Запрос сертификата у AD CS. Создание мультидоменного сертификата – IT Article

Запрос сертификата у AD CS. Создание мультидоменного сертификата - IT Article Сертификаты
На чтение 8 мин. Просмотров 74 Опубликовано
Содержание
  1. Запрос сертификата у ad cs. создание мультидоменного сертификата – it article
  2. Настройка групповой политики для выдачи rdp сертификатов
  3. Подписываем rdp файл и добавляем отпечаток доверенного rdp сертификата
  4. Пошаговая инструкция по установке и настройке центра сертификации | блог разработчиков
  5. Предупреждение о самоподписанном сертификате rdp

Запрос сертификата у ad cs. создание мультидоменного сертификата – it article

В статье рассматривается возможность создания SSL-сертификата для применения на WEB-сервер с использованием центра сертификации AD CS.

Стоить отметить, что при самостоятельном создании центра сертификации и выпуске сертификатов доверять им будут только те устройства, у которых установлен корневой сертификат вашего центра сертификации. Такой вариант хорошо работает во внутренней инфраструктуре предприятия, но если ваши ресурсы должны быть доступны из глобальной сети, то необходимо покупать SSL-сертификаты у глобальных центров сертификации.

Для создания центра сертификации необходимо:

  1. установить Windows Server;
  2. добавить роль Active Directory Certificate Services (AD CS);
  3. следуя подсказкам, сконфигурировать AD CS.

Для того, чтоб выпустить сертификат для сайта, используя AD CS, необходимо сформировать запрос на сертификат с помощью OpenSSL.

На линукс машине, в терминале, вводим следующий запрос для формирования запроса на сертификат:

openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out web-srv.reg -subj "/CN=*.example.ru/OU=Подразделение/O=организация/C=RU/ST=Russia/L=Город"

В результате сформируется закрытый ключ и запрос на сертификат на домен example.ru и все поддомены третьего уровня. Проще говоря, таким образом мы сформировали запрос на Мультидоменный сертификат.

Следующим этапом является запрос сертификата у AD CS. Для этого открываем файл web-srv.req с помощью текстового редактора и копируем содержимое файла, например:

nano web-srv.req

Открываем в браузере страницу центра сертификации: ip-адрес_AD_CS/certsrv/

Request a certificate -> advanced certificate request и вставляем туда скопированный запрос на сертификат.

Запрос сертификата

Переходим на Windows Server, запускаем Server Manager -> Tools -> Certification Authority -> Pending Request. Выбираем нужный запрос на сертификат и выпускаем его, выбрав пункт Issue.

Переходим в браузере по адресу:  ip-адрес_AD_CS/certsrv/ и выбираем пункт View the status of a pending certificate request, где можно скачать свой сертификат или цепочку сертификатов в формате DER или Base64.

Далее можно переходить к установке сертификата на сервер.

Дополнительно:

Про сертификаты:  Сертификат на массаж Москва, цена / Красота, здоровье / Услуги Москва - объявления о услугах -

Конвертация из формата p7b в PEM:

openssl pkcs7 -print_certs -in certnew.p7b -out certnew.cer

Настройка групповой политики для выдачи rdp сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

Подписываем rdp файл и добавляем отпечаток доверенного rdp сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

Get-WmiObject -Class “Win32_TSGeneralSetting” -Namespace rootcimv2terminalservices|select|select SSLCertificateSHA1Hash

Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:

Пошаговая инструкция по установке и настройке центра сертификации | блог разработчиков

Здравствуйте, друзья!

Одним из преимуществ ЛОЦМАН:ПГС является применение цифровых подписей достоверно подтверждающих личность и роль подписавшего документ. Для создания цифровых подписей необходимы сертификаты выданные удостоверяющим центром сертификации.

На этапе внедрения не всегда хватает опыта для установки и настройки центра сертификации, чтобы Вам не пришлось собирать крупицы информации по просторам интернета, мы предлагаем подробно рассмотреть  установку и настройку центра сертификации.

В наших примерах мы будем использовать контроллер домена на Microsoft Windows Server 2008 и клиент Microsoft Windows 7.

  1. Для начала нам нужно добавить роль Active Directory Certification Services (Службы сертификации Active Directory) на контроллере домена. Откройте Server Manager и выполните команду «Add Role» («Добавить роли»).1
  2. Откроется Add Roles Wizard (Мастер добавления ролей). Нажмите Next.
    2
  3. Выберите роль Active Directory Certification Services (Службы сертификации Active Directory). Нажмите Next.
    3
  4. Next.
    4
  5. Проверьте, что отмечена служба Certification Authority(Центр сертификации).
    5
  6. Вариант установки должен быть указан «Enterprise».
    6
  7. Тип центра сертификации Root CA(Корневой ЦС).
    7
  8. Создайте новый приватный ключ.
    8
  9. Укажите параметры шифрования, например:
    9
    Если Вы меняете параметры, рекомендуем Вам ознакомиться с советами компании Microsoft по безопасности в части выбираемой длины ключа.
  10. Проверьте имя и суффиксы центра сертификации, например:
    10
  11. Задайте срок действия сертификата, например:
    11
  12. Next.
    12
  13. Install.
    13
  14. Процесс установки…
    14
  15. Установка завершена. Close.
    15
    Центр сертификации установлен. Теперь нужно создать шаблон сертификатов.
  16. Перейдите в Certificate Templates (Шаблоны сертификатов) и выполните команду Duplicate Template (Скопировать шаблон) на существующем шаблоне, например User.
    1
  17. Выберите версию Windows Server  минимально поддерживаемую ЦС.
    2
    Не выбирайте Windows Server 2008, иначе при подписании созданным сертификатом документов в программных продуктах использующих .NET Framework 4.0 Вы получите сообщение «Указан неправильный тип поставщика (mscorlib)». Иными словами Вы не сможете использовать сертификат.
  18. В открывшихся свойствах шаблона укажите имя и отключите Publish certificate in Active Directory (Опубликовать сертификат в Active Directory):
    32
  19. Перейдите на вкладку Request Handling (Обработка запроса) и измените цель на «Signature» («Подпись»).
    4
  20. Проверьте параметры на вкладке Subject Name (Имя субъекта).
    5
  21. На вкладке Security (Безопасность) для группы Authenticated Users (Прошедшие проверку) разрешите Enroll (Заявка).
    6
  22. На вкладке Extensions (Расширения) скорректируйте Application Policies (Политика применения).
    7
    Выберите Document Signing (Подписывание документа).
    8
    Выберите Document Signing (Подписывание документа).
    Запрос сертификата у AD CS. Создание мультидоменного сертификата - IT Article
    ОК.
    9
    Шаблон сертификата создан, теперь необходимо его опубликовать.
  23. Перейдите в Certificate Templates (Шаблоны сертификатов) и выполните команду «New -> Certificate Template to Issue» («Новый -> Выдать шаблон сертификата»).
    10
  24. Выберите ранее созданный шаблон. ОК.
    11
    Установка и настройка шаблона сертификатов закончена. Перейдем на клиента и попробуем получить сертификат.
  25. На клиенте запустите Certificate Manager Tool выполнив команду certmgr.msc.
    12
  26. Перейдите в Personal (Личное) и создайте запрос на получение сертификата, выполнив Request New Certificate (Запросить новый сертификат).
    13
  27. Next.
    14
  28. Выберите политику Active Directory. Next.
    15
  29. В типах сертификатов отметьте ранее созданный шаблон.
    2
    Если планируется использование нескольких сертификатов для одного пользователя, желательно присвоить имя запрашиваемому сертификату. Откройте свойства заявки.
  30. На вкладке General (Общие) укажите Friendly name (Понятное имя).
    17
    Сохраните и закройте свойства.
  31. Enroll.
    1
  32. Заявка успешно завершена, сертификат получен.
    3
  33. В Certificate Manager Tool можно посмотреть параметры сертификата.
    21
    Мы получили сертификат только для одного пользователя, а когда пользователей много, такой способ не очень удобен. Для облегчения процесса давайте настроим автоматическую раздачу сертификатов групповой политикой.
  34. Для начала необходимо изменить свойства, созданного ранее шаблона, сделать его доступным для автоматической выдачи. Найдите созданный шаблон в Server Manager и откройте свойства.
    4
  35. Перейдите на вкладку Security (Безопасность) и для группы Authenticated Users (Прошедшие проверку) разрешите Autoenroll (Автозаявка).
    5
  36. Следующий шаг — настроить групповую политику автоматической регистрации сертификатов для домена. Можно изменить политику по-умолчанию, но лучше создать новую, так мы сможем ограничить круг пользователей, охватываемых политикой. На домене выполните команду Create a GPO in this domain, and Link it there… (Создать ОГП в документе и связать его…).
    6
  37. Введите имя групповой политики, например:
    7
  38. Отредактируйте созданную политику.
    8
  39. Перейдите в раздел «User configuration — Policies — Widows Settings — Security Settings — Public Key Policies» (Конфигурация пользователя — Политики — Конфигурация Windows — Параметры безопасности — Политики открытого ключа) и откройте свойства Certificate Services Client — Auto-Enrollment (Клиент службы сертификации — автоматическая регистрация).
    9
  40. Включите автоматическую регистрацию сертификатов и флажки:
    • Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты;
    • Обновлять сертификаты, использующие шаблоны сертификатов.

    10

  41. Закройте редактор групповой политики и в Server Manager при необходимости ограничьте круг пользователей или компьютеров, на которые будет применена политика. Как пример, ниже показана политика, которая будет распространена только на ПК DOMAINCOMPUTER.
    11
    Групповая политика создана, проверим как она работает.
  42. На клиенте откройте CMD.exe с правам администратора и выполните команду «gpupdate /force /boot /logoff» или перезапустите ПК.
    12
  43. Сертификат должен быть автоматически запрошен и получен. Полученный сертификат можно увидеть в Certificate Manager Tool (пункт 33) или в Control Panel — Internet Options, вкладка Content — Certificates — Personal (Панель управления — Свойства обозревателя, вкладка Содержание — Сертификаты — Личные).
    13
    Это всё, что мы хотели сказать про установку и настройку центра сертификации. Спасибо, что читаете наш блог, до свидания!
Про сертификаты:  Электроприводы BELIMO BLF серии в Овен Комплект Автоматика

§

Предупреждение о самоподписанном сертификате rdp

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:

Не удалось проверить подлинность удаленного компьютер из-за проблем с сертификатом безопасности.
Ошибка сертификата: сертификат выдан не имеющим доверия центром сертификации.

Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».
rdp подключение Ошибка сертификата: сертификат выдан не имеющим доверия центром сертификации

Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат