, на которые можно выдать сертификат).
Отзыв сертификата платный — 24,90$. 2-й класс верификации позволяет пересоздать сертификат (насколько я понял, всего один раз). Extended Validation сертификаты освобождены от этого сбора.

Об авторе

Вадим Поданс

— специалист в области автоматизации PowerShell и Public Key Infrastructure, Microsoft MVP: Cloud and Datacenter Management с 2009 года и автор модуля PowerShell PKI. На протяжении 9 лет в своём блоге освещает различные вопросы эксплуатации и автоматизации PKI на предприятии. Статьи Вадима о PKI и PowerShell можно найти на его

Обновление сертификатов windows 7

Для обновления сертификатов мы подготовили программу, которая в автоматическом режиме установит новые ROOT сертификаты в Windows 7 и перезагрузит компьютер.

Программа распространяется бесплатно.

Обновление сертификатов цс

Периодически необходимо обновлять сертификаты ЦС. Рассмотрим несколько аспектов, связанных с обновлением сертификатов ЦС.

Периодичность обновления сертификата ЦС

Это делается в следующих случаях:

Первый вопрос, если всё идёт штатно, за какое время до истечения срока действия сертификата ЦС его нужно обновлять?

Сертификат издающего ЦС должен обновляться за максимальный срок действия издаваемых сертификатов. В нашем случае срок действия сертификата издающего ЦС 15 лет, а максимальный срок действия издаваемых сертификатов 5 лет (см. конфигурационную таблицу).

Порядок обновления ЦС

В нашей двухуровневой иерархии сертификаты корневого и издающего ЦС имеют одинаковый срок действия. Поэтому, когда вы принимаете решение об обновлении сертификата любого ЦС, необходимо обновлять их вместе. Первым обновляется сертификат корневого ЦС, затем сертификат издающего ЦС.

Генерация ключей при обновлении сертификатов ЦС

При обновлении сертификатов ЦС вам предлагается две опции: использовать существующую ключевую пару или сгенерировать новую:

В диалоговом окне обновления ключевой пары приведены рекомендации Microsoft по выбору ключевой пары. Однако, практика показывает, что эти рекомендации устарели. Следует всегда генерировать новую ключевую пару. При использовании нескольких сертификатов ЦС клиентский модуль построения цепочки сертификатов иногда может ошибиться и выбрать неправильный сертификат. В базе знаний Microsoft отмечены такие проблемы. Примеры статей:

При генерации новой ключевой пары для каждого сертификата будет гарантирован только один путь к корневому сертификату и модуль построения цепочек сертификатов уже не ошибётся.

Общий план развёртывания

Для развёртывания службы сертификатов нам потребуется четыре машины с Windows Server 2021, которые будут выполнять следующие функции:

Контроллер домена — необходим для функционирования домена Active Directory;
Веб-сервер — будет обеспечивать доступ к сертификатам ЦС и спискам отзывов для клиентов;
Корневой ЦС — будет выполнять функции корневого ЦС;
Подчинённый ЦС — будет выполнять функции издающего ЦС.

Развёртывание PKI будет проходить поэтапно на каждом сервере в том порядке, в котором они указаны выше. Подготовка контроллера домена будет сводиться к обеспечению функций Active Directory, GPO и учётных записей.

Обычные ssl сертификаты

Тут все понятно, это сертификаты, которые выпускаются автоматически и подтверждают только домен. Подходят для всех сайтов.

Цена: от 20$ в год

По какому принципу работает ssl сертификат?

Итак для того, чтобы получить SSL сертификат самое первое, что нужно сделать, это сформировать специальный запрос на выпуск сертификата, так называемый (Certificate Signing Request). При формировании этого запроса вам будет задан ряд вопросов, для уточнения деталей о вашем домене и вашей компании. После завершения ваш веб сервер создаст 2 типа криптографических ключей — приватный ключ и публичный ключ.

Публичный ключ не является секретным и он помещается в запрос CSR.Вот пример такого запроса:—–BEGIN CERTIFICATE REQUEST—–MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYDVQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGluZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNVBAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDTg7iUv/iX SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKidNyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5ccgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR xui2S3z2JJQEwChmflIojGnSCO/iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H/G4eO5WF6fFb7etm8M d8ebkqEztRAVdhXvTGBZ4Mt2DOV/bV4e/ffmQJxffTYEqWg8wb465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOCAQEAuCfJKehyjt7N1IDv44dd V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRIkrnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIhKQGngL2PjWdhMVLlRTB/01nVSKSEk2jhO8 7yLOY1MoGIvwAEF4CL1lAjov8U4XGNfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm/vTxjJgchUFro/0goVpBcredpKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4 ZNDWsPPKxo/zWHm6Pa/4F4o2QKvPCPx9x4fm /xHqkhkR79LxJ EHzQ==—–END CERTIFICATE REQUEST—–

Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.

Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.

Подготовка веб-сервера

На веб-сервере нам потребуется выполнить следующее: установить службу IIS (если ещё не установлена), создать общую папку и сконфигурировать веб-сайт на использование этой папки.

Для установки службы IIS можно воспользоваться следующей командой:

Install-WindowsFeature -Name Web-Server, Web-WebServer -IncludeManagementTools

Согласно нашей конфигурационной таблице (см. часть 2), для хранения сертификатов ЦС и списков отзыва нам потребуется общая папка с сетевым именем PKI по следующему пути: C:InetPubwwwrootPKIdata

New-Item -ItemType Directory -Path C:InetPubwwwroot -Name PKIdata -Force
New-SmbShare -Path C:inetpubwwwrootPKIdata -Name PKI -FullAccess everyone

После этого нужно выдать права NTFS на запись в эту папку для группы Cert Publishers.

Получение сертификата

Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.

Про установку не буду писать, информация есть на хабре и на StartSSL.

Предварительная конфигурация

Предварительные конфигурационные файлы необходимы для ряда настроек, которые невозможно задать во время установки компонента (ни при помощи графического интерфейса, ни при помощи командной строки или PowerShell). К ним обычно относятся настройки расширений сертификата ЦС.

Например, для настройки расширения сертификата Certificate Policies, необходимо использовать предварительный конфигурационный файл, в котором настраиваются параметры расширения. Для Microsoft ADCS таким файлом является файл CAPolicy.inf, который должен быть расположен по следующему пути: %windir%CAPolicy.inf. С синтаксисом этого файла можно ознакомиться в следующей статье:

. Поскольку никаких специфичных или нестандартных настроек в сертификате корневого ЦС мы делать не будем, поэтому и предварительный конфигурационный файл сейчас нам не потребуется.

Предустановочная конфигурация

Если для корневого ЦС предустановочный конфигурационный файл нам не требовался, то для издающего ЦС он понадобится. В нём мы настроим расширения Certificate Policies и Basic Constraints для сертификата ЦС. Если с политиками всё понятно, то в расширении Basic Constraints мы запретим выдачу сертификатов другим ЦС с издающего ЦС, поскольку у нас двухуровневая иерархия и добавление новых уровней только усложняет нашу структуру и увеличивает время, затрачиваемое на проверку сертификатов клиентами.

Контроллеры домена практически мгновенно обнаруживают появление ЦС в лесу и даже при отключённой политике автоматической выдачи сами запрашивают себе сертификаты.
Администраторы сами должны определять какие шаблоны будут использовать в организации.

Поэтому мы сконфигурируем ЦС так, что список шаблонов к выдаче будет пустым. Это возможно сделать только через CAPolicy.inf. В нашем случае он будет иметь следующее содержимое:

Проходим проверку (2-й уровень верификации)

Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы
29 самых ценных ИТ-сертификатов
Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы — у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.

Далее вам нужно будет ввести данные своей кредитной картыPayPal. Идем в Tool Box ->Add Credit Card | PayPal | Ticket

Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.

Процесс выдачи сертификатов ov

После получения запроса на выпуск сертификата с проверкой организации центр сертификации производит проверку, реально ли существует такая организация, как указано в CSR и принадлежит ли ей указанный домен.

Прочие настройки

После того как издающий ЦС установлен и сконфигурирован, убедитесь, что всё прошло без ошибок:

Про сертификаты: Криптография в Java. Класс KeyStore / Хабр

Когда основные параметры проверены, необходимо убедиться в правильной связи иерархии ЦС и доступности всех внешних файлов для клиентов. Для этого на сервере ЦС (а лучше, на рабочей станции, где установлены средства удалённого администрирования ЦС) необходимо запустить оснастку

Enterprise PKI Health

(pkiview.msc). Оснастка автоматически построит текущую иерархию и проверит доступность всех путей для скачивания сертификатов ЦС и списков отзыва. Никаких ошибок быть не должно. Если есть ошибка, необходимо её точно идентифицировать и устранить. В случае успешной настройки оснастка будет выглядеть следующим образом для корневого ЦС:

И для издющего ЦС:

Если вся итоговая конфигурация соответствует ожидаемым значениям и оснастка Enterprise PKI Health не показывает ошибок, это может судить о том, что PKI установлена верно.

Регистрация

Выбрав на сайте русский язык вы получаете прекрасный англо-русский интерфейс. Регистрация находится

Жмем Sing-up и переходим к регистрации, где заполняем небольшую форму. Все поля обязательны к заполнению, нужно вводить настоящие данные, могут проверить вашу личность и отозвать сертификат, заблокировать аккаунт. Адрес нужно указывать домашний, а не рабочий.

Нам предлагают ввести проверочный код, который был выслан на email. Вводим. Далее нам предлагают выбрать размер ключа для вашего сертификата (для авторизации на сайте) 2048 или 4096.

Сертификат сгенерирован, и мы должны подтвердить его установку в браузер.

На этом регистрация завершена. Рекомендую сохранить сертификат на физическом носителе (например, записать на болванку).

Резервное копирование

Вопросы резервного копирования и восстановления после отказа являются отдельной темой. Здесь я лишь отмечу основные моменты, которые следует учесть при планировании стратегии резервного копирования.

Microsoft Active Directory Certificate Services предоставляет инструменты для резервного копирования компонентов ЦС:

С ними можно сделать резервную копию для ключевой пары ЦС и базы данных. Однако эти инструменты не позволяют делать резервную копию настроек ЦС. Эти операции необходимо выполнять вручную. Все настройки ЦС находятся в реестре по следующему пути:

HKLMSystemCurrentControlSetServicesCertSvc

При резервном копировании всегда экспортируйте данную ветку реестра. При восстановлении ЦС сохранённый REG файл импортируется обратно в реестр после установки роли ЦС.

Полный список элементов ЦС, который подлежит обязательному резервному копированию выглядит так:

Этот список не зависит от принятой в вашей компании стратегии резервного копирования, он всегда должен быть включён в список резервных копий.

Сертификаты c поддержкой idn

Как правило, не у всех центров сертификации указана эта опция в описании сертификата, но не все сертификаты поддерживаются работу с IDN доменами. Поэтому я просто приведу здесь список сертификатов, у которых есть такая поддержка:

Сертификаты на продукты компании «код безопасности» – код безопасности

Secret Net LSP – C (версия 1.8)

Соответствует требованиям руководящих документов по 2 уровню контроля отсутствия НДВ, а также требованиям, изложенным в технических условиях RU.88338853.501410.022 ТУ, при выполнении указаний по эксплуатации, приведенных в формуляре RU.88338853.501410.022 30. Может применяться в АС до классов 1Б, 2А, 3А включительно (РД АС, 1992 г.), АС до классов 3А, 3Б, 2А, 2Б включительно (приказ ФСТЭК России №025 от 20.10.2021), ИСПДн до УЗ1 включительно, ГИС до 1 класса включительно, АСУ ТП до 1 класса включительно, объектах КИИ до 1 категории значимости включительно

Сертификаты с валидацией организации.

В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.

Сертификаты, подтверждающие только домен

Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально.

При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.

Скрипт настройки

Для конфигурирования настроек ЦС мы будем использовать BATCH скрипт с использованием утилиты certutil.exe:

Словарь терминов

В этой части серии использованы следующие сокращения и аббревиатуры:

Типы сертификатов по типу валидации

Разберемся с ними по порядку:

Установка издающего цс

Как и в случае с корневым ЦС, установка издающего ЦС включает в себя четыре этапа:

Подготовка предустановочных конфигурационных файлов (CAPolicy.inf);
Установка компонента ЦС;
Выполнение постустановочной конфигурации;
Проверка установки и конфигурации.

Установка компонента цс

Прежде всего необходимо добавить установочные компоненты для AD CS:

Install-WindowsFeature AD-Certificate, ADCS-Cert-Authority -IncludeManagementTools

После этого посмотрим на установочную таблицу, чтобы определить параметры установки:

В таблице я выделил только те параметры, которые задаются в процессе установки. Остальные параметры будут настраиваться после установки. Исходя из этих данных сформируем параметры для командлета

Install-AdcsCertificationAuthority -CACommonName "Contoso Lab Issuing Certification authority" `
    -CADistinguishedNameSuffix "OU=Division Of IT, O=Contoso Pharmaceuticals, C=US" `
    -CAType EnterpriseSubordinateCa `
    -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
    -KeyLength 4096 `
    -HashAlgorithmName SHA256

После выполнения этой команды будет выведено сообщение о том, что установка ЦС не завершена и для её завершения необходимо отправить сгенерированный запрос (находится в корне системного диска) на вышестоящий ЦС и получить подписанный сертификат. Поэтому находим файл с расширением «.req» в корне системного диска и копируем его на корневой ЦС и на корневом ЦС выполняем следующие команды:

Установка корневого цс

Фактическая установка ЦС будет включать в себя несколько этапов:

Подготовка предустановочных конфигурационных файлов (CAPolicy.inf);
Установка компонента ЦС;
Выполнение постустановочной конфигурации;
Проверка установки.

Перед установкой корневого ЦС, необходимо ещё раз вернуться к конфигурационным таблицам:

В таблице я выделил только те параметры, которые задаются до и в процессе установки. Остальные параметры будут настраиваться после установки.

Шаблоны сертификатов

Наряду с установкой издающего ЦС, в Active Directory устанавливается набор уже готовых шаблонов сертификатов. Их можно просмотреть в оснастке

Certificate Templates MMC

(certtmpl.msc). Рекомендации по шаблонам сертификатов:

Использование готовых шаблонов сертификатов

Я рекомендую использовать их копии, даже если вы не планируете вносить в них изменения. Для создания копии шаблона выберите в списке подходящий шаблон, в контекстном меню выберите Duplicate Template и создайте его копию. Целесообразно в имя шаблона включить название компании, чтобы отличить предустановленный шаблон от вами созданного.

Версия шаблона

Начиная с Windows Server 2021, интерфейс создания шаблона несколько изменился. В самом начале появляется окно с выбором версии ОС на ЦС и предполагаемом клиенте:

Если у вас используются современные версии ОС (например, Windows 7 и выше), может появиться желание выставить настройки на максимум. Если вы не уверены, что ваше приложение совместимо с CNG (Cryptography Next Generation), следует использовать настройки, которые приведены на картинке.

Если вы выставляете ОС сервера и клиента выше, чем Windows Server 2003/Windows XP, шаблон будет использовать криптографию несовместимую с этими приложениями. Например, большинство приложений, написанных на .NET, семейство продуктов System Center, службы федераций (AD FS) и т.д. не смогут использовать ключи таких сертификатов (но проверять смогут).

Успешно такие сертификаты смогут использовать приложения, которые используют не .NET, а нативные функции CryptoAPI. К таким приложениям можно отнести, например, IIS, Remote Desktop Services.Поля Subject и Subject Alternative Names

Существует два метода заполнения поля Subject и расширения Subject Alternative Names: автоматический и ручной. Это настраивается в настройках шаблона сертификата, во вкладке Subject Name.

Если выбран второй пункт (как на картинке), ЦС игнорирует имя субъекта из запроса сертификата и заполняет эти поля из свойств учётной записи пользователя или устройства, которое запрашивает сертификат. В ряде случаев это не подходит (например, сертификаты для внутренних веб-сайтов) и имя субъекта заполняется из значения в запросе сертификата.

Это необходимо затем, что имя для сертификата никак не проверяется. Если этот момент не контролировать, пользователь может запросить сертификаты на любое имя и скомпрометировать весь лес Active Directory. Вряд ли вы позволите рядовому пользователю получить сертификат на имя администратора.

После требования одобрения запроса менеджером сертификатов на ЦС, каждый запрос с явным указанием субъекта сертификата будет попадать на ЦС в папку Pending Requests и не будет подписан, пока оператор ЦС не изучит его содержимое и не примет решение о выпуске. Т.е. каждый такой запрос необходимо вручную проверять на содержимое и убедиться, что в запросе указаны верные и допустимые имена. В противном случае запрос должен быть отклонён.

Права на шаблоны сертификатов

Шаблоны сертификатов в Active Directory хранятся в разделе configuration naming context, который реплицируется между всеми контроллерами домена в лесу. Поэтому для назначения прав на шаблоны сертификатов можно использовать только глобальные и универсальные группы. Избегайте назначения прав отдельным пользователям и устройствам.

Итоговая настройка

По аналогии с корневым ЦС, нам потребуется сконфигурировать ряд параметров на издающем ЦС. Для этого мы снова напишем BATCH скрипт с использованием утилиты certutil.exe. Но прежде всего посмотрим установочную таблицу и выясним параметры, которые нам необходимо настроить:

Аналогичная таблица составляется и для издающего ЦС.

За основу мы возьмём скрипт с корневого ЦС и изменим только отдельные фрагменты:

29 самых ценных ИТ-сертификатов

Что проверяется в таких случаях?

Что такое центры сертификации (ca)?