центр сертификации windows server 2008 r2 настройка

Assigning the ssl certificate

After you have imported the .pfx file, you will either need to assign the certificate in IIS, enable the certificate for the services you need in Exchange or select the certificate in any other software that you are using. Because IIS is the most common place to use SSL certificates, we have included the instructions for assigning a website to use the new certificate in IIS 6 (Windows Server 2003).

1. In IIS, right-click on the website that needs the certificate and click on Properties.
2. Click the Directory Security tab and click on the Server Certificate button to run the server certificate wizard.
3. If you already have a certificate on that website you will need to remove it and then start the wizard again.
4. Click “Assign an existing certificate” and click Next.
5. Select the new certificate that you just imported and click Next.
6. Click Finish. You may need to restart IIS for the certificate to start working with the assigned website.

Export the certificate from the windows mmc console

Note: These instructions will have you export the certificate using the MMC console. If you have Windows Server 2008 or higher (IIS7 or higher) you can also import and export certificates directly in the Server Certificates section in IIS. Click here to hide or show the images

1. Click on the Start menu and click Run.
2. Type in mmc and click OK.

   

3. Click on the File menu and click Add/Remove Snap-in…

   

4. If you are using Windows Server 2003, click on the Add button. Double-click on Certificates.

   

5. Click on Computer Account and click Next.

   

6. Leave Local Computer selected and click Finish.

   

7. If you are using Windows Server 2003, click the Close button. Click OK.

   

8. Click the plus sign next to Certificatesin the left pane.

   

9. Click the plus sign next to the Personal folder and click on the Certificates folder. Right-click on the certificate you would like to export and select All Tasks and then Export…

   

10. In the Certificate Export Wizard click Next.

    

11. Choose “Yes, export the private key” and click Next.

    

12. Click the checkbox next to “Include all certificates in the certification path if possible” and click Next.

    

13. Enter and confirm a password. This password will be needed whenever the certificate is imported to another server.

    

14. Click Browse and find a location to save the .pfx file to. Type in a name such as “mydomain.pfx” and then click Next.

    

15. Click Finish. The .pfx file containing the certificates and the private key is now saved to the location you specified.

    

Windows server 2003

Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск – Управление данным сервером – Добавить или удалить роль.
В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.

После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ – Установка компонентов Windows, где выбираем Службы сертификации.

Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.

Windows server 2008 r2

В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера – Роли – Добавить роли, в списке ролей выбираем Службы сертификации Active Directory.

В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.

Windows server. создание автономного центра сертификации.

Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей.

Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.

Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).

Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

Алгоритмы и длина ключа

Очевидно, что чем длиннее ключ, тем надежнее защищены данные, и тем больше времени требуется на взлом. Но при этом больше ресурсов требуется и на выполнение шифрования, расшифровки и проверки подписи. Кроме ресурсов требуется поддержка конкретной длины ключа всеми приложениями, которые могут быть установлены у участников PKI.

Кроме длины ключа надо выбрать криптографические алгоритмы, которые будут использоваться. Здесь все зависит не только от предпочтений администратора и возможностей ПО, но и от области деятельности компании — кроме требований к сертификации и лицензированию средств криптографической защиты, используемых при обработке персональных данных и государственной тайны, существуют отраслевые стандарты, которые регламентируют использование конкретных алгоритмов.

Кроме того, необходимо правильно выбрать алгоритм хеширования, который используется для создания хешей сертификатов, которые потом подписываются УЦ. С одной стороны, довольно популярный алгоритм SHA1 рекомендуется прекратить использовать до конца текущего года, из-за атак на него, и перейти на SHA2.

Вопросы и ответы по использованию сертификатов в службах удаленных рабочих столов

Вопрос: Как устанавливать на сервер сертификаты, которые я мог бы использовать в службах удаленных рабочих столов (RDS)?

Ответ: Для служб RDS доступны сертификаты, расположенные в хранилище сертификатов Personal учетной записи компьютера. Добавление сертификатов в это хранилище выполняется в следующей последовательности:

1. Откройте консоль MMC, выполнив команду mmc.
2. Добавьте оснастку Certificates (File, Add/Remove Snap-ins).
3. Последовательно выберите Choose Computer Account и Add, после чего щелкните OK.
4. Перейдите к папке Personal, а затем к Certificates.
5. Щелкните папку правой кнопкой и выберите Import, чтобы импортировать сертификат, полученный в центре сертификации.

В этом отношении с диспетчером шлюза удаленных рабочих столов проще, потому что у него в интерфейсе есть кнопка Import, поэтому вручную не нужно обращаться к консоли MMC.

Вопрос: Как отключить все сообщения-предупреждения, отображаемые при запуске подписанного RDP-файла?

Ответ: Включите параметр политики. Задайте SHA1-отпечатки сертификатов, представляющих доверенных издателей RDP-файлов. При включении этой политики задаются сертификаты, которые клиент будет считать доверенными. Если клиент доверяет сертификату, все RDP-файлы, подписанные этим сертификатом считаются доверенными.

Вопрос:  Я установить правильные сертификаты на свои серверы узлов сеансов удаленных рабочих столов, но подключиться все равно не удается.

Ответ: Существует немного известных проблем с сертификатами в применении с реализацией служб RDS:

Вопросы и ответы по лицензированию microsoft windows server

Добавление сертификатов для всех пользователей

Файлы сертификатов, по умолчанию, устанавливаются только под учетную запись пользователя, под которым происходит сама установка. Тем не менее, можно установить сертификаты на компьютер, то есть на всех его пользователей.

Сделать это можно набрав в меню Пуск mmc и выполнив там данную команду

Либо же выполнив команду mmc в окошке “Выполнить”, которое отркрывается сочетанием клавиш Win R

Откроется пустое окошко консоли, в которое нужно добавить оснастку Сертификаты. Для этого нажимаем клавиши Ctrl M, или же открываем в верхнем меню пункт “Файл”, в нем выбираем “Добавить или удалить оснастку”.

Откроется окошко добавления или удаления оснасток. В левом столбце (который называется “Доступные оснастки”) ищем Сертификаты, выделяем и нажимаем “Добавить”.

Появится окошко, в котором необходимо будет указать некоторые параметры добавляемой оснастки. В первом окне необходимо будет указать область управления сертификатами, так как заданной целью является возможность добавлять сертификаты для всех пользователей, то нужно выбрать пункт “учетной записи компьютера”.

Затем, после нажатия кнопки “Далее” появится окошко, в котором необходимо будет указать, каким компьютером будет управлять данная оснастка. Если целью стоит управление локальным компьютером, то необходимо отметить пункт “Локальным компьютером”, если же удаленным, то его необходимо выбрать пункт “Другим компьютером”, где нужно будет указать нужный компьютер.

По закрытию окошка с выбором параметров добавляемой оснастки видим, что в правом окне доступных оснасток появились “Сертификаты (локальный компьютер)”. Нажимаем “Ок”.

Теперь в правой части консоли нажимаем на Сертификаты (Локальный компьютер).

После этого откроется список доступных хранилищ сертификатов. Нажимаем на нужном хранилище правой кнопкой мыши, и выбираем пункт “Все задачи – Импорт”.

Откроется окошко импорта сертификатов. Первое окошко с приветствием можно быстро пропустить, нажав кнопку “Далее”.

В следующем окне нужно выбрать нужный сертификат, выбрать который можно нажав кнопку “Обзор”. По завершению добавления сертификата нужно нажать кнопку “Далее”.

Затем нужно определить необходимое хранилище сертификатов. Ранее выбранное хранилище сертификатов будет выбрано автоматом, но в этом окошке его можно поменять.

Затем, после нажатия кнопки “Далее” будет отображено окно завершения операции по импорту сертификата. Закрыть его можно нажав кнопку “Готово”.

После этого появится уведомление о успешном импорте. Далее можно закрыть все ранее открытые окна, нужный сертификат был добавлен в нужное хранилище для всех пользователей на компьютере.

Подписывание приложений remoteapps

RemoteApps подписывают с использованием сертификата, установленного на диспетчере RemoteApp на сервере узлов сеансов удаленных рабочих столов (рис. 2).

Рис. 2. Можно также подписывать приложения RemoteApps, для чего используеться сертификат в диспетчере удаленных приложений RemoteApp

При создании фермы серверов узлов сеансов удаленных рабочих столов не забудьте установить один и тот же сертификат на всех серверах узлов сеансов удаленных рабочих столов в ферме, а также в любых других устанавливаемы вами фермах. В этом случае единый вход для интернет-решений будет работать на всех членах ферм.

Для этого нужно экспортировать сертификат вместе с закрытым ключом с сервера. Импортируйте сертификат, используя MMC-оснастку Certificates (Сертификаты), добавив при этом учетную запись компьютера, а не пользователя.

Если при реализации единого входа для интернет-решений средствами веб-доступа к удаленным рабочим столам в качестве источника такого доступа используется посредник подключений к удаленным рабочим столам, на посреднике нужно установить тот же сертификат, что установлен на всех серверах узлов сеансов удаленных рабочих столов (тот же, что используется для подписания RemoteApps). Это может приводить в замешательство по двум причинам:

1. Сеанс, в котором устанавливается сертификат на посреднике подключений к удаленным рабочим столам называется Virtual Desktops: Resources and Configuration (Виртуальные рабочие столы: ресурсы и настройка). Устанавливаемый сертификат не только используется для подписания ВМ инфраструктуры виртуальных рабочих столов, но также применяется в процессе единого входа для интернет-решений для подписания приложений RemoteApps, когда используется посредник подключений к удаленным рабочим столам. Сертификаты подписания в посреднике и диспетчере RemoteApp серверов узлов сеансов удаленных рабочих столов должны совпадать иначе единый вход для интернет-решений работать не будет.
2. Если при запуске RemoteApp сертификат на посреднике отличается от сертификата на серверах узлов сеансов удаленных рабочих столов, единый вход для интернет-решений не работает. При этом никакой информации о различии сертификатов не предоставляется. В открывающемся окне показан только набор сертификатов в диспетчере RemoteApp, поэтому сложно узнать, что проблема в сертификатах.

Подробнее о настройке единого входа для интернет-решений см. веб-страницу «Introducing Web Single Sign-On for RemoteApp and Desktop Connections» по адресу

Получение сертификата компьютера в командной строке

Перед выполнением процедуры следует убедиться в том, что на ISA:2006:

1. Зарегистрироваться на компьютере с учетной записью администратора домена.

2. Открыть командную консоль, перейти в каталог C:Service (при необходимости создать каталог C:Service).

3. Создать файл C:ServiceRequest.inf, содержащий текст.

[Version]

Signature= “$Windows NT$” 

[NewRequest]

Subject = “CN=<полное_внешнее_имя_для_сервиса_OWA>”

KeySpec = 1

KeyLength = 1024

Exportable = TRUE

MachineKeySet = TRUE

UseExistingKeySet = FALSE

ProviderName = “Microsoft RSA SChannel Cryptographic Provider”

ProviderType = 12

RequestType = PKCS10

KeyUsage = 0xa0 

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1

Пример файла Request.inf. На данном снимке полное внешнее имя для веб-почты: owa.ext-lab.dom

Благодаря выражению Exportable=true мы получим желанную галочку Пометить ключ как экспортируемый, а MachineKeyset=true даст сертификат компьютера.

Выполнить команду для запроса сертификата

certreq -new Request.inf Request.req

Выполнить команду для получения сертификата

certreq -submit -attrib “CertificateTemplate:WebServer” Request.req Server.crt

Появляется диалог Select Certification Authority.

В диалоге щелкнуть по единственному УЦ и затем нажать OK.

Если УЦ успешно выдал сертификат, появляется сообщение об успешном получении сертификата:

Выполнить команду для установки сертификата

certreq -accept Server.crt

Выполнить тесты Проверка наличия сертификата компьютера и Проверка пригодности сертификата для веб-прослушивателя.

Пошаговая инструкция по установке и настройке центра сертификации | блог разработчиков

Проверка пригодности сертификата для веб-прослушивателя

О компьютере, на котором мы будем работать:

1. Зарегистрироваться на компьютере с учетной записью администратора домена.

2. В консоли ISA выбрать объект Firewall Policy / Toolbox / Web Listeners.

3. Выбрать веб-прослушиватель для веб-почты (OWA). На данном снимке веб-прослушиватель имеет имя SSL.

   

4. Сделать двойной щелчок по веб-прослушивателю. Открывается диалог, в нем выбрать вкладку Certificates.

   Выбор IP-адреса на вкладке происходит автоматически, поскольку есть только один внешний сетевой интерфейс и один IP-адрес для внешнего интерфейса.

5. Нажать Select Certificate. Появляется диалог Select Certificate.

6. В верхней половине диалога по умолчанию выбран единственный сертификат. Рядом с сертификатом располагается зеленый значок, это означает пригодность сертификата для веб-прослушивателя.

   

7. Нажать Cancel для закрытия диалога.

Сертификаты – текущий пользователь

Данная область содержит вот такие папки:

1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
3. Доверительные отношения в предприятии
4. Промежуточные центры сертификации
5. Объект пользователя Active Directory
6. Доверительные издатели
7. Сертификаты, к которым нет доверия
8. Сторонние корневые центры сертификации
9. Доверенные лица
10. Поставщики сертификатов проверки подлинности клиентов
11. Local NonRemovable Certificates
12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Симметричные и ассиметричные криптосистемы

Сертификаты используются при работе с ассиметричными криптографическими алгоритмами. Для таких алгоритмов требуется закрытый ключ (обычно — случайное число) и связанный с ним открытый ключ (который является основной частью сертификата). Главное свойство таких систем — невозможность получения закрытого ключа по известному открытому.

При шифровании данных используется открытый ключ получателя, таким образом, только владелец закрытого ключа может узнать содержимое послания. Для полноценной работы с ассиметричными криптосистемами требуется доступность открытого ключа всем вероятным участникам.

Но кроме доступности открытого ключа требуется возможность определить владельца ключа, чтобы можно было определить автора подписи и нельзя было отправить секретные данные в руки злоумышленника, зашифровав их его открытым ключом. Как раз для этого и нужны сертификаты.

В симметричной криптографии используется один и тот же ключ для шифрования и расшифровки данных. То есть, чтобы передать кому-то секретную информацию, зашифрованную с помощью симметричного алгоритма, необходимо сначала передать ключ так, чтобы он не стал известен третьей стороне.

Симметричные алгоритмы могут быть использованы и для аутентификации (например, CBC-MAC и HMAC), но так как для проверки используется тот же ключ, что и для аутентификации, такой метод нельзя назвать надежным, поскольку ключ известен как минимум двум сторонам.

Симметричные алгоритмы работают на несколько порядков быстрее ассиметричных, используют более короткие ключи, проще реализуются на обычных процессорах, но требуют серьезных затрат по управлению ключами. Кроме того, секретность зашифрованных данных будет зависеть не только от того, как надежно вы храните свой секретный ключ, но и от методов хранения ключа получателем.

Создание веб-прослушивателя

Компактный вариант процедуры.

О компьютере, на котором мы будем работать:

Выполняется на ISA под учетной записью администратора домена.

1. В консоли ISA выбрать объект Firewall Policy / Toolbox / Web Listeners.

2. Из контекстного меню выбрать New Web Listener.

3. Ввести параметры в помощнике New Web Listener Definition Wizard.

   a)     Web Listener Name: SSL

   b)    Выбрать Require SSL secured connection with clients

   c)     Web Listener IP Addresses

   i)      Выбрать только External

   (1)   Для выбранной сети установить <IP_адрес_внешнего_сетевого_интерфейса>

   d)    Назначить валидный сертификат для внешнего сетевого интерфейса.

   i)      Выбрать Assign a certificate for each IP address

   Выбор IP-адреса происходит автоматически, поскольку есть только один внешний сетевой интерфейс и один IP-адрес для интерфейса.

   ii)     Нажать Select Certificate…

   Появляется диалог Select Certificate.

   iii)    В верхней половине диалога выбрать валидный сертификат, и затем нажать Select.

   e)     Выбрать Authentication Settings: HTML Form Authentication

   i)      По умолчанию выбрано Windows (Active Directory) – оставить выбор в силе.

   f)     Отключить Enable SSO for Web sites published with this Web listener

4. Принять изменения нажатием Apply в панели.

Владислав Артюков

(Vladislav Artukov)

Установка компонента цс

Прежде всего необходимо добавить установочные компоненты для AD CS:

Install-WindowsFeature AD-Certificate, ADCS-Cert-Authority -IncludeManagementTools

После этого посмотрим на установочную таблицу, чтобы определить параметры установки:

В таблице я выделил только те параметры, которые задаются в процессе установки. Остальные параметры будут настраиваться после установки. Исходя из этих данных сформируем параметры для командлета

Install-AdcsCertificationAuthority -CACommonName "Contoso Lab Issuing Certification authority" `
    -CADistinguishedNameSuffix "OU=Division Of IT, O=Contoso Pharmaceuticals, C=US" `
    -CAType EnterpriseSubordinateCa `
    -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
    -KeyLength 4096 `
    -HashAlgorithmName SHA256

После выполнения этой команды будет выведено сообщение о том, что установка ЦС не завершена и для её завершения необходимо отправить сгенерированный запрос (находится в корне системного диска) на вышестоящий ЦС и получить подписанный сертификат. Поэтому находим файл с расширением «.req» в корне системного диска и копируем его на корневой ЦС и на корневом ЦС выполняем следующие команды:

Экспортировать сертификат и ключ полученный через win-acme | блог сисадмина